%20RDP%20%D0%B4%D0%BB%D1%8F%20%D1%81%D1%82%D0%B0%D1%82%D0%B8%D1%87%D0%B5%D1%81%D0%BA%D0%BE%D0%B3%D0%BE%20IP%2B%D0%BF%D0%BE%D1%80%D1%82%D0%B0.png)
Мне нужно RDP на несколько машин за внешним статическим IP. Метод, который я использую, заключается в переадресации выбранных портов на целевой IP:3389. Например
forward 100.110.120.130:10001 to 192.168.1.101:3389
forward 100.110.120.130:10002 to 192.168.1.102:3389
etc...
Который отлично работает. Но теперь я хочу использовать SSL/TLS и защитить сеансы RDP. Я могу использовать сертификат аутентификации сервера RDP с хост-машины и установить его в доверенное корневое хранилище CA клиентской машины, однако имя хоста RDP не соответствует внешнему IP-адресу, и я получаю ошибку сертификата.
Внешний IP-адрес статический и не изменится, но порт обязательно изменится. Итак, могу ли я использовать wildcard-сертификат и сопоставить статический IP-адрес с поддоменом, а затем продолжить использовать переадресацию портов таким образом, не сталкиваясь с ошибкой сертификата?
Спасибо вам всем...
решение1
Во-первых, субъекту сертификата (или расширению альтернативных имен субъектов) необходима информация о порте, поскольку сертификат идентифицирует удаленный хост, а не конкретную службу на удаленном хосте.
Во-вторых, субъект сертификата должен соответствовать имени/адресу типов клиента в адресной строке/поле. Он не должен соответствовать внутреннему имени/адресу.
Это означает, что для ваших целей безопасно создать один сертификат с публичным IP/именем в поле «Тема». Распространите этот сертификат на всех требуемых клиентов за вашим NAT, и все будет в порядке.