Windows 10 Pro como host RDP com certificado SSL. Como?

tag-icon tag-icon security ssl-certificate remote-desktop windows-10
Windows 10 Pro como host RDP com certificado SSL. Como?

Esgotei minha paciência procurando como adicionar um certificado SSL à minha máquina Windows 10 Pro para que, quando eu me conectar de outro lugar, não receba erros de certificado.

Até agora, todos os guias que encontrei acabaram sendo para o Windows Server.

O que eu tentei:

Clico no menu Iniciar, digito certlm.msce pressiono Enter.

Coloco meu certificado adquirido na Personal > Certificatespasta da máquina host E na Remote Desktop > Certificate Servicepasta.

insira a descrição da imagem aqui

Quando tento me reconectar de outra máquina, ainda recebo o erro de confiança do certificado.

Alguém pode ajudar?

Novamente, estou tentando fazer isso em uma máquina Windows 10 Pro, NÃO no Windows Server.

Responder1

No cliente, as mesmas regras se aplicam. Você precisa atribuir um certificado à configuração do RDS. Por exemplo, usando o PowerShell:

$path = (Get-WmiObject -class "Win32_TSGeneralSetting" -Namespace root\cimv2\terminalservices -Filter "TerminalName='RDP-tcp'").__path
Set-WmiInstance -Path $path -argument @{SSLCertificateSHA1Hash="THUMBPRINT"}

onde THUMBPRINTestá uma impressão digital do seu certificado. Esses comandos devem ser executados em shell elevado.

Responder2

Windows 11 Pro - Configuração do certificado SSL de área de trabalho remota

Baseado em artigos:Configurações de certificado de ouvinte de área de trabalho remotaeRdpsign

  1. Comprarremote.example.com Certificado RapidSSL® DVdistribuído porDigicert®deArmazenamento SSL

  2. UsarOpenSSLpara gerarChave privada RSA&Solicitação de assinatura de certificadopararemote.example.com

    openssl req -new -newkey rsa:4096 -nodes \
-out /home/user1/remote_example_com_csr.txt \
-keyout /home/user1/remote_example_com.key \
-subj "/C=US/ST=Utah/L=Salt Lake City/O=Example, Inc./CN=remote.example.com"

  3. UsarSolicitação de assinatura de certificadoarquivo remote_example_com_csr.txtpara gerarCertificado SSLnoArmazenamento SSL

  4. Verifique a propriedade do domíniousando registros DNS:

    2.1 CriarAregistre ondeHospedar=remote.exemplo.comeValor=YOUR_PUBLIC_IPV4_ADDRESS

    2.2 CriarTXTregistre ondeHospedar= remoteeValor= hs8s67k8g2y57ptjtt34rfhn0wl7ys6f. Isto é fornecido porArmazenamento SSLpara verificação de domínio baseada em DNS.

  5. UsarOpenSSLparaCombine certificados SSLdentro dePKCS#12arquivo.

    openssl pkcs12 -export \
-out /home/user1/remote_example_com.pfx \
-inkey /home/user1/remote_example_com.key \
-in /home/user1/remote_example_com.crt \
-certfile /home/user1/certificate.bundle

    Observação: Será solicitada uma senha de exportação/importação. Isto pode ser deixado em branco, mas por razões óbvias NÃO DEVE ser deixado em branco.

    Enter Export Password:
Verifying - Enter Export Password:

  6. O arquivo remote_example_com.pfxésalvo em um local seguro.

  7. Usar certlm.mscpara importarPCKS #12arquivar emPessoal>Certificadoloja.

    Observação: antes de executar os wmiccomandos, o certificado que você deseja usardevemos serimportado para oArmazenamento de certificados pessoais da máquina local. Se você não importar o certificado, você receberá umParâmetro inválidoerro.

  8. Menu Iniciar> Digite certlm.msce pressione Enter.

  9. Navegue até Pessoal > Armazenamento de certificados.

  10. Clique com o botão direito > Todas as tarefas > Importar...

  11. Siga o assistente para importar o certificado SSL.

  12. Clique duas vezes em Certificado SSL, clique emDetalhesguia para encontrar o certificadoImpressão digitalCampo.

  13. Copie a impressão digital para o Bloco de Notas.

    b363f15095137d374f78d11913a186c5c3ddd44c

  14. Usandoprompt de comandocomoAdministrador, execute o wmiccomando a seguir junto com o valor da impressão digital obtido na etapa 13.

    wmic /namespace:\\root\cimv2\TerminalServices PATH Win32_TSGeneralSetting Set SSLCertificateSHA1Hash="b363f15095137d374f78d11913a186c5c3ddd44c"

  15. Se for bem-sucedido, a seguinte saída será mostrada.

    Updating property(s) of...
Property(s) update successful.

Arquivo de protocolo de área de trabalho remota (.rdp)

Baseado no artigo:Configurações de arquivo RDP de área de trabalho remota compatíveis

Baseado no artigo:mtsc

Cria conexões com servidores Host de Sessão de Área de Trabalho Remota ou outros computadores remotos e edita um arquivo de configuração de Conexão de Área de Trabalho Remota (.rdp) existente.

Para abrir novosConexão de área de trabalho remota para edição:

mstsc

Para conectar a partir da linha de comandodiretamente emporta 25301

mstsc /v:remote.example.com:25301

Observação: Geralmente, seu provedor de hospedagem DNS não permite que portas personalizadas sejam definidas com o DNSARegistro criado para remote.example.com. Para resolver esta limitação,Encaminhamento de portaestá configurado em seuRoteador sem fio.

ENCAMINHAMENTO PORTUÁRIO

Veja a WikipédiaLista de números de porta TCP e UDPpara ter certeza de que você escolha uma porta que não entre em conflitocom qualquer serviço existente.NÃO use a porta padrão 3389como a porta externa.

Para editar existente remote_example_com.rdparquivo

mstsc /edit remote_example_com.rdp

Assinatura RDP

Baseado no artigo:Rdpsign

  1. Assine digitalmente um arquivo de protocolo de área de trabalho remota .rdp.
rdpsign /sha256 f6f6622c5f0a8ad0b7fabf0f37e32bc4922172fb remote_example_com.rdp

O valor hash representa a impressão digital do certificado SHA1, sem espaços.

informação relacionada