About Teletype
Join
Заметки инженера
@notes
Windows
June 23

Замена доверенного сертификата на RDS-ферме

Использование сертификата для подключения к RDS-ферме усиливает защиту подключения к удаленному рабочему столу. При завершении срока действия SSL/TLS сертификата, необходимо заменить на новый.

Наиболее простой вариант использовать wildcard-сертификат вида *.domain.com

В этой статье рассмотрено:

Получение доверенного сертификата

Зачастую приобретая у провайдеров доверенные сертификаты в личном кабинете доступны следующие файлы для скачивания:

  • Сертификат в формате x509 (.PEM), pkcs7, der
  • CSR-запрос в файле с расширением .csr
  • Корневой сертификат в файле с расширением .crt
  • Private Key (закрытый ключ) в файле с расширением .key

В Windows-решениях для импортирования доверенного сертификата используются сертификаты в формате PFX.

Получить необходимый вид сертификата можно конвертировав из одного формата в другой с помощью openssl.

Например, чтобы конвертировать из CRT в PFX, необходимо использоваться следующую скрипт:

openssl pkcs12 -inkey certificate.key -in certificate.crt -export -out certificate.pfx

Импортирование сертификата в RDS-ферму

Заходим в Server Manager далее Remote Desktop Services, в раздел Overview - Deployment Overview переходим TASK - Edit Deployment Properties

Server Manager

В появившемся окне Deployment Properties переходим на страницу Certificates

Настройка развертывания RDS-фермы

Выделяя каждую роль необходимо выбрать действующий доверенный сертификат в формате PFX. В успешном импортирование будет отображаться статус OK.

Для этого, нажав кнопку Select existing certificate... появится окно Select Existing Certificate.

Выбор доверенного сертификата

Необходимо в поле Certificate path выбрать действующий сертификат, воспользовавшись проводником через кнопку Browse... и в поле Password указать пароль, который был создан при конвертами из одного формата в формат PFX.

Данное действие необходимо проделать с каждой ролью указанной в окне Deployment Properties.

❗️ По мере импорта сертификата в каждую роль, роль будет автоматически перезапущена. Текущие подключения к RDS-ферме будут принудительно сброшены.

Импортирование сертификата в IIS

В оснастки Internet Information Service Manager переходим в Server Certificates.

Оснастка IIS

Далее переходим по ссылке Import...

Раздел сертификаты сервера

В появившемся окне Import Certificate указываем доверенный сертификат и его пароль, после чего нажимаем OK.

Импортирование доверенного сертификата

По завершению импорта необходимо перезапустить IIS командой от имени локального администратора:

iisreset

@daste
June 23, 16:00
0 views
0 reactions
0 replies
0 reposts