我需要通过 RDP 连接到外部静态 IP 后面的多台机器。我使用的方法是将选定的端口转发到目标 IP:3389。例如
forward 100.110.120.130:10001 to 192.168.1.101:3389
forward 100.110.120.130:10002 to 192.168.1.102:3389
etc...
运行正常。但现在我想使用 SSL/TLS 并保护 RDP 会话。我可以使用主机中的 RDP 服务器身份验证证书并将其安装到客户端计算机受信任的根 CA 存储中,但是 RDP 主机的名称与外部 IP 地址不匹配,因此我收到证书错误。
外部 IP 是静态的,不会改变,但端口必然会改变。那么,我可以使用通配符证书并将静态 IP 映射到子域,并继续以这种方式使用端口转发而不会遇到证书错误吗?
谢谢你们...
答案1
首先,证书主体(也不是主体备用名称扩展)需要端口信息,因为证书标识的是远程主机,而不是远程主机上的特定服务。
其次,证书主体必须与地址栏/字段中的名称/地址客户端类型匹配。它不需要与内部名称/地址匹配。
这意味着,对于您的目的而言,在主题字段中创建具有公共 IP/名称的单个证书是安全的。将此证书分发给 NAT 后面的所有所需客户端,您就没问题了。