我正在尝试让证书在我们的 Windows 2008 终端服务器上工作。目前,当我们使用 RDP 6.1 客户端登录时,我们会收到证书警告,提示 rdp.geas.local 证书不受信任。
我有一个用于 external.com 地址的证书,我们在 Exchange 2007 服务器上使用该证书,并且我正在尝试在我们的终端服务器上安装相同的证书。
但是,当我进入终端服务配置->RCP-TCP 属性并单击选择以调出证书选择器对话框时,我只能为本地机器选择自签名证书。
我已经在受信任的根证书、个人和第三方根证书中安装了我们的有效证书,但它仍然不会作为选项显示在 RDP-TCP 属性对话框中。
它是否需要特定的证书类型,或者我只是在错误的存储中安装了证书?
答案1
您的证书未正确导入(因此无法与其私钥关联),或者位于错误的位置,或者不是正确的证书类型。
如果您正确安装,属性会告诉您它与私钥相关联,您还将看到证书图标上的密钥覆盖,指示相同的内容。如果您没有看到,则说明它不起作用。
就位置而言,它应该位于个人证书存储中机器而不是用户。正确的导入方式是,以管理员身份打开 MMC,添加证书插件,然后选择使用计算机帐户的选项。然后选择个人存储,右键单击,选择所有任务,然后从那里导入。
但是,我认为最有可能的是,证书在 EKU 列表中没有正确的扩展密钥用法 OID 值。对于用于 RDP 的证书,它必须在列表中的某个位置具有服务器身份验证 ( 1.3.6.1.5.5.7.3.1 )。这被称为必需的 OID在这篇 Technet 文章中更详细地阐述了 TS 证书的要求。
如果服务器名称与证书名称不匹配,您也可能会遇到问题 - 我找不到任何表明它们必须匹配的内容,但如果必须匹配,我也不会感到惊讶。