SSL 証明書を使用した RDP ホストとしての Windows 10 Pro。方法は?

tag-icon tag-icon security ssl-certificate remote-desktop windows-10
SSL 証明書を使用した RDP ホストとしての Windows 10 Pro。方法は?

別の場所から接続したときに証明書エラーが発生しないように、Windows 10 Pro マシンに SSL 証明書を追加する方法を探すのに、忍耐力を使い果たしました。

これまでのところ、私が目にしたガイドはすべて、最終的には Windows Server 向けのものであることがわかりました。

私が試したこと:

スタートメニューをクリックし、入力しcertlm.mscて Enter キーを押します。

購入した証明書をホスト マシンのPersonal > CertificatesフォルダーとRemote Desktop > Certificate Serviceフォルダーの両方に配置します。

ここに画像の説明を入力してください

別のマシンから再接続しようとすると、証明書信頼エラーが引き続き発生します。

誰か助けてくれませんか?

繰り返しますが、私はこれを Windows Server ではなく、Windows 10 Pro マシンで実現しようとしています。

答え1

クライアントでも同じルールが適用されます。RDS 構成に証明書を割り当てる必要があります。たとえば、PowerShell を使用する場合:

$path = (Get-WmiObject -class "Win32_TSGeneralSetting" -Namespace root\cimv2\terminalservices -Filter "TerminalName='RDP-tcp'").__path
Set-WmiInstance -Path $path -argument @{SSLCertificateSHA1Hash="THUMBPRINT"}

THUMBPRINT証明書の拇印です。これらのコマンドは、管理者特権のシェルで実行する必要があります。

答え2

Windows 11 Pro - リモート デスクトップ SSL 証明書のセットアップ

記事に基づく:リモート デスクトップ リスナー証明書の構成そして署名

  1. 買うremote.example.com RapidSSL® DV 証明書搭載デジサート®からSSLストア

  2. 使用オープンSSL引き起こすRSA 秘密鍵証明書署名要求のためにremote.example.com

    openssl req -new -newkey rsa:4096 -nodes \
-out /home/user1/remote_example_com_csr.txt \
-keyout /home/user1/remote_example_com.key \
-subj "/C=US/ST=Utah/L=Salt Lake City/O=Example, Inc./CN=remote.example.com"

  3. 使用証明書署名要求remote_example_com_csr.txt生成するファイルSSL証明書SSLストア

  4. ドメインの所有権を確認するDNSレコードの使用:

    2.1 作成記録する場所ホスト=remote.example.comそして価値=YOUR_PUBLIC_IPV4_ADDRESS

    2.2 作成するTXT記録する場所ホスト=remoteおよび価値= hs8s67k8g2y57ptjtt34rfhn0wl7ys6f。これは、SSLストアDNS ベースのドメイン検証用。

  5. 使用オープンSSLSSL証明書を組み合わせるPKCS#12 についてファイル。

    openssl pkcs12 -export \
-out /home/user1/remote_example_com.pfx \
-inkey /home/user1/remote_example_com.key \
-in /home/user1/remote_example_com.crt \
-certfile /home/user1/certificate.bundle

    注記: エクスポート/インポート パスワードの入力を求められます。これは空白のままにしておくこともできますが、明らかな理由から、空白のままにしておくべきではありません。

    Enter Export Password:
Verifying - Enter Export Password:

  6. ファイルremote_example_com.pfx安全な場所に保存されます

  7. certlm.mscインポートに使用するPCKS #12ファイルに個人的>証明書店。

    注記:wmicコマンドを実行する前に、使用する証明書でなければなりません輸入されたローカルマシンの個人証明書ストア証明書をインポートしない場合は、無効なパラメーターエラー。

  8. スタートメニュー > 入力certlm.mscして Enter キーを押します。

  9. [個人] > [証明書ストア] に移動します。

  10. 右クリック > すべてのタスク > インポート...

  11. ウィザードに従って SSL 証明書をインポートします。

  12. SSL証明書をダブルクリックし、詳細証明書を見つけるためのタブ拇印分野。

  13. 拇印をメモ帳にコピーします。

    b363f15095137d374f78d11913a186c5c3ddd44c

  14. 使用コマンド・プロンプトとして管理者wmic手順 13 で取得したサムプリント値とともに次のコマンドを実行します。

    wmic /namespace:\\root\cimv2\TerminalServices PATH Win32_TSGeneralSetting Set SSLCertificateSHA1Hash="b363f15095137d374f78d11913a186c5c3ddd44c"

  15. 成功した場合、次の出力が表示されます。

    Updating property(s) of...
Property(s) update successful.

リモート デスクトップ プロトコル (.rdp) ファイル

記事に基づく:サポートされているリモート デスクトップ RDP ファイル設定

記事に基づく:mtsc

リモート デスクトップ セッション ホスト サーバーまたはその他のリモート コンピューターへの接続を作成し、既存のリモート デスクトップ接続 (.rdp) 構成ファイルを編集します。

新しい編集用のリモート デスクトップ接続:

mstsc

コマンドラインから接続するには直接ポート 25301

mstsc /v:remote.example.com:25301

注記: 一般的に、DNSホスティングプロバイダーはDNSでカスタムポートを設定することを許可していません。のレコードが作成されましたremote.example.com。この制限に対処するには、ポート転送あなたの無線ルーター

ポート転送

WikipediaのTCPおよびUDPポート番号のリスト確認するために 競合しないポートを選択する既存のサービスと連携します。デフォルトのポートは使用しないでください 3389外部ポートとして。

既存の編集 remote_example_com.rdpファイル

mstsc /edit remote_example_com.rdp

RDP 署名

記事に基づく:署名

  1. リモート デスクトップ プロトコル.rdpファイルにデジタル署名します。
rdpsign /sha256 f6f6622c5f0a8ad0b7fabf0f37e32bc4922172fb remote_example_com.rdp

ハッシュ値は、スペースなしの SHA1 証明書のサムプリントを表します。

関連情報