Skip Ribbon Commands
Skip to main content

Ondrej Sevecek's Blog

:

Engineering and troubleshooting by Directory Master!
Ondrej Sevecek's Blog > Posts > Certifikáty pro vzdálenou plochu
říjen 04
Certifikáty pro vzdálenou plochu

Pro vzdálenou plochu (remote desktop services, terminal services) byste měli mít SSL/TLS certifikáty.​ Když je na server, nebo i stanici, nainstalujete, RDP připojení bude moci používat právě tento standardní protokol.

Od Windows 2008 a Windows Vista si služba Remote Desktop Configuration generuje self-signed certifikát sama. Stačí když vzdálenou plochu jen zapnete a ona si ho sama vytvoří. Problém je, že certifikát není důvěryhodný.

Pokud chcete, můžete si vydávat vlastní certifikáty z vlastní certifikační autority (AD CS, active directory certificate services). Certifikát může být buď normální Server Authentication certifikát, nebo můžete použít úplně speciální, jen pro vzdálenou plochu. To je lepší. Nebude se to plést s normálními serverovými certifikáty a přitom to krásně pojede.

Jen do těch certifikátů musíte dát místo použití Server Authentication něco jiného. Do Enhanced Key Usage (EKU) rozšíření a Application Policies dejte použití Remote Desktop Authentication. Musíte si ho ale nadefinovat sami. Zadejte tam OID (object ID) s hodnotou 1.3.6.1.4.1.311.54.1.2.

Udělal bych kopii šablony Computer (certificate template) například. Jen bych vyměnil Server Authentication za to Remote Desktop Authentication (OID 1.3.6.1.4.1.311.54.1.2).

Pak už stačí přes Group Policy přinutit všechny počítače, aby si takový certifikát vyžádali:

Computer Configuration - Policies - Administrative Templates - Windows Components - Remote Desktop Services - Remote Desktop Session Host - Security - Server Authentication Certificate Template

PS: a jen dobrá rada, jméno šablony zadejte bez mezer.

Comments

RDP and TLS1.0

Ak Vám bezpečnostný audit prikázal vypnúť všetky tzv. "non-pci compliant protocols" akým je TLS1.0 môže vzniknúť problém ak RDP Security Level je nastavený na SSL/TLS1.0.

Viac info Microsoft KB245030, pre klikačov ako som ja odporúčam nástroj IIS Crypto (https://www.nartac.com/Products/IISCrypto/Default.aspx).

runco on 19.12.2012 15:18

Re: Certifikáty pro vzdálenou plochu

tu bych jenom nesouhlasil s tim, ze TLS 1.0 neni NIST compliant. TLS 1.0 je FIPS a tudiz NIST compliant: http://csrc.nist.gov/publications/nistpubs/800-52/SP800-52.pdf 

Naopak SSL libovolne verze neni FIPS a tudiz neni NIST compliant. K tomu se vztahuje ten clanek KB 245030. Takze pokud PCI DSS pozaduje NIST, tak TLS 1.0 je naprosto v poradku. Je potreba vypnout pouze SSL.
ondass on 20.12.2012 10:25

Re: Certifikáty pro vzdálenou plochu

detailní návod na certifikáty na vzdálenou plochu je možné najít v článku o SSO pro RDP a RD gateway připojení pomocí Kerberos KDC proxy: https://www.sevecek.com/Lists/Posts/Post.aspx?ID=514
ondass on 7.8.2015 8:03

Add Comment

Title


Pole Title nemusíte vyplňovat, doplní se to samo na stejnou hodnotu jako je nadpis článku.

Author *


Pole Author nesmí být stejné jako pole Title! Mám to tu jako ochranu proti spamu. Roboti to nevyplní dobře :-)

Body *


Type number two as digit *


Semhle vyplňte číslici dvě. Předchozí antispemové pole nefunguje úplně dokonale, zdá se, že jsou i spamery, které pochopily, že je občas potřeba vyplnit autora :-)

Email


Emailová adresa, pokud na ni chcete ode mě dostat odpověď. Nikdo jiný než já vaši emailovou adresu neuvidí.

Attachments