我们有一台运行 AD 证书服务的 Server 2016。我们的团队被要求创建一个新的 RDP 证书,以便在通过 RDP 进入系统时自签名证书错误会消失。继续生成新证书并安装在“机器证书 > 个人”中,具有以下属性:
密钥用途 = 密钥加密 / 数据加密
增强密钥使用 = 服务器身份验证
使用了下面文章中的命令:在远程管理模式下为 Windows Server 2012(及更高版本)上的 RDP 配置自定义 SSL 证书?
wmic /namespace:\root\cimv2\TerminalServices PATH Win32_TSGeneralSetting 设置 SSLCertificateSHA1Hash="THUMBPRINT"
将“THUMBPRINT”替换为我们创建的新证书的指纹。命令已成功发出。但是,现在每当我们尝试通过 RDP 进入系统时,都会收到以下错误:“发生了内部错误”有用,对吧?
查看 Server 2016 事件查看器 > 系统日志显示以下错误:“从远程客户端应用程序收到 TLS 1.0 连接请求,但客户端应用程序支持的任何密码套件均不受服务器支持。 SSL 连接请求失败。”
在 RDP 客户端上执行了 Wireshark 捕获。一旦发送 TLS 1.2 客户端 Hello,服务器就会立即以 TCP RST 进行响应。因此,存在某种密码不匹配的情况,我不知道如何找到它。此外,我无法恢复使用旧的自签名 RDP 证书,因为上面的“wmic”命令似乎不喜欢自签名证书指纹(给我一个无效属性错误)。
- 我们不想删除/重命名 C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys,因为该服务器托管 AD 证书服务,并且不想导致任何进一步的证书错误。
- -确保 HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2 设置为 Enabled=1
谁知道这是什么原因造成的?