Windows 10 Pro 作为具有 SSL 证书的 RDP 主机。怎么做?

Windows 10 Pro 作为具有 SSL 证书的 RDP 主机。怎么做?

我已经耗尽耐心寻找如何向我的 Windows 10 Pro 机器添加 SSL 证书,以便当我从其他地方连接时,不会收到证书错误。

到目前为止,我遇到的每个指南最终都适用于 Windows Server。

我尝试过的:

我单击开始菜单,然后输入certlm.msc并按 Enter。

我将购买的证书放在主机Personal > Certificates文件夹和Remote Desktop > Certificate Service文件夹中。

在此处输入图片描述

当我尝试从另一台机器重新连接时,仍然收到证书信任错误。

有人可以帮忙吗?

再次强调,我尝试在 Windows 10 Pro 机器上完成此操作,而不是 Windows Server。

答案1

在客户端上,适用相同的规则。您必须将证书分配给 RDS 配置。例如,使用 PowerShell:

$path = (Get-WmiObject -class "Win32_TSGeneralSetting" -Namespace root\cimv2\terminalservices -Filter "TerminalName='RDP-tcp'").__path
Set-WmiInstance -Path $path -argument @{SSLCertificateSHA1Hash="THUMBPRINT"}

其中THUMBPRINT是您的证书的指纹。这些命令必须在提升的 shell 中执行。

答案2

Windows 11 Pro - 远程桌面 SSL 证书设置

根据文章:远程桌面侦听器证书配置信号

  1. remote.example.com RapidSSL® DV 证书供电Digicert®SSL 商店

  2. 使用OpenSSL生成RSA 私钥&证书签名请求为了remote.example.com

    openssl req -new -newkey rsa:4096 -nodes \
    -out /home/user1/remote_example_com_csr.txt \
    -keyout /home/user1/remote_example_com.key \
    -subj "/C=US/ST=Utah/L=Salt Lake City/O=Example, Inc./CN=remote.example.com"
    
  3. 使用证书签名请求remote_example_com_csr.txt要生成的文件SSL 证书SSL 商店

  4. 验证域名所有权使用 DNS 记录:

    2.1 创建A记录在哪里主持人=remote.example.com价值=YOUR_PUBLIC_IPV4_ADDRESS

    2.2 创建TXT记录在哪里主持人=remote价值= hs8s67k8g2y57ptjtt34rfhn0wl7ys6f。这是由SSL 商店用于基于 DNS 的域验证。

  5. 使用OpenSSL合并 SSL 证书变成PKCS #12文件。

    openssl pkcs12 -export \
    -out /home/user1/remote_example_com.pfx \
    -inkey /home/user1/remote_example_com.key \
    -in /home/user1/remote_example_com.crt \
    -certfile /home/user1/certificate.bundle
    

    笔记:系统将提示您输入导出/导入密码。该密码可以留空,但出于显而易见的原因,不应留空。

    Enter Export Password:
    Verifying - Enter Export Password:
    
  6. 文件remote_example_com.pfx保存到安全位置

  7. 用于certlm.msc导入电脑端:PCKS#12文件到个人的>证书店铺。

    笔记:在运行wmic命令之前,您要使用的证书必须是进口到本地机器的个人证书存储。如果您不导入证书,您将收到无效的参数错误。

  8. 开始菜单 > 输入certlm.msc并按 Enter。

  9. 导航到个人 > 证书存储。

  10. 右键单击 > 所有任务 > 导入...

  11. 按照向导导入 SSL 证书。

  12. 双击 SSL 证书,点击细节选项卡以查找证书指纹场地。

  13. 将指纹复制到记事本。

    b363f15095137d374f78d11913a186c5c3ddd44c
    
  14. 使用命令提示符作为行政人员,将以下wmic命令与您在步骤 13 中获得的指纹值一起运行。

    wmic /namespace:\\root\cimv2\TerminalServices PATH Win32_TSGeneralSetting Set SSLCertificateSHA1Hash="b363f15095137d374f78d11913a186c5c3ddd44c"
    
  15. 如果成功,将显示以下输出。

    Updating property(s) of...
    Property(s) update successful.
    

远程桌面协议 (.rdp) 文件

根据文章:支持的远程桌面 RDP 文件设置

根据文章:移动通信系统

创建与远程桌面会话主机服务器或其他远程计算机的连接并编辑现有的远程桌面连接 (.rdp) 配置文件。

开设新用于编辑的远程桌面连接:

mstsc

从命令行连接直接港口 25301

mstsc /v:remote.example.com:25301

笔记:一般来说,您的 DNS 托管提供商不允许使用 DNS 设置自定义端口A为 创建的记录remote.example.com。为了解决此限制,转发端口在您的设置中无线路由器

转发端口

参见维基百科TCP 和 UDP 端口号列表确保你 选择一个不会发生冲突的端口与任何现有服务。不要使用默认端口 3389作为外部端口。

编辑现有的 remote_example_com.rdp文件

mstsc /edit remote_example_com.rdp

RDP 签名

根据文章:信号

  1. 对远程桌面协议.rdp文件进行数字签名。
rdpsign /sha256 f6f6622c5f0a8ad0b7fabf0f37e32bc4922172fb remote_example_com.rdp

哈希值代表 SHA1 证书指纹,没有任何空格。

相关内容