Hallo, mijn naam is David. Ik ben hoofdengineer bij Dell en in deze video laat ik zien hoe u Extern bureaublad-services configureert voor het gebruik van een vertrouwd certificaat van derden. Certificaten kunnen worden gebruikt door verschillende onderdelen van Remote Desktop Services, waaronder Remote Desktop Web Access en Remote Desktop Gateway. U kunt zelfondertekende certificaten gebruiken met Remote Desktop Services, maar aangezien zelfondertekende certificaten niet inherent worden vertrouwd, moeten clients handmatig worden geconfigureerd om ze te vertrouwen, wat alleen maar resulteert in veel extra werk.
In deze demonstratie gebruik ik hetzelfde vertrouwde certificaat voor alle Remote Desktop Services, maar het is mogelijk om verschillende certificaten te gebruiken voor verschillende services met één specifieke beperking die ik zal aanpakken wanneer we daar aankomen. Om te beginnen moeten we een CSR (Certificate Signing Request) uitgeven. Er zijn verschillende manieren om dit te doen, maar ik gebruik IIS Manager omdat het redelijk intuïtief is. Als de server in het linkerdeelvenster is geselecteerd, gaan we naar 'Servercertificaten', dubbelklikken we daarop en worden alle bestaande certificaten op de server weergegeven.
Op dit moment is er alleen een zelfondertekend certificaat, dus we klikken op 'Certificaataanvraag maken' in het rechterdeelvenster en vullen vervolgens deze velden in. De algemene naam moet overeenkomen met de onderwerpnaam van het certificaat, maar in deze labomgeving doen de rest van de velden er niet echt toe. De velden zijn echter verplicht, dus ik zal wat informatie toevoegen en vervolgens op 'Volgende' klikken. Hier kunnen we de Cryptographic Service Provider en de bitlengte kiezen. Ik laat die op de standaard staan voor deze demonstratie en klik gewoon weer op Volgende. Vervolgens moet ik het bestand opgeven waar de certificaataanvraag moet worden opgeslagen.
Het wordt gewoon een tekstbestand en ik ga het opslaan in deze 'cert'-map die ik voor dit doel heb gemaakt. Ik geef het een naam en klik op 'Voltooien', en de aanvraag is nu aangemaakt. Ik ga de directory controleren en zorg ervoor dat het daar is. Als ik de certificaataanvraag open, ziet het er zo uit. Dat is slechts een standaard certificaataanvraag. Op dit punt moet ik de aanvraag indienen bij de certificeringsinstantie of CA. De procedure om dat te doen verschilt per CA. In dit geval moet ik de inhoud van het aanvraagbestand naar een bepaald veld kopiëren. Bij sommige CA's moet u mogelijk het tekstbestand zelf uploaden.
Ik ga de procedure voor het indienen van het verzoek en het ontvangen van het certificaat niet demonstreren, omdat deze zo verschilt. In plaats daarvan springen we gewoon een beetje vooruit. Het certificaat is nu uitgegeven en ik heb het in dezelfde map gedownload. Het is een CER-bestand, wat een van de gebruikelijke extensies is voor certificaatbestanden, maar ik kan geen CER-bestand met RDS gebruiken. Hiervoor is een PFX-bestand vereist. Als ik naar het bestand zelf kijk, zien we informatie over het certificaat en over de CA die het heeft uitgegeven. Er is hier met name niets over de persoonlijke sleutel, omdat het certificaat nog niet is gekoppeld aan de persoonlijke sleutel, die werd gegenereerd toen het verzoek werd gegenereerd.
We moeten het koppelen aan de persoonlijke sleutel voordat we het kunnen gebruiken voor RDS. Ga hiervoor terug naar IIS Manager en klik op 'Complete certificate request'. Vervolgens kiezen we het certificaatbestand, geven het een beschrijvende naam, wat de onderwerpnaam van het certificaat zal zijn, en geven een certificaatarchief op waar het moet worden opgeslagen. Klik op 'OK' en we zien nu dat het opduikt in de lijst met servercertificaten. Als we naar de eigenschappen van het certificaat kijken, ziet u daar beneden een opmerking die zegt dat we een persoonlijke sleutel hebben die overeenkomt met dit certificaat, dus deze is nu gebonden aan de persoonlijke sleutel en kan worden gebruikt door RDS. Eerst moeten we het exporteren. Om dat te doen, klikken we vanaf dezelfde console op 'Exporteren', geven het een bestandsnaam en het wordt, zoals je kunt zien, een PFX-bestand.
Sla het nu gewoon op in dezelfde map, en we moeten een wachtwoord toewijzen aan de persoonlijke sleutel. Dit is ter bescherming van de sleutel. Klik daar op 'OK', en als ik terugga naar de map, zie je nu dat er een PFX-bestand in staat, en dat is het bestand dat we in RDS kunnen importeren. Ga hiervoor naar het gedeelte 'Extern bureaublad-services' van Serverbeheer en naar 'Implementatie-eigenschappen'. In het venster 'Implementatie-eigenschappen' is er een sectie 'Certificaat' en op dit moment is het geconfigureerd voor het gebruik van een zelfondertekend certificaat voor alle vier deze rolservices.
Zoals ik al zei, kunt u voor elke service een ander certificaat gebruiken, maar ik ga voor alle vier hetzelfde certificaat gebruiken. Om dat te doen, selecteren we een van de rolservices en klikken vervolgens op de knop met het label 'Selecteer bestaand certificaat', selecteren vervolgens 'Kies een ander certificaat', klikken op de knop 'Bladeren' en bladeren naar het PFX-bestand. Open dat, geef het wachtwoord op dat we voor dat bestand hebben ingesteld, klik vervolgens op het vakje 'Sta toe dat de certificaten worden toegevoegd' en klik op OK. U moet dezelfde procedure uitvoeren voor elke rolservice. U moet op 'Toepassen' klikken nadat u ze allemaal hebt gedaan en vervolgens een minuut wachten totdat het certificaat is toegepast. Helaas kun je ze niet alle vier tegelijk doen, dus dit deel van de procedure wordt een beetje vervelend.
Ik zal verder springen, zodat je me niet vier keer achter elkaar hetzelfde hoeft te zien doen. Ik wil wel wijzen op de waarschuwing die hier wordt weergegeven dat u hetzelfde certificaat moet gebruiken voor Remote Desktop Gateway en Remote Desktop Web Access. Dat is een best practice van Microsoft. Nu heb ik alle vier de rolservices geconfigureerd om dat certificaat te gebruiken. U kunt zien dat de status voor alle statussen 'Succes' aangeeft en dat het vertrouwensniveau 'Vertrouwd' aangeeft. We klikken op 'OK' om dit af te ronden, en nu gaan we dit testen vanaf een andere computer.
Ik zal een heel eenvoudige test doen. Ik start een webbrowser en blader naar de inlogpagina van Remote Desktop Web Access, en u kunt zien dat deze verschijnt zonder een certificaatwaarschuwing. Als we naar het certificaat zelf kijken, kunt u zien dat dit het certificaat is dat we zojuist hebben geconfigureerd. De algemene naam komt overeen, de CA-naam komt overeen en de uitgiftedatum en de vervaldatum komen overeen.
Dit is dus hoe u Remote Desktop Services configureert om een vertrouwd certificaat van derden te gebruiken. Ik hoop dat het nuttig is geweest. Nogmaals, mijn naam is David. Ik ben hoofdengineer bij Dell en bedankt voor het kijken.
