我们的服务器定期进行PCI合规性扫描,并且我们有一个Windows 2008服务器机器,我们已经为RDP开放了端口3389。 它使用SSL进行安全保护,但扫描失败,因为他们的testing显示:
SOLUTION: Please install a server certificate signed by a trusted third-party Certificate Authority. RESULT: Certificate #0 unable to get local issuer certificate 据我所知,其失败的原因是因为在terminal服务configuration工具中,它使用的是本地创build的证书,而不是我们从GeoTrust获得的证书。 所以,我打开向导,它说证书是“自动生成的”。 我点击selectbutton,切换到我们从GeoTrust发出的,然后点击确定保存所有内容( 屏幕截图 )。 但是,然后断开我的RDP会话并重新连接,并返回到“自动生成”。 我甚至尝试从MMC本地计算机证书pipe理单元中删除证书,每当我们通过RDP重新连接时,它都会不断重新创build。 我可以通过浏览这些动作来“扫描”扫描,然后重新运行扫描,然后再次使用RDPlogin,但这并不是一个永久的解决scheme,因为这些扫描每个月都在运行。
任何人都可以帮我弄清楚如何获得可信的CA SSL证书永久保持?
提前致谢。
那么,不幸的是,没有人能够帮助,到了我不得不面对的时候,所以我玩了一会儿,最终find了一些似乎可行的东西,所以我会在这里发布它,以防止某人其他。
我的远程连接直接连接到我的服务器的IP地址,而不是受信任的SSL证书中的名称。 所以,当我改变我的远程连接设置连接到受信任的名称,而不是IP地址,它工作正常。 我的假设是,当你直接连接到IP地址,RDP-TCPpipe理器寻找一个匹配的证书,如果它找不到一个,那么它默认回到自动生成的(如果没有存在,然后重新创build它)。 所以,现在,当我将其设置为第三方可信证书,然后使用该证书的FQDN进行连接时,它仍然保持。
所以,现在扫描没有任何标志,我很好去。
我知道这是一个旧的线程,但我能够让RDP主机configurationpipe理器保持SSL证书,使其“导出”时,我将它导入到IIS中。
只是供参考。
这是一个不好的证书。 您可能要尝试再次导入它。 还请检查中间和受信任的根证书颁发机构,以查看证书链是否完整。 RDP将删除任何不够好的证书。