RDS Web Gateway的SSL证书将在七月底到期。
我已经有一个replace下一年的SSL。
但是,即使它是相同的证书(同一主题没有SAN)我得到一个远程桌面服务器暂时不可用时连接外部(内部用户都可以)错误。
证书是正确的,安装正常,连接私钥,我已经将它添加到Web网关服务器上的IIS,并添加到SSL的绑定(没有其他stream氓SSL绑定,我已经检查)。
我已将其添加到RD Manager中的SSL设置。
并将其添加到RD部署中的4个实例(2x Broker,1x Web访问,1x网关)
也添加到处理auth通过虽然和DUO 2fa的ISA。
基本上和以前完全一样。 (从备份中退回RD服务器以仔细检查所有设置)。
可以到达网页,新证书正确显示,通过DUO身份validation,并加载应用程序页面罚款。
然而,试图启动任何应用程序会产生一个:“您的计算机无法连接到远程计算机,因为远程桌面网关服务器暂时不可用。”
有趣的是,一个域pipe理员可以连接到应用程序,但没有标准的用户可以。
为了防止服务中断,我把所有的东西都还原到旧的证书上,并且工作正常 – 除了在我testing新证书的笔记本电脑上。 标准用户现在不能再访问应用程序了,但是pipe理员可以再次访问。 我甚至尝试彻底删除用户configuration文件和重新加载,并仍然得到同样的错误 – 同一个用户可以从任何其他笔记本电脑罚款访问。
另一个在我testing新证书时启动了RD INTERNALLY的用户现在即使在回滚之后也得到相同的错误。
所以这不是一个configuration文件的问题,似乎是在个人电脑上的东西 – 就像新的证书仍然在位,防止应用程序加载 – 但我已经通过在机器上的所有证书存储,不能看到它添加到任何存储,也没有“清除SSL状态”在IE中工作。
我查了很多关于错误的信息,除了检查私钥是否连接外,还有很多没有解决scheme的错误示例。
任何帮助不胜感激。
编辑:
通过回滚当前工作的服务器(与过期的证书),我注意到RDpipe理器的SSL证书部分没有安装证书: 当前RDWeb服务器
不知道这是如何pipe理的(我从前一个pipe理员inheritance了这个RD服务器)。
证书IS安装在RD部署(2x Broker,1x Web访问,1x网关)中。
如果我尝试仅将新证书安装到部署区域,则会使用新SSL自动填充上面的RD Manager。
我在想的是,因为ISA实际上服务于网页和处理身份validation,客户端会看到ISA提供的SSL,并且可以访问CA来validation证书。 但是,当ISA命中RDWeb服务器 – 如果它具有安装在RDManager中的Cert – ISA本身无法访问和validationCA – 从而导致问题。
所以 – 我怎样才能把证书添加到部署而不添加到RDpipe理器?
谢谢。
在阅读了很多文档后发现我做错了什么。 我通过在RDWeb服务器上自己手动添加新的Cert到IIS来打破了一切。 不知道为什么这打破了一切。
正确的方法显然是将证书添加到部署configuration通过服务器pipe理器(每个RDWeb,网关,代理等),这自动填充IIS与新的证书。
一旦这样做,所有的方式都很好。
当设置出错时,我仍然遇到与客户端连接的问题。 似乎是在他们的DUOconfiguration文件中的东西 – 正在与DUO解决,将更新更多,一旦我有了它。
谢谢。
编辑:
那么,DUO找不到什么杀了这个客户,但重build解决了这个问题,所以肯定是客户端,而不是DUO或RDconfiguration文件。