服务器 RDP 证书每 6 个月过期一次并自动重新创建,这意味着我需要在客户端机器上重新安装新证书以允许用户保存密码。
是否有一种简单的方法来创建有效期较长的自签名证书?
我有 5 台服务器需要配置。
另外,我该如何安装证书以便终端服务使用它?
注意:服务器不在域上,我很确定我们没有使用网关服务器。
答案1
您可以使用多种不同的工具创建自签名证书。Makecert 就是这样一种工具:
http://msdn.microsoft.com/en-us/library/bfsktky3(v=vs.110).aspx
“服务器身份验证”的 OID 是 1.3.6.1.5.5.7.3.1,因此该参数-eku 1.3.6.1.5.5.7.3.1
将位于其中的某个位置。
makecert -r -pe -n CN="MyServer" -eku 1.3.6.1.5.5.7.3.1 -ss my -sr localmachine -b 01/01/2000 -e 01/01/2036
这会让您的计算机个人存储中出现一个自签名证书,其有效期为 2036 年。
答案2
如果您拥有一个大型域,最好的方法是设置企业证书颁发机构。然后只需设置策略,以便您的系统自动从 CA 获取有效证书。
还设置策略,以便自动信任该 CA 颁发的任何证书。
答案3
完成 Ryan Ries 的上述回答(正如我刚刚计算出来的)
- 执行建议的 makecert 命令
makecert -r -pe -n CN="MyServer" -eku 1.3.6.1.5.5.7.3.1 -ss my -sr localmachine -b 01/01/2000 -e 01/01/2036
- 管理计算机证书 - 您将在个人证书中找到创建的证书
- 导出证书(右键单击->所有任务->导出->包含私钥->为其提供安全密码)
- 在 TS 服务器上,打开 RD 网关管理器
- 右键单击 TS 服务器 -> 属性 -> SSL 证书选项卡
- 导入证书
...你现在可以走了。