我们的服务器会定期接受 PCI 合规性扫描,我们有一台 Windows 2008 服务器计算机,其端口 3389 已为 RDP 开放。它使用 SSL 进行保护,但扫描失败,因为他们的测试显示:
SOLUTION:
Please install a server certificate signed by a trusted third-party Certificate Authority.
RESULT:
Certificate #0 unable to get local issuer certificate
据我所知,失败的原因是终端服务配置工具使用的是本地创建的证书,而不是我们从 GeoTrust 获得的证书。因此,我打开向导,它显示证书是“自动生成的”。我单击“选择”按钮,更改为 GeoTrust 颁发的证书,然后单击“确定”以保存所有内容(截屏)。但是,当我断开 RDP 会话并重新连接时,它又回到了“自动生成”状态。我甚至尝试从 MMC 本地计算机证书管理单元中删除证书,但每次我们通过 RDP 重新连接时,它都会重新创建。我可以通过执行这些动作并在再次使用 RDP 登录之前重新运行扫描来“通过”扫描,但这几乎不是一个永久的解决方案,因为这些扫描每月都会运行一次。
有人能帮我弄清楚如何让受信任的 CA SSL 证书永久保留吗?
提前致谢。
答案1
好吧,不幸的是没有人能够提供帮助,而且到了我不得不处理它的时候,所以我玩了一会儿,最终找到了一些似乎有效的东西,所以我会在这里发布它,以防它对其他人有帮助。
我的远程连接直接连接到我的服务器的 IP 地址,而不是受信任的 SSL 证书中的名称。因此,当我将远程连接设置更改为连接到受信任的名称而不是 IP 地址时,它工作正常。我的假设是,当您直接连接到 IP 地址时,RDP-TCP 管理器会查找匹配的证书,如果找不到,则默认返回到自动生成的证书(如果不存在,则重新创建它)。所以,现在当我将其设置为第三方受信任证书,然后使用该证书的 FQDN 进行连接时,它会保持不变。
所以,现在扫描通过了,没有任何标志,我可以开始了。
答案2
我知道这是一个老话题,但是当我将其导入 IIS 时,我能够通过使 RDP 主机配置管理器“可导出”来保留 SSL 证书。
仅供参考。
答案3
这是一份错误的证书。您可能需要尝试再次导入它。还要检查中间和受信任的根证书颁发机构,以查看证书链是否完整。RDP 将删除任何不够好的证书。