我可能执行了错误的程序(我不是 Windows 服务器方面的专家)。
我们的服务器在 SBS 2011 上使用 128 SHA1 自签名证书进行 RDP 操作。该证书已过期。我继续从 IIS 7 服务器证书创建新证书,并选择“创建自签名证书”选项。
然后我转到远程桌面会话主机配置,然后右键单击 RDP-Tcp,然后从 RDP-Tcp 属性中选择生成的证书。
应用并再次测试 RDP 后,我收到一条警告,提示“此 ca 根证书不受信任。启用信任...”
即使我可以建立 RDP,但投诉仍然存在。
我该如何修复它?
答案1
在 Windows Small Business Server 中续订或添加证书(无论是自签名证书还是由公共 CA 签名的证书)的正确方法是使用 Windows SBS 控制台的“修复我的网络”向导。该向导执行两项操作:
- 如果你使用的自签名证书已过期,它会进行更新
- 它正确地(重新)安装服务器上使用该证书的各种服务中的现有证书,例如 Exchange、远程 Web 访问、远程桌面会话代理等。您绝不应该在 SBS 服务器上手动安装这些服务中的证书。
运行修复我的网络向导来修复证书,如下所示:
- 启动 Windows SBS 控制台
- 点击顶部的网络图标,然后点击连接标签
- 在右侧窗格中,单击修复我的网络
- 如果检测到多个问题,则需要修复名为自发认证已过期
现在,由于您已经手动更新了证书,因此向导可能找不到要修复的过期证书。 如果是这样,请通过 SBS 控制台重新安装已更新的证书,如下所示:
- 启动 Windows SBS 控制台
- 点击顶部的网络图标,然后点击连接标签
- 在右侧窗格中,单击添加受信任的证书
- 向导启动后,单击下一个
- 在获取证书屏幕选择我想使用服务器上已安装的证书然后点击下一个
- 从列表中选择正确的证书,然后单击下一个
- 向导将安装证书。单击结束完成后。
我希望这能解决你的问题
根据您的评论,服务器上使用 RDP 的所有计算机都已加入域。因此,它们都应该信任 SBS 控制台安装的证书。只有非域工作站才需要执行其他操作才能信任 SBS 服务器正在使用的自签名证书,即使用提供的证书安装包配置非域计算机以将证书添加到其受信任的根证书存储中。
答案2
要获得适当信任的证书,您需要做以下两件事之一。
- 从付费提供商或 LetsEncrypt 项目获取公共证书
- 创建供内部使用的 CA
Let's Encrypt 是一个很棒的项目,但需要从互联网向您的服务器开放 HTTP 来验证域所有权。
可以通过向服务器添加“Active Directory 证书服务”角色来创建内部 CA。通常不建议在域控制器上安装 CA,但在 SBS 中,一切都以此为基础。
https://technet.microsoft.com/en-us/library/cc731183(v=ws.11).aspx
解决这个问题的第三种方法是一次性、单服务器修复,即生成一个具有正确名称的自签名证书。然后,您需要提取证书的副本,并将其放入建立连接的每台计算机的受信任根证书颁发机构中。如果需要,可以通过 GPO 完成此操作。