Подписываем RemoteApp сертификатом
7 апреля 2011 г.Posted by
Admin
Comments (1)
При настройке RemoteApp многие системные администраторы игнорируют возможность подписать RDP-файлы с помощью сертификата выданным доверенным центром сертификации. Какие положительные моменты мы сможем получить, если подпишем RDP-файл? Ответ очень прост: сертификат позволяет пользователям распознавать ресурсы организации и доверять им. Так же системный администратор может запретить выполнение не подписанных RDP-файлов, и запретить выполнение RDP-файлов которые подписаны сертификатами выданные не "доверенными" центрами сертификации.
И так начнемс…Шаг 1:
Выдаем сертификат для нашего RemoteApp приложения (приложений) доверенным ЦС:
Открываем оснастку Сертификаты - Учетной записи компьютера:
Далее Личное – Сертификаты – Действие – Все задачи – Запросить новый сертификат. Следуя мастеру, запрашиваем сертификат.
Шаг 2:
Открываем диспетчер удаленных приложений RemoteApp (remoteprograms.msc). Изменяем параметры цифровой подписи, указываем сертификат, который мы получили пунктом выше.
Шаг 3:
Создадим RDP-файл, который будет использовать в качестве цифровой подписи сертификат.
Шаг 4:
Переходим настройке групповых политик. Мы будем редактировать следующие Компоненты Windows – Службы удаленных рабочих столов – Клиент подключения к удаленному рабочему столу – Разрешить RDP-файлы от неизвестных издателей и Компоненты Windows – Службы удаленных рабочих столов – Клиент подключения к удаленному рабочему столу –Указать отпечатки SHA1 сертификатов. Эти групповые политики доступны как в разделе Конфигурация Компьютера, так и Конфигурация Пользователя
Указываем отпечаток нашего сертификата 
в групповой политике «Указать отпечатки SHA1 сертификатов»
Если этого не сделать, то при запуске приложения мы получим сообщение о том, что нужно проверить издателя приложения
И параметр «Разрешить RDP-файлы от неизвестных издателей» зададим «Отключить».
Подводим итоги:
При запуске RDP-файла подписанного с помощью сертификата от пользователя требуется ввести только логин и пароль. Но если воспользоваться CredSSP (Credential Security Service Provider),то от пользователя «не требуется ничего»…
Что же произойдет ели RDP-файл подписан «неправильными» сертификатом или вовсе RDP-файл не будет подписан сертификатом? Пользователю просто будет отказано в доступе к серверу.
-------------------------------------------------------------------------------
P.S. Если Вам понравилась статья, или статья была Вам интересна – кликните на рекламе :)
-------------------------------------------------------------------------------
P.S. Если Вам понравилась статья, или статья была Вам интересна – кликните на рекламе :)
Выполняем авторизацию...
Приветствую.
Дописал отпечаток ремот-апп в гпо, на терминал пускает без проблем если руками запускать соединение и даже замочек показывается что мол проверка подлинности на коммерческом сертификате, а вот ремот-апп сама ругается что надо доверять издателю хотя сертификат тот же коммерческий. И если запускать через rdweb терминальный экран то сразу же всплывает желтое окно с неизвестным издателем... где же еще этот сертификатик указать надо? windows 2012 r2...
Дописал отпечаток ремот-апп в гпо, на терминал пускает без проблем если руками запускать соединение и даже замочек показывается что мол проверка подлинности на коммерческом сертификате, а вот ремот-апп сама ругается что надо доверять издателю хотя сертификат тот же коммерческий. И если запускать через rdweb терминальный экран то сразу же всплывает желтое окно с неизвестным издателем... где же еще этот сертификатик указать надо? windows 2012 r2...
Comments by IntenseDebate
Подписаться на:
Комментарии к сообщению (Atom)
