Com vários certificados RDP, todos são verificados?

tag-icon tag-icon active-directory certificate rdp certificate-authority ad-certificate-services
Com vários certificados RDP, todos são verificados?

Se um host Windows tiver vários certificados RDP. Todos são verificados durante a conexão ou apenas o primeiro encontrado?

Tenho certificados RDP implantados a partir de uma CA raiz com localização OCSP agora inválida no AIA. Conectar-se a todos os hosts agora leva obviamente mais tempo para verificar o endereço OCSP inválido. Eu implantaria certificados RDP válidos adicionais, mas não tenho certeza de como ele lida com os dois certificados. Se eu estiver correto, não será necessário verificar os certificados expirados.

Mas ele verificaria todos os certificados RDP se eles não estivessem expirados e, claro, ainda reclamaria do OCSP inválido?

Espero que de alguma forma esteja satisfeito com um certificado RDP completamente válido.

Com certificado RDP, quero dizer um certificado com uso aprimorado de chave de valor "1.3.6.1.4.1.311.54.1.2"

Responder1

Se você não estiver implantando-os por meio da Política de Grupo no momento, recomendo que faça isso.Este artigodescreve como criar um modelo de certificado personalizado e um GPO para que seus servidores registrem e vinculem o certificado correto.

A razão pela qual sugiro isso - se você tiver uma CA interna - é que pode ser mais limpo simplesmente substituir os certificados que você possui, usando o GPO para forçá-lo. Se você já tem essa configuração, ajustar o modelo de certificado e selecionar a opção para forçar a reinscrição de todos os clientes pode fazer com que eles adquiram e vinculem o novo certificado.

Para responder ao seupergunta real, se você tiver vários certificados válidos com o EKU correto, acredito que o RDP será vinculado ao certificado que possui ointervalo de validade mais longoesquerda (fiz uma breve pesquisa, mas não consigo encontrar referência para isso no momento). Pode valer a pena encontrar algumas máquinas nessa situação e verificar qual impressão digital do certificado está sendo usada para RDP e quais certificados válidos estão na loja.

Essa é parte da razão pela qual sugiro a emissão de novos certificados em todos os níveis - se eles forem mais novos/tiverem mais tempo para serem executados, o RDP deve se vincular a eles, e não àqueles com o OSCP incorreto. Se isso parecer consistente, espero que isso evite a necessidade de criar um script de solução para forçar qual certificado local será vinculado. Na minha experiência, atualizar/reemitir um certificado válido funciona sem a necessidade de etapas adicionais.

Responder2

Parece que é possível forçar a vinculação de um certificado para a conexão RDP. (Créditos ao colega do Reddit)

Isso verifica o certificado vinculado atual:

wmic /namespace:\\root\cimv2\TerminalServices PATH Win32_TSGeneralSetting Get SSLCertificateSHA1Hash

E isso pode definir:

wmic /namespace:\\root\cimv2\TerminalServices PATH Win32_TSGeneralSetting Set SSLCertificateSHA1Hash="<THUMBPRINT>"

Se a configuração de um novo certificado não funcionar no wmic, você também poderá editar a entrada do registro: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp

  • Nome do valor: SSLCertificateSHA1Hash
  • Tipo de valor: REG_BINARY
  • Dados de valor: (impressão digital do certificado)

Tome cuidado! Definir um certificado inválido impossibilita uma nova conexão RDP.

informação relacionada