我对以下系统有疑问:
- 有一个 Windows 2012 R2 TS 场,其中有 2 个节点、一个网关和一个代理
- 它可从 login.example.com 外部获取
- 也有一个 AD,TS 场服务器是成员服务器,AD 域是 example.local
问题:我想让用户无需任何警告或任何证书安装要求即可访问此系统。这些计算机是非 AD 计算机,无法让它们成为 AD 成员。
我尝试过或想到的事情:
- 我尝试获取一个免费的 StartSSL 证书到 login.example.com,但是在安装之后,由于名称不匹配,TS 会话启动中断。
- 我尝试制作一个颁发给 tsgw.example.local 的自签名证书,但问题恰恰相反:即使我安装了该证书,浏览器也会抱怨名称不匹配。
- 据我所知,没有公共 CA 允许颁发具有公共通用名称的证书,而是使用私有 altname/附加 DNS 名称。
- 我发现的论坛/SO/SF 主题建议创建一个私有 CA 并用它颁发证书(它能够向两个名字颁发证书),但这是我们的最后一个计划,因为我们真的不想强迫用户安装 CA 证书来使用我们的服务(因为他们是非 AD 计算机,所以没有自动的方法强制信任我们的 CA)如果有办法避免这种情况的话。
这个问题有解决办法吗?如果有办法强制 RDweb 忽略名称不匹配,我会很满意。
答案1
解决方案比我预期的要简单。您必须在服务器管理器中导航到远程桌面管理界面,编辑部署属性并将“证书”选项卡中的所有证书更改为外部证书。在服务器间通信中,服务不使用 SSL 加密连接(仅使用纯 RPC),因此它们可以简单地忽略您安装的证书。但是,在客户端-服务器通信中,将使用此证书,因此在所有情况下保持一致非常重要。
答案2
为什么不能从权威机构购买 SSL 证书?我最近在配置类似的设置,我从这里购买了一个:https://www.namecheap.com/ 它被称为 PositiveSSL,价格约为 6 美元。在您的服务器配置了此产品后,您将不会收到 SSL 错误。