我需要透過 RDP 連接到外部靜態 IP 後面的多台電腦。我使用的方法是將選定的連接埠轉送到目標IP:3389。例如
forward 100.110.120.130:10001 to 192.168.1.101:3389
forward 100.110.120.130:10002 to 192.168.1.102:3389
etc...
效果很好。但現在我想使用 SSL/TLS 並保護 RDP 會話。我可以使用主機中的 RDP 伺服器身份驗證憑證並將其安裝到客戶端電腦受信任的根 CA 儲存中,但是 RDP 主機的名稱與外部 IP 位址不匹配,並且出現憑證錯誤。
外部IP是靜態的,不會改變,但連接埠必然會改變。那麼,我可以使用通配符憑證並將靜態IP對應到子網域,並繼續以這種方式使用連接埠轉送而不會遇到憑證錯誤嗎?
謝謝你們...
答案1
首先,憑證主題(也不是主題備用名稱擴充)需要連接埠訊息,因為憑證標識遠端主機,而不是遠端主機上的特定服務。
其次,證書主題必須與網址列/欄位中的名稱/地址客戶端類型相符。它不需要匹配內部名稱/地址。
這意味著,出於您的目的,可以安全地在「主題」欄位中建立具有公共 IP/名稱的單一憑證。將此憑證分發給 NAT 後面的所有必要用戶端,就可以了。