当我连接到运行 Windows Server 2003 R2 的 Amazon 实例时,mstsc系统提示无法验证远程服务器的身份。如下图所示:
但在我的例子中,证书名称是:i-0e427eaa3f0b7ca11。问题不在于亚马逊基础设施,不是吗?
我的猜测是,每个 Amazon 实例都是从一些预先安排好的映像创建的。这就是我必须重新颁发证书的原因。我找到了有关如何去做。但他们基本上是这样的:删除一些文件,重新启动,然后获利。这就是重新颁发证书的一般方法吗?这能解决我的问题吗?
更新型多巴胺我在 MMC > 证书(本地计算机)> 个人 > 证书中发现了该证书(以及许多其他具有类似名称的证书)。在另一台非 Amazon 服务器上,我在此文件夹中看不到任何证书。该证书以完整的计算机名称作为友好名称(但不是主题)。而且,服务器选择此特定证书的原因并不十分清楚。我想我无法删除它。亚马逊可能出于某些技术原因使用它。
一般来说,问题是,发生了什么?如何选择证书?我如何影响它?谁做的?当个人文件夹中没有证书时,会建立非 TLS 连接吗?
答案1
你有两个问题。
- 服务器名称与证书上的名称不匹配。
- 该证书不受信任。
为了解决这个问题
您不必匹配服务器的主机名,证书必须匹配客户端使用的 DNS 名称。如果 DNS 名称发生变化,请获取 DynDNS 之类的东西或您自己的域中的名称,您可以将其更新为正确的 IP 地址。这样,您使用的名称就会保持不变,并且您知道要将哪个名称放入证书中。
让您的客户端信任该证书。要么创建一个自签名证书并让客户端信任它,要么从 letsencrypt 或另一个已经受信任的 CA 获取证书。或者设置您自己的 CA,但对于一台服务器来说,这可能不值得付出努力。
启动 mmc 并添加远程桌面配置管理器 MMC 管理单元以选择证书。