如果没有唯一的、可公开解析的 Active Directory 域(即使用 foo.local 与 corp.foo.com),是否可以实现 RDP 证书/SSO Nirvana?即端到端、零麻烦、RDP 会话(RemoteApp + 远程桌面)没有需要安装客户端证书。
我想保持这个高水平:我可以完成规划/配置过程(并根据需要提出其他问题),但在我走这条路之前(而不是寻找 Citrix 等替代方案),我想知道这是否可行。
答案1
没有在客户端上安装证书?那么答案是“不”。不。不。
然而,这是有可能的当且仅当将用于 RDP 会话的根证书分发给将建立这些 RDP 连接的每个客户端。
如果我有一个域名为 INamedMyDomainPoorly.local,那么没有像 GoDaddy 或 Cybertrust 这样的全球信任证书颁发机构会为该域名颁发证书。但我可以轻松建立自己的内部证书颁发机构 ca.INamedMyDomainPoorly.local,让它为 rdsessionhost.INamedMyDomainPoorly.local 颁发证书,然后将根 CA 的证书(以及证书链,如果适用)添加到我所有客户端的受信任根 CA 存储中。
如果我的所有客户端都加入了 Active Directory 域,我可以使用组策略分发此证书。
该证书需要准确反映您的客户端正在连接到的 RD 会话的主机名,您的客户端需要 INamedMyDomainPoorly.local 的 DNS 解析,并且它需要包含您的客户端可以访问的 CDP(CRL 分发点)。