Должен ли удаленный рабочий стол использовать специальный шаблон сертификата?
Практически все инструкции по включению сертификатов для аутентификации сервера удаленного рабочего стола (и настройке автоматической регистрации через групповую политику) говорят, что вы должны создать новый сертификат шаблон (названный "RemoteDesktopComputer" или аналогичный), добавляя только специфичный для RDP OID 1.3.6.1.4.1.311.54.1.2 в качестве расширенногоKeyUsage.
Однако некоторые сторонние клиенты всегда ожидают, что сертификат будет иметь "TLS-сервер" "extendedKeyUsage и возникают проблемы с проверкой серверов, у которых есть только этот OID. Поэтому я бы предпочел использовать общий сертификат TLS и для RDP.
Возникнут ли какие-либо проблемы в работе, если я не буду использовать настраиваемый шаблон, а вместо этого укажу встроенный шаблон «Компьютер» в параметрах GPO? (Тот, что находится в разделе «Компоненты Windows / Службы удаленного рабочего стола / Узел сеанса удаленного рабочего стола / Безопасность».)
Возникнут ли какие-либо проблемы в работе, если объект групповой политики также имеет регистрацию сертификата в разделе «Политики открытого ключа / Автоматически» "Параметры запроса сертификата" включены для того же шаблона "Компьютер"? Может ли это привести к тому, что компьютер получит два избыточных сертификата на основе одного и того же шаблона?
Будут ли какие-либо проблемы безопасности из-за компьютеров, использующих общий сертификат «Компьютер» (со стандартным OID «TLS-сервер») для обслуживания удаленного рабочего стола ?
Если вы используете общий шаблон Computer, вы потеряете автоматическую привязку сертификата к порту RDP. Вам придется вручную следить за истечением срока действия сертификата и повторной привязкой на каждой машине с поддержкой RDP.
Разницы в безопасности между RDP-выделенным и общим компьютером нет, все дело в обслуживании. С выделенным шаблоном сертификата все делается автоматически, если настроен GPO. С общим сертификатом, который не отвечает определенным требованиям - вам придется выполнять инициализацию сертификата RDP вручную.
Однако некоторые сторонние клиенты всегда ожидают, что сертификат будет иметь "TLS сервер"
Добавьте две записи в EKU: RDP Authentication и Server Authentication
Параметры автоматического запроса сертификата (ACRS) регистрируют только шаблоны сертификатов V1 (Windows 2000 поддерживает только этот метод). Они негибкие.
Как правило, любой сертификат, включая EKU Server Authentication (и содержащий субъект и / или SAN, содержащий DNS-имя, по которому выполняется проверка клиента RDP), должен использоваться для сертификатов класса удаленного рабочего стола.
Следует ли использовать отдельный сертификат? Это зависит от профиля безопасности сертификатов, которые вы развертываете на машине.
- Если ключ бесполезен для других целей, то это не имеет значения.
- Если бы вы все равно собирались выдавать каждому клиенту по 2 сертификата, это могло бы не иметь значения.
- Если ваш профиль аутентификации RDP значительно отличается от любого другого сертификата, предоставленного устройству, стоит сохранить его как другой тип сертификата.
- Если вы предоставляете сертификаты и для других целей - например, для проверки подлинности и управления SCCM, или для VPN, или для того и другого - можно ли объединить эти другие сертификаты проверки подлинности клиента с проверкой подлинности сервера для создания универсального сертификата устройства? { {1}}
- снова ключевые компромиссы: больше сертификатов может = больше управления; меньшим количеством может быть легче управлять, но внимательно оценивайте возможности безопасности и компромиссы