Windows 호스트에 RDP 인증서가 여러 개 있는 경우. 연결하는 동안 모두 확인됩니까, 아니면 첫 번째 검색만 확인됩니까?
현재 AIA의 OCSP 위치가 유효하지 않은 루트 CA에서 배포된 RDP 인증서가 있습니다. 이제 모든 호스트에 연결하면 잘못된 OCSP 주소를 확인하는 데 더 많은 시간이 걸립니다. 추가로 유효한 RDP 인증서를 배포하려고 하는데 두 인증서를 모두 처리하는 방법을 잘 모르겠습니다. 내가 맞다면 만료된 인증서를 확인하는 것이 귀찮지 않을 것입니다.
그러나 만료되지 않은 모든 RDP 인증서를 확인하고 여전히 유효하지 않은 OCSP에 대해 불만을 표시합니까?
완전히 유효한 하나의 RDP 인증서로 어떻게든 만족할 수 있기를 바랍니다.
RDP 인증서란 "1.3.6.1.4.1.311.54.1.2" 값의 향상된 키 사용이 포함된 인증서를 의미합니다.
답변1
현재 그룹 정책을 통해 배포하지 않는 경우에는 그렇게 하는 것이 좋습니다.이 기사서버가 올바른 인증서를 등록하고 바인딩하도록 사용자 지정 인증서 템플릿과 GPO를 만드는 방법을 설명합니다.
제가 제안하는 이유는 내부 CA가 있는 경우 GPO를 사용하여 강제로 인증서를 교체하는 것이 더 깔끔할 수 있다는 것입니다. 이 설정이 이미 있는 경우 인증서 템플릿을 조정하고 모든 클라이언트를 강제로 재등록하는 옵션을 선택하면 해당 클라이언트가 새 인증서를 획득하고 바인딩할 수 있습니다.
귀하의 답변에실제 질문, 올바른 EKU가 포함된 유효한 인증서가 여러 개 있는 경우 RDP는가장 긴 유효 간격왼쪽(간단히 검색해 보았지만 지금 당장은 이에 대한 참고 자료를 찾을 수 없습니다). 해당 상황에서는 몇 대의 컴퓨터를 찾아 RDP에 사용되는 인증서 지문과 저장소에 있는 유효한 인증서를 확인하는 것이 좋습니다.
이것이 제가 전반적으로 새 인증서를 발급할 것을 제안하는 이유 중 하나입니다. 인증서가 더 새롭거나 실행 시간이 더 길다면 RDP는 잘못된 OSCP가 있는 인증서가 아닌 해당 인증서에 바인딩해야 합니다. 일관성이 있는 것 같으면 어떤 로컬 인증서를 바인딩하도록 강제하는 솔루션을 스크립트로 작성할 필요가 없기를 바랍니다. 내 경험에 따르면 유효한 인증서를 새로 고치거나 재발급하는 것은 추가 단계가 필요하지 않습니다.
답변2
RDP 연결에 대한 인증서를 강제로 바인딩하는 것이 가능한 것 같습니다. (Reddit의 동료에 대한 크레딧)
현재 바인드된 인증서를 확인합니다.
wmic /namespace:\\root\cimv2\TerminalServices PATH Win32_TSGeneralSetting Get SSLCertificateSHA1Hash
그리고 다음과 같이 설정할 수 있습니다.
wmic /namespace:\\root\cimv2\TerminalServices PATH Win32_TSGeneralSetting Set SSLCertificateSHA1Hash="<THUMBPRINT>"
새 인증서 설정이 wmic에서 작동하지 않는 경우 레지스트리 항목을 편집할 수도 있습니다.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp
- 값 이름: SSLCertificateSHA1Hash
- 값 유형: REG_BINARY
- 값 데이터: (인증서 지문)
조심하세요! 잘못된 인증서를 설정하면 새로운 RDP 연결이 불가능해집니다.