Windows Server: Использование доверенных сертификатов со службами удаленных рабочих столов

Некоторые компоненты RDS могут использовать сертификаты для обеспечения безопасного обмена данными. Можно использовать самозаверяющие сертификаты, но для того, чтобы им можно было доверять, их необходимо установить на клиентах вручную. Сертификаты, выданные доверенным CA, автоматически становятся доверенными для клиентов, но настроить RDS для использования этих сертификатов непросто по двум причинам:

• В RDS нет интегрированного механизма для создания запроса на подпись сертификата (CSR).
• Сертификат, полученный от источника сертификатов, должен быть привязан к его закрытому ключу, прежде чем RDS сможет его использовать.

В этой статье показано, как создать CSR, использовать выданный сертификат для завершения CSR и настроить RDS для использования сертификата.

Создайте CSR и отправьте его в CA.

1. Запустите Internet Information Services (IIS) Manager из меню Tools в Server Manager.
2. Выберите сервер на левой панели и дважды нажмите Сертификаты сервера на средней панели.
3. В меню «Actions» выберите Create Certificate Request.
   Рис. 1. Нажмите Создать запрос сертификата, чтобы начать процесс создания CSR.
4. Предоставьте запрашиваемые сведения мастеру CSR.
5. Укажите имя файла и путь для запроса подписи сертификата, а затем нажмите кнопку Готово.
    
   Рис. 2. Укажите имя файла и путь для запроса сертификата.
6. Отправьте CSR в CA. Процедура этого не может быть задокументирована здесь, так как зависит от ЦС.

Скачайте сертификат, заполните CSR и экспортируйте его.

1. Скачайте сертификат, выданный центром сертификации в ответ на запрос CSR.
2. Запустите диспетчер IIS и вернитесь в раздел сертификатов серверов .
3. Нажмите Complete Certificate Request.
   Рис. 3. Нажмите Complete Certificate Request, чтобы завершить CSR с использованием сертификата, выданного ЦС.
4. Укажите путь и имя файла сертификата, его понятное имя и хранилище сертификатов, в котором он должен храниться. Понятное имя может быть любым, и предпочтение отдается Личному магазину. Нажмите OK. При этом сертификат связывается с закрытым ключом, созданным вместе с запросом подписи сертификата.
    
   Рис. 4. Укажите путь к сертификату, его понятное имя и хранилище сертификатов.
5. Дважды нажмите на сертификат. Подтвердите наличие соответствующего закрытого ключа и нажмите кнопку ОК.
    
   Рис. 5. Свойства сертификата, указывающие на наличие его закрытого ключа
6. Выбрав сертификат, нажмите кнопку Экспорт.
   Рисунок 6. Нажмите Экспорт, чтобы экспортировать сертификат и его закрытый ключ. 
7. Укажите имя файла и путь для экспортированного сертификата. Введите пароль и подтвердите его, затем нажмите OK.
    
   Рис. 7. Укажите имя файла, путь и пароль экспортированного сертификата.

Настройте RDS для использования сертификата.

1. В разделе Службы удаленных рабочих столов диспетчера сервера выберите Изменить свойства развертывания.
    
   Рис. 8. Нажмите Изменить свойства развертывания, чтобы настроить использование сертификатов в RDS.
2. В окне свойств выберите Сертификаты.
3. Выполните следующие действия для каждой службы роли:
   1. Выберите службу роли и нажмите Select existing certificate.
      
      Рис. 9. Нажмите Выбрать существующий сертификат , чтобы указать сертификат для каждой службы роли.  
   2. Если выбран параметр Выбрать другой сертификат , укажите путь к экспортированному сертификату и его пароль. Выберите Разрешить добавление сертификата в хранилище сертификатов доверенных корневых центров сертификации на целевых компьютерах.
       
      Рис. 10. Укажите путь и пароль используемого сертификата, затем установите флажок Разрешить сертификат... .
   3. Нажмите OK.
   4. Нажмите кнопку Применить.
4. Убедитесь, что в столбце Уровень для каждой службы роли отображается состояние Доверенный, и нажмите кнопку ОК.
    
   Рис. 11. Сертификаты, используемые всеми службами ролей RDS, теперь являются доверенными.