是否有任何方法可以使用单个受信任的、第三方证书颁发机构 (CA) 签名的通配符安全证书来保护整个 Active Directory (AD) 域,以便无缝进行以下远程访问:
- RDP 使用远程 Web 访问 (RWA) 通过远程桌面网关 (RDG) 连接到 PC。
- RDP 使用远程桌面连接通过远程桌面网关 (RDG) 到远程桌面服务 (RDS) 服务器。
理想情况下,我希望用户在进行远程处理时不会收到安全证书警告(无论计算机在哪里或计算机是否加入域):
- 浏览到
https://internal.domain.com/remote
、登录并选择PC-01
。 - 打开 RemoteApp 并登录。
细节:
- 互联网域名:
domain.com
- AD 域名:
internal.domain.com
- AD 域控制器和 RDG 服务器完全限定域名:
server-01.internal.domain.com
- RDS 服务器完全限定域名:
server-02.internal.domain.com
- PC 完全限定域名:
pc-01.internal.domain.com
- 通配符安全证书:
*.internal.domain.com
据我所知,这是不可能的,因为单个安全证书只能安装在一台计算机上,而这种情况需要在 3 台计算机(RDG 服务器、RDS 服务器和 PC)上安装安全证书。
但是,我知道 AD 有自己的公钥基础设施 (PKI) 和“内部”CA,用于确保其域与加入域的计算机之间的信任。那么,有没有办法用受信任的第三方 CA 签名的通配符安全证书替换 AD 的 CA 根安全证书?
更新 2016/06/30 16:33:我在这方面取得了重大进展,问题解决后我会写出答案。
答案1
免责声明:这是我记忆中最深刻的
我们的安全证书提供商 SSL247 告诉我,通配符安全证书:
- 仅覆盖下一级的子域名,而不是根域名。
- 可以安装在无限数量的服务器上(也包括 PC?),除非它们由赛门铁克提供(如果我没记错的话)。
简而言之,完整的决议是:
- 在 RDS 服务器上,打开 RemoteApp Manager 并将 RDG 从 更改
internal.domain.com
为remote.internal.domain.com
。 在 Internet 域
domain.com
的权威名称服务器上,创建 DNS 资源记录 (RR):remote.internal.domain.com 3600 IN A <public IP address>
在路由器上,创建防火墙和 NAT 规则以允许并将端口 TCP 443 转发到 RDG 服务器。
- 在 RDG 服务器上,打开 IIS 管理器并创建证书签名请求 (CSR)
*.internal.domain.com
- 将 CSR 提交给受信任的第三方 CA 并等待颁发。
- 在 RDG 服务器上,打开 IIS 管理器,完成 CSR 从而安装通配符安全证书,并将通配符安全证书及其私钥导出为 PFX 文件。
- 在 RDG 服务器上,打开 RDG 管理器并配置安全证书、连接授权策略 (CAP) 和资源授权策略 (RAP)。
- 在 RDS 服务器上,打开 MMC > 证书并导入 PXF 文件,从而安装通配符安全证书。
- 在 RDS 服务器上,打开 RDS 主机配置并重新配置连接“RDP-Tcp”并更改安全证书。
事实上,我们的决议要复杂得多。
我们原来的设置如下:
- 角色 RDG 安装在
server-01.internal.domain.com
运行 Windows Server 2012 R2 Essentials 的服务器上。 - 角色 RDS 安装在
server-02.internal.domain.com
运行 Windows Server 2008 R2 Standard 的服务器上。
长话短说(如果需要,请要求澄清),这个设置根本不起作用。尽管使用域管理用户帐户并将所有设置(RDG、CAP、RAP、NPS 等)配置为尽可能低/开放,但外部 RDP 始终失败,并出现以下错误:
远程桌面无法连接到远程计算机“server-02.internal.domain.com”,原因如下:
1) 您的用户帐户无权访问 RD 网关“remote.internal.domain.com”
2) 您的计算机无权访问 RD 网关“remote.internal.domain.com”
3) 您正在使用不兼容的身份验证方法(例如,RD 网关可能需要智能卡,但您提供了密码)
日志名称:Microsoft-Windows-TerminalServices-Gateway/Operational
来源:Microsoft-Windows-TerminalServices-Gateway
日期:2016/06/30 15:47:33
事件 ID:201
任务类别:(2)
级别:错误
关键字:审核失败,(16777216)
用户:NETWORK SERVICE
计算机:server-01.internal.domain.com
描述:
客户端计算机“%ourPublicIPAddress%”上的用户“%domainAdministrativeUserAccount%”不符合连接授权策略要求,因此无权访问 RD 网关服务器。使用的身份验证方法是:“NTLM”,使用的连接协议是:“HTTP”。发生以下错误:“23003”。
我深入研究了这种情况和这些错误,并找到了大量资源,但没有一个能解决问题。
我让我们的网络运营中心 (NOC) 进行了调查,他们得出结论,问题是由使用 Essentials 引起的。
我将角色 RDG 从服务器#1 移至服务器#2(我意识到这几乎毫无意义),更新了网络,并且它几乎立即生效。
哦,好吧。至少它能用。