Windows ホストに複数の RDP 証明書がある場合、接続時にすべてがチェックされますか、それとも最初に見つかったものだけがチェックされますか?
AIA 内の無効な OCSP ロケーションを持つルート CA から展開された RDP 証明書があります。すべてのホストに接続すると、無効な OCSP アドレスを確認するのに明らかに時間がかかります。追加の有効な RDP 証明書を展開しますが、両方の証明書をどのように処理するかはわかりません。私の考えが正しければ、期限切れの証明書はチェックされないはずです。
しかし、期限が切れていない場合はすべての RDP 証明書をチェックし、その後も無効な OCSP について警告するのでしょうか?
完全に有効な RDP 証明書 1 つで何とか満たされることを期待します。
RDP 証明書とは、値が「1.3.6.1.4.1.311.54.1.2」の拡張キー使用法を持つ証明書を意味します。
答え1
現在グループ ポリシー経由で展開していない場合は、そうすることをお勧めします。この記事カスタム証明書テンプレートと GPO を作成し、サーバーが正しい証明書を登録してバインドできるようにする方法について説明します。
内部 CA がある場合にこれを提案する理由は、GPO を使用して強制的に証明書を置き換える方がクリーンな場合があるためです。すでにこの設定を行っている場合は、証明書テンプレートを調整し、すべてのクライアントに再登録を強制するオプションを選択すると、新しい証明書を取得してバインドできるようになります。
あなたの質問に答えるために実際の質問正しいEKUを持つ有効な証明書が複数ある場合、RDPは正しいEKUを持つ証明書とバインドすると思います。最長有効期間左 (簡単に検索しましたが、今のところ参考になる情報が見つかりません)。そのような状況のマシンをいくつか見つけて、RDP に使用されている証明書のサムプリントと、ストアにある有効な証明書を確認する価値があるかもしれません。
これは、全面的に新しい証明書を発行することをお勧めする理由の 1 つです。新しい証明書や実行期間が長い証明書の場合、RDP は、間違った OSCP を持つ証明書ではなく、それらの証明書にバインドする必要があります。これが一貫しているように思われる場合は、どのローカル証明書をバインドするかを強制するソリューションをスクリプト化する必要がなくなるでしょう。私の経験では、有効な証明書の更新/再発行は、追加の手順を必要とせずに機能します。
答え2
RDP 接続の証明書を強制的にバインドできるようです。Redditの仲間に感謝)
これは現在バインドされている証明書をチェックします:
wmic /namespace:\\root\cimv2\TerminalServices PATH Win32_TSGeneralSetting Get SSLCertificateSHA1Hash
そして、次のように設定できます:
wmic /namespace:\\root\cimv2\TerminalServices PATH Win32_TSGeneralSetting Set SSLCertificateSHA1Hash="<THUMBPRINT>"
新しい証明書の設定が wmic 経由で機能しない場合は、レジストリ エントリを編集することもできます。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp
- 値の名前: SSLCertificateSHA1Hash
- 値の型: REG_BINARY
- 値のデータ: (証明書の拇印)
注意してください! 無効な証明書を設定すると、新しい RDP 接続ができなくなります。