外部の静的IPの背後にある複数のマシンにRDP接続する必要があります。私が使用している方法は、選択したポートをターゲットIP:3389にポート転送することです。例:
forward 100.110.120.130:10001 to 192.168.1.101:3389
forward 100.110.120.130:10002 to 192.168.1.102:3389
etc...
これは問題なく動作します。しかし、今度は SSL/TLS を使用して RDP セッションを保護したいと考えています。ホスト マシンの RDP サーバー認証証明書を使用して、クライアント マシンの信頼されたルート CA ストアにインストールできますが、RDP ホストの名前が外部 IP アドレスと一致せず、証明書エラーが発生します。
外部 IP は静的で変更されませんが、ポートは必然的に変更されます。したがって、ワイルドカード証明書を使用して静的 IP をサブドメインにマップし、証明書エラーが発生することなくこの方法でポート転送を引き続き使用できますか?
皆さん、ありがとうございました...
答え1
まず、証明書はリモート ホスト上の特定のサービスではなく、リモート ホストを識別するため、証明書のサブジェクト (またはサブジェクト代替名拡張機能) にはポート情報が必要です。
次に、証明書のサブジェクトは、アドレス バー/フィールドにクライアントが入力した名前/アドレスと一致する必要があります。内部の名前/アドレスと一致する必要はありません。
つまり、目的に応じて、サブジェクト フィールドにパブリック IP/名前を含む単一の証明書を作成しても安全です。この証明書を NAT の背後にある必要なすべてのクライアントに配布すれば、問題ありません。