Con varios certificados RDP, ¿se verifican todos?

tag-icon tag-icon active-directory certificate rdp certificate-authority ad-certificate-services
Con varios certificados RDP, ¿se verifican todos?

Si un host de Windows tiene varios certificados RDP. ¿Se revisan todos durante la conexión o solo se encuentra el primero?

Tengo un certificado RDP implementado desde una CA raíz con una ubicación OCSP ahora no válida en AIA. Obviamente, conectarse a todos los hosts ahora requiere más tiempo para verificar la dirección OCSP no válida. Implementaría certificados RDP válidos adicionales, pero no estoy seguro de cómo maneja ambos certificados. Si estoy en lo cierto, entonces no se molestará en comprobar los certificados caducados.

Pero, ¿verificaría todos los certificados RDP si no están vencidos y luego, por supuesto, seguiría quejándose del OCSP no válido?

Espero que de alguna manera esté satisfecho con un certificado RDP completamente válido.

Con certificado RDP me refiero a un certificado con uso de clave mejorado del valor "1.3.6.1.4.1.311.54.1.2"

Respuesta1

Si no los está implementando a través de la Política de grupo en este momento, le recomiendo que lo haga.Este artículodescribe cómo crear una plantilla de certificado personalizada y un GPO para que sus servidores se registren y vinculen el certificado correcto.

La razón por la que lo sugiero, si tiene una CA interna, es que podría ser más limpio simplemente reemplazar los certificados que tiene, usando el GPO para forzarlo. Si ya tiene esta configuración, modificar la plantilla del certificado y seleccionar la opción para forzar a todos los clientes a volver a inscribirse podría hacer que adquieran y vinculen el nuevo certificado.

Para responder a tupregunta real, si tiene varios certificados válidos con el EKU correcto, creo que RDP se vinculará con el certificado que tenga elintervalo de validez más largoizquierda (hice una breve búsqueda, pero no puedo encontrar una referencia para eso en este momento). Podría valer la pena encontrar algunas máquinas en esa situación y verificar qué huella digital de certificado se está utilizando para RDP frente a qué certificados válidos hay en la tienda.

Esa es parte de la razón por la que sugiero emitir nuevos certificados en todos los ámbitos: si son más nuevos o tienen más tiempo para ejecutarse, RDP debería vincularse a aquellos en lugar de a aquellos con el OSCP incorrecto. Si eso parece consistente, es de esperar que evite tener que escribir una solución para forzar qué certificado local vincular. En mi experiencia, actualizar/reemitir un certificado válido funciona sin necesidad de pasos adicionales.

Respuesta2

Parece que es posible forzar la vinculación de un certificado para la conexión RDP. (Créditos al compañero en Reddit.)

Esto verifica el certificado encuadernado actual:

wmic /namespace:\\root\cimv2\TerminalServices PATH Win32_TSGeneralSetting Get SSLCertificateSHA1Hash

Y esto puede configurarlo:

wmic /namespace:\\root\cimv2\TerminalServices PATH Win32_TSGeneralSetting Set SSLCertificateSHA1Hash="<THUMBPRINT>"

Si configurar un nuevo certificado no funciona en wmic, también puede editar la entrada del registro: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp

  • Nombre del valor: SSLCertificateSHA1Hash
  • Tipo de valor: REG_BINARY
  • Datos de valor: (huella digital del certificado)

¡Ten cuidado! Configurar un certificado no válido hace imposible una nueva conexión RDP.

información relacionada