RDP 证书分发点

RDP 证书分发点

当我尝试访问通过 Forefront 发布的 TS 网关服务器时,我收到消息“您的计算机无法连接到远程计算机,因为远程桌面网关服务器的证书已过期或已被吊销”。使用的证书来自我的内部企业 CA。

据我所知,类型排列整齐,整个链都可以正确验证。我的 TS、TS 网关、Forefront 或客户端的系统日志中没有显示任何有趣的内容。我唯一能想到的就是这是某种验证问题。我不确定从哪里或如何进一步诊断。

编辑-我通过以下内容验证了我的服务器上的证书路径是否良好。

certutil -verify -urlfetch mycert.cer
....
Verified Issuance Policies: None
Verified Application Policies:
   1.3.6.1.5.5.7.3.1 Server Authentication
Leaf certificate revocation check passed
CertUtil: -verify command completed successfully.

IIS 中使用的相同证书也在 TS 网关屏幕中使用。

编辑-客户端运行的是 Windows 7,mstsc 版本 6.1.7601.17514。

编辑 - 有趣..听起来 RDP 需要启用 OCSP 才能进行 CRL 查找。http://www.experts-exchange.com/Networking/Security/Q_25072298.html

答案1

任何一个:

  1. 客户端没有在其计算机上的“信任根证书”文件夹中安装 CA 根证书。
  2. 客户端无法解析证书中的 CRL URL,或者返回过时的 CRL。

默认情况下,MS CA 配置为仅将 CRL 发布到 AD,而外部世界无法访问 AD。如果无法获取 CRL 且指定了 URL,则 MSTSC 6.0+ 将返回此错误。

相关内容