Задача: Установить свой SSL сертификат полученный в wosign.com. Так что-бы при подключении к Win серверу\десктоп компьютеру по RDP не появлялось сообщение о том, что сертификату не стоит доверять.
Решение: Получаем сертификат. Как это сделать, описал в другой статье или тут почитать. Далее по инструкции от MS или тут или здесь.
1 В групповых политиках
Computer Policy > Administrative Templates > Windows Components > Remote Desktop Services > Remote Desktop Session Host, and then > Security.
Включаем политику «Require use of specific security layer for remote (RDP) connections» указав значение SSL (TLS 1.0) . Теперь сервер будет устанавливать соединение только по SSL (TLS 1.0).
2
Далее импортируем сертификат. Открываем mmc и добавляем сертификаты локального компьютера. Открываем раздел «Personal» и импортируем полученный сертификат. Иконка сертификата должна быть с ключиком. Нам нужен Thumbprint нашего сертификата. Добавляем NETWORK SERVICE (права Чтение).
Копируем его. Для удаления скрытых символов вставим в открытое окно CMD. Скопируем из CMD без лишнего и формируем команду для добавления записи в реестр
wmic /namespace:\\root\cimv2\TerminalServices PATH Win32_TSGeneralSetting Set SSLCertificateSHA1Hash=»THUMBPRINT»
Где «THUMBPRINT» = без пробелов.
3 Нужно применить групповые политики для этого выполним
gpupdate /force
Удалим старый сертификат который находится в хранилище сертификатов «Remoter Desktop» перезагрузимся (вроде не обязательно). Сертификат в хранилище «Remoter Desktop» сгенерируется заново, но использоваться будет новый, thumbprint которого будет указан в реестре
Registry path: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp
Value name: SSLCertificateSHA1Hash
Value type: REG_BINARY
Value data: certificate thumbprint
Полезные ссылки:
В целом делать так
