我最近在 SF 上获悉,在公共接口上使用自签名证书进行 RDP 是不建议。在这个特定场景中,我想更多地了解为什么。
情况是这样的:我通过静态 IP 将端口转发到 LAN 上的独立机器,以 RDP 方式进入网络。例如:
External 100.110.120.130:10001 forward to 192.168.1.101:3389
External 100.110.120.130:10002 forward to 192.168.1.102:3389
And so on.
我需要通过 RDP 连接到的每台机器(每台 RDP 主机)都有一个自签名私钥,而我的 RDP 客户端(仅这每台机器都有公共证书。证书位于每台机器上的受信任根 CA 存储中。证书的主题 CN 是静态 IP 100.110.120.130。
如果我在每个 LAN 机器上配置 IPSec,要求使用以下方式进行入站/出站身份/身份验证/加密:只有此证书和,TCP:3389而且UDP:3389我是唯一拥有公钥的人,你能帮助我了解这种情况下的风险吗?
提前致谢!