实际上,有关为远程桌面服务器身份验证启用证书(以及通过组策略配置自动注册)的所有说明都表明您应该创建一个新的证书模板(名为“RemoteDesktopComputer”或类似名称),仅添加特定于 RDP 的 OID 1.3.6.1.4.1.311.54.1.2 作为 extendedKeyUsage。
但是,一些第三方客户端总是期望证书具有“TLS 服务器”扩展密钥使用情况,并且在验证仅具有此 OID 的服务器时会遇到问题。因此,我更愿意为 RDP 使用通用 TLS 证书。
如果我不使用自定义模板,而是在 GPO 设置中指定内置的“计算机”模板,是否会出现任何操作问题?(“Windows 组件/远程桌面服务/远程桌面会话主机/安全”下的模板)
如果 GPO还是否已为同一“计算机”模板启用“公钥策略/自动证书请求设置”下的证书注册?这是否可能导致计算机基于同一模板获得两个冗余证书?
计算机使用通用“计算机”证书(带有标准“TLS 服务器”OID)来提供远程桌面服务是否会出现安全问题?
答案1
自动证书请求设置(ACRS)仅注册 V1 证书模板(Windows 2000 仅支持此方法)。这些缺乏灵活性。
一般而言,任何包含 EKU 的证书服务器身份验证(并且包含主题和/或包含 RDP 客户端正在验证的 DNS 名称的 SAN)应该可用于远程桌面类证书。
您是否应该使用单独的证书?这取决于您部署到机器的证书的安全配置文件。
- 如果密钥对其他事情没用,那么它其实并不重要。
- 如果您无论如何都要向每个客户提供 2 个证书,那么这可能并不重要。
- 如果您的 RDP 身份验证配置文件与提供给设备的其他每个证书有显著不同,则值得将其保留为不同的证书类型。
- 如果您还为其他目的提供证书 - 例如 SCCM 身份验证和管理、VPN 或两者 - 那么是否可以将其他客户端身份验证证书与服务器身份验证相结合以生成一体化设备证书?
- 再次强调,关键的权衡:证书越多可能意味着管理越多;证书越少可能越容易管理,但要仔细评估安全能力和权衡
答案2
如果您使用通用计算机模板,您将失去与 RDP 端口的自动证书绑定。您必须手动监控每台启用 RDP 的机器上的证书到期情况并重新绑定。
RDP 专用计算机和通用计算机之间没有安全性差异,这完全取决于维护。使用专用证书模板,只要配置了 GPO,一切都会自动完成。使用不满足某些要求的通用证书 - 您必须手动进行 RDP 证书配置。
然而,一些第三方客户端总是期望证书有一个“TLS 服务器”
在 EKU 中添加两个条目:RDP 身份验证和服务器身份验证