Salve, sono David. Sono un Principal Engineer di Dell e in questo video mostrerò come configurare Servizi Desktop remoto per l'utilizzo di un certificato affidabile di terze parti. I certificati possono essere utilizzati da diversi componenti di Servizi Desktop remoto, tra cui Accesso Web Desktop remoto e Gateway Desktop remoto. È possibile usare certificati autofirmati con Servizi Desktop remoto, ma poiché i certificati autofirmati non sono intrinsecamente attendibili, i client devono essere configurati manualmente per considerarli attendibili, il che comporta solo molto lavoro aggiuntivo.
In questa dimostrazione userò lo stesso certificato attendibile per tutti Servizi Desktop remoto, ma è possibile usare certificati diversi per servizi diversi con un vincolo specifico che affronterò quando arriverò. Per iniziare, è necessario emettere una richiesta di firma del certificato o CSR. Esistono diversi modi per eseguire questa operazione, ma utilizzerò Gestione IIS in quanto è abbastanza intuitivo. Dopo aver selezionato il server nel riquadro a sinistra, selezionare "Server Certificates" e cliccare due volte su di esso. Vengono visualizzati tutti i certificati esistenti sul server.
Al momento esiste solo un certificato autofirmato, quindi clicchiamo su "Crea richiesta di certificato" nel riquadro a destra e compiliamo questi campi. Il nome comune deve corrispondere al nome del soggetto del certificato, ma in questo ambiente lab gli altri campi non sono davvero importanti. Tuttavia, i campi sono obbligatori, quindi aggiungerò alcune informazioni, quindi farò clic su "Avanti". Qui possiamo scegliere il provider del servizio di crittografia e la lunghezza in bit. Li lascerò invariati ai valori predefiniti ai fini di questa dimostrazione e cliccherò di nuovo su Avanti. È quindi necessario specificare il file in cui verrà archiviata la richiesta di certificato.
Sarà solo un file di testo e lo memorizzerò in questa cartella 'cert' che ho creato a questo scopo. Le darò un nome e cliccherò su "Fine", e la richiesta è stata creata. Vado a controllare la directory e mi assicuro che sia lì. Se apro la richiesta di certificato, è possibile vedere che è così. Questa è solo una richiesta di certificato standard. A questo punto, devo inviare la richiesta all'autorità di certificazione o CA. La procedura per eseguire questa operazione varia a seconda della CA. In questo caso, è necessario copiare il contenuto del file di richiesta in un campo specifico. Alcune CA potrebbero richiedere l'upload del file di testo stesso.
Non ho intenzione di dimostrare la procedura di invio della richiesta e ricezione del certificato poiché differisce molto. Invece, salteremo un po' più avanti. Il certificato è stato emesso e l'ho scaricato nella stessa cartella. Si tratta di un file CER, che è una delle estensioni comuni per i file di certificato, ma non è possibile utilizzare un file CER con RDS. Richiede un file PFX. Se si esamina il file stesso, è possibile visualizzare informazioni sul certificato e sulla CA che lo ha emesso. In particolare, qui non c'è nulla sulla chiave privata perché il certificato non è ancora stato associato alla sua chiave privata, che è stata generata quando la richiesta è stata generata.
Dobbiamo associarla alla chiave privata prima di poterla utilizzare per RDS. A tale scopo, tornare a Gestione IIS e cliccare su Completa richiesta certificato'. Quindi, scegliamo il file di certificato, gli diamo un nome descrittivo, che sarà il nome del soggetto del certificato, e specifichiamo un archivio certificati in cui deve essere archiviato. Cliccare su "OK" per vedere che compare nell'elenco dei certificati del server. Se esaminiamo le proprietà del certificato, viene visualizzata una nota in basso che indica che abbiamo una chiave privata che corrisponde a questo certificato, quindi ora è stata associata alla sua chiave privata e può essere utilizzata da RDS. Innanzitutto, dobbiamo esportarlo. Per farlo, da questa stessa console, facciamo clic su "Esporta", diamo un nome al file e sarà, come puoi vedere, un file PFX.
Ora basta salvarla nella stessa cartella e dobbiamo assegnare una password alla chiave privata. Questo serve per proteggere la chiave. Clicco su "OK" e, se torno alla cartella, vedo che c'è un file PFX, che è il file che possiamo importare in RDS. A tale scopo, accedere alla sezione "Servizi Desktop remoto" di Server Manager e alle "Proprietà di distribuzione". Nella finestra "Proprietà di distribuzione" è presente una sezione "Certificato" che al momento è configurata per l'uso di un certificato autofirmato per tutti e quattro questi servizi ruolo.
Come accennato, è possibile usare un certificato diverso per ogni servizio, ma io userò lo stesso per tutti e quattro. A tale scopo, selezioniamo uno dei servizi ruolo, quindi clicchiamo sul pulsante "Select Existing Certificate", quindi su "Choose a Different Certificate", facciamo clic sul pulsante "Browse" e selezioniamo il file PFX. Aprirlo, specificare la password impostata per il file, quindi fare clic sulla casella "Consenti l'aggiunta dei certificati" e fare clic su "OK". È necessario eseguire la stessa procedura per ogni servizio ruolo. È necessario fare clic su "Applica" dopo aver eseguito ciascuno di essi e attendere un minuto affinché applichi il certificato. Sfortunatamente, non puoi fare tutti e quattro contemporaneamente, quindi questa parte della procedura diventa un po' noiosa.
Salterò avanti solo per non dovermi guardare fare la stessa cosa quattro volte di seguito. Voglio notare l'avviso che appare qui che dice che è necessario usare lo stesso certificato per Gateway Desktop remoto e Accesso Web Desktop remoto. Si tratta di una best practice di Microsoft. A questo punto, sono stati configurati tutti e quattro i servizi ruolo per l'utilizzo di tale certificato. È possibile vedere che lo stato indica "Success" per tutti gli enclosure e che il livello di attendibilità è "Trusted". Clicchiamo su "OK" per finalizzare il processo e ora lo testeremo da un computer diverso.
Farò un test molto semplice. Avvio un web browser e accedo alla pagina di accesso di Accesso Web Desktop remoto, e si può vedere che viene visualizzato senza un avviso di certificato. Se si esamina il certificato stesso, si può dire che si tratta del certificato appena configurato. Il nome comune corrisponde, il nome CA corrisponde e la data di emissione e la data di scadenza corrispondono.
Quindi, questo è stato il modo in cui configurare Servizi Desktop remoto per l'uso di un certificato di terze parti attendibile. Spero sia stato utile. Ancora una volta, il mio nome è David. Sono un Principal Engineer di Dell e grazie per l'attenzione.
