没有一个唯一的,公开可解决的Active Directory域(即使用foo.local与corp.foo.com),是否有可能实现RDP证书/ SSO Nirvana? 即端到端,零点的RDP会话(RemoteApp +远程桌面), 而无需安装客户端证书。
我想保持这种高水平:我可以通过规划/configuration过程(并根据需要提出其他问题),但是在我走下这条路之前(比较像思杰这样的替代scheme),我想知道这个是可能的。
没有在客户端安装证书? 那么答案根本不是。 不,不。
但是, 如果将用于RDP会话的根证书分发给每个将进行RDP连接的客户端,则可能会发生这种情况。
如果我有一个名为INamedMyDomainPoorly.local的域名,那么没有全球信任的证书颁发机构(如Godaddy或Cybertrust)将为此颁发证书。 但是我可以轻松地站起来自己的内部证书颁发机构ca.INamedMyDomainPoorly.local,让它为rdsessionhost.INamedMyDomainPoorly.local颁发一个证书,然后将根CA的证书(和适用的链)添加到受信任的根CA存储上所有我的客户。
如果我的所有客户都joinActive Directory域,我可以使用组策略分发此证书。
证书将需要准确地反映客户端连接的RD会话的主机名,客户需要DNSparsingINamedMyDomainPoorly.local,并且需要包含客户可访问的CDP(CRL分发点) 。