我跟着
以确保RDP与一个适当的证书,而不是自签名的Windows之一。 这一切运作良好。 直到我跑步
wmic /namespace:\\root\cimv2\TerminalServices PATH Win32_TSGeneralSetting Set SSLCertificateSHA1Hash="MY_HASH" 这个命令只会导致“无效的参数”。
原始(自签名的Windows)证书的散列效果相同。 所以我想我的证书一定是错的。 它似乎正确地安装在证书存储区(私钥和“远程桌面”部分下)。
查看authenticationMMC snapin中的证书详细信息我的导入的证书旁边有一个黄色感叹号:
密钥用法=数字签名,密钥encryption(a0)
和额外的领域
基本限制=请求者types:结束单元
Windows为RDP连接生成的自签名证书具有:
密钥用法=密钥encryption,数据encryption(30)
有无论如何改变这个,还是只是不可能使用这个证书的RDP?
一些额外的信息:
恐怕我必须回答自己的问题,答案似乎是否定的 。 使用openssl x509 -in cert.crt -purpose -noout -text命令,certificate由Comodo提供的原始证书在Key Usage字段中已经缺less所需的标记。 它没有Data Enciphermentfunction。
Comodo证书看起来像这样:
X509v3 Key Usage: critical Digital Signature, Key Encipherment X509v3 Basic Constraints: critical CA:FALSE X509v3 Extended Key Usage: TLS Web Server Authentication, TLS Web Client Authentication
Windows自签名证书具有以下标志:
X509v3 extensions: X509v3 Extended Key Usage: TLS Web Server Authentication X509v3 Key Usage: Key Encipherment, Data Encipherment
我不知道你是否仍然需要这个问题的答案,但如果任何人仍然需要它在这里,你有它。
你真的不需要你指定的属性。
按照这篇文章的步骤,您将成功地在计算机/域控制器上安装任何CRT(通配符或普通)。
我没有testing没有AD CS,但我认为它的工作原理。
唯一需要做的是将CRT / p7b转换为cer,然后使用密钥和捆绑转换为pfx(pkcs12)。 然后手动将其导入您的操作系统。
https://www.sslshopper.com/ssl-converter.html – 在这里你可以find如何转换证书。
顺便说一下,您可以跳过WMI脚本部分,并使用具有pipe理权限的powershell中的以下命令:
wmic / namespace:\ root \ cimv2 \ TerminalServices PATH Win32_TSGeneralSetting Set SSLCertificateSHA1Hash =“YOUR-THUMBPRINT-GOES-HERE”
它在Windows Server 2016 / Windows 10上为我工作。
希望能帮助到你! 🙂