Necesito RDP en varias máquinas detrás de una IP estática externa. El método que estoy usando es reenviar los puertos seleccionados a una IP de destino: 3389. P.ej
forward 100.110.120.130:10001 to 192.168.1.101:3389
forward 100.110.120.130:10002 to 192.168.1.102:3389
etc...
Lo cual funciona bien. Pero ahora quiero usar SSL/TLS y proteger las sesiones RDP. Puedo usar el certificado de autenticación del servidor RDP desde la máquina host e instalarlo en el almacén de CA raíz confiable de la máquina cliente; sin embargo, el nombre del host RDP no coincide con la dirección IP externa y aparece un error de certificado.
La IP externa es estática y no cambiará, pero el puerto cambia necesariamente. Entonces, ¿puedo usar un certificado comodín y asignar la IP estática a un subdominio y continuar usando el reenvío de puertos de esta manera sin encontrar un error de certificado?
Gracias a todos...
Respuesta1
En primer lugar, el sujeto del certificado (ni la extensión de Nombres alternativos del sujeto) necesita información del puerto, porque el certificado identifica el host remoto, no el servicio específico en el host remoto.
En segundo lugar, el asunto del certificado debe coincidir con el nombre/dirección del tipo de cliente en la barra/campo de direcciones. No es necesario que coincida con el nombre/dirección interna.
Esto significa que para sus propósitos es seguro crear un certificado único con IP/nombre público en el campo Asunto. Distribuya este certificado a todos los clientes requeridos detrás de su NAT y todo estará bien.