当我尝试访问通过 Forefront 发布的 TS 网关服务器时,我收到消息“您的计算机无法连接到远程计算机,因为远程桌面网关服务器的证书已过期或已被吊销”。使用的证书来自我的内部企业 CA。
据我所知,类型排列整齐,整个链都可以正确验证。我的 TS、TS 网关、Forefront 或客户端的系统日志中没有显示任何有趣的内容。我唯一能想到的就是这是某种验证问题。我不确定从哪里或如何进一步诊断。
编辑-我通过以下内容验证了我的服务器上的证书路径是否良好。
certutil -verify -urlfetch mycert.cer
....
Verified Issuance Policies: None
Verified Application Policies:
1.3.6.1.5.5.7.3.1 Server Authentication
Leaf certificate revocation check passed
CertUtil: -verify command completed successfully.
IIS 中使用的相同证书也在 TS 网关屏幕中使用。
编辑-客户端运行的是 Windows 7,mstsc 版本 6.1.7601.17514。
编辑 - 有趣..听起来 RDP 需要启用 OCSP 才能进行 CRL 查找。http://www.experts-exchange.com/Networking/Security/Q_25072298.html
答案1
任何一个:
- 客户端没有在其计算机上的“信任根证书”文件夹中安装 CA 根证书。
- 客户端无法解析证书中的 CRL URL,或者返回过时的 CRL。
默认情况下,MS CA 配置为仅将 CRL 发布到 AD,而外部世界无法访问 AD。如果无法获取 CRL 且指定了 URL,则 MSTSC 6.0+ 将返回此错误。