원격 데스크톱 서비스에 대한 인증서 요구 사항

24, 2014

좋은 아침입니다! 당신을 위해 질문 여기 키란:왜 우리는 인증서가 필요합니까? 음,인증서는 두 시스템 간의 통신에 서명하는 데 사용됩니다. 클라이언트가 서버에 연결할 때 연결을 수신하는 서버의 신원과 클라이언트로부터 정보를 인증서로 확인합니다.

이것은 가능한 중간자 공격을 방지하기 위해 수행됩니다. 클라이언트와 서버 간에 통신 채널이 설정되면 인증서를 발급/생성하는 기관이 서버에 대한 인증을 보증합니다.

따라서 클라이언트가 통신하는 서버를 신뢰하는 한 서버와 전송되는 데이터는 안전한 것으로 간주됩니다. 이 다음 질문에 저를 제공합니다:

어떤 종류의 인증서가 필요합니까?

다음 블로그에는 인증서 유형 및 도메인 내부 데이터베이스를 사용하여 인증서 생성 방법에 대한 정보가 포함되어 있습니다.

http://blogs.msdn.com/b/rds/archive/2010/04/09/configuring-remote-desktop-certificates.aspx

원격 데스크톱 인증서의 기본 요구 사항:

  1. 인증서는 컴퓨터의”개인”인증서 저장소에 설치됩니다.
  2. 인증서에 해당하는 개인 키가 있습니다.
  3. “향상된 키 사용”확장의 값은”서버 인증”또는”원격 데스크톱 인증”(1.3.6.1.4.1.311.54.1.2). “향상된 키 사용”확장이 없는 인증서도 사용할 수 있습니다.

수행하는 함수에서 알 수 있듯이’서버 인증’인증서가 필요합니다. 이 인증서는’워크스테이션 인증’템플릿을 사용하여 생성할 수 있습니다(필요한 경우).

정확한 과정은 다음과 같습니다:

  1. 인증서를여십시오.석사 및 구성 인증서.
  2. 인증 기관을 엽니다.
  3. 세부 정보 창에서 교수자 컴퓨터 이름을 확장합니다.
  4. 인증서 템플릿을 마우스 오른쪽 단추로 클릭하고 관리를 선택합니다. 워크스테이션 인증을 마우스 오른쪽 단추로 클릭하고 템플릿 복제를 클릭합니다.
  5. 일반 탭에서 템플릿 표시 이름을 클라이언트-서버 인증으로 변경하고 활성 디렉터리에 인증서 게시를 선택합니다.
  6. 확장 탭에서 응용 프로그램 정책을 클릭한 다음 편집을 클릭합니다. 추가를 클릭한 다음 서버 인증을 선택합니다. 새 템플릿 속성 대화 상자로 돌아갈 때까지 확인을 클릭합니다.
  7. 보안 탭을 클릭합니다. 도메인 컴퓨터의 경우’자동 등록 허용’확인란을 클릭하십시오. 확인을 클릭합니다. 인증서 템플릿 콘솔을 닫습니다.
  8. 인증서 스냅인에서 인증서 템플릿을 마우스 오른쪽 단추로 클릭하고 새로 만들기를 선택한 다음 발급할 인증서 템플릿을 선택합니다.
  9. 클라이언트-서버 인증을 선택한 다음 확인을 클릭합니다.

아래와 같이’인증서’스냅인에서 인증서를 볼 때 표시됩니다:

인증서를 열면 아래와 같이’일반’탭에는 이 인증서의 용도가’서버 인증’으로 표시됩니다:

이 유효성을 검사하는 또 다른 방법은 인증서의’세부 정보’섹션으로 이동하여’향상된 키 사용’속성을 보는 것입니다:

연결할 클라이언트 컴퓨터를 제어하는 경우 인증서를 얻는 가장 쉬운 방법은 활성 디렉터리 인증서 서비스를 사용하는 것입니다. 자체 인증서를 요청 및 배포할 수 있으며 도메인의 모든 컴퓨터에서 인증서를 신뢰할 수 있습니다.

사용자가 외부에서 연결할 수 있도록 허용하려는 경우 도메인에 속하지 않을 경우 공용 인증서에서 인증서를 배포해야 합니다. 예를 포함하되 이에 국한되지:고 대디,베리사인,위탁,해트,디지서트

이제 당신은 당신이 필요로하는 인증서의 유형을 알고,의 인증서의 내용에 대해 이야기 할 수 있습니다.

Windows2008/2008R2,당신은 연결하여 농장의 이름으로 당 DNS 라운드 로빈,가 감독하는 방향 전환기,다음을 연결 브로커 마지막으로 서버의 호스트 세션이 있습니다.

윈도우 2012 에서 연결 브로커에 연결 하 고 컬렉션 이름을 사용 하 여 컬렉션에 라우팅합니다.

배포하는 인증서에는 사용자가 연결 중인 서버의 이름과 일치하는 주체 이름 또는 주체 대체 이름이 있어야 합니다. 예를 들어,인증서를 게시하려면 컬렉션에 있는 모든 서버의 이름을 포함해야 합니다. 이 인증서는 사용자가 연결한 이름을 기반으로 합니다. 사용자가 외부에서 연결하는 경우 이 이름은 외부 이름이어야 합니다(사용자가 연결하는 이름과 일치해야 함). 사용자가 내부적으로 연결된 경우 이름은 내부 이름과 일치해야 합니다. 단일 로그온의 경우 주체 이름이 컬렉션의 서버와 일치해야 합니다.

예를 들어,내 배포에 다음 컴퓨터가 포함되어 있다고 가정해 보겠습니다.

RDSH1.RENDER.COM 원격 앱이 구성된 세션 호스트

RDSH2.RENDER.COM 원격 앱이 구성된 세션 호스트

렌더링.가상화 호스트 구성

RDVH2.RENDER.COM 가상화 호스트 구성

RDCB.RENDER.COM 연결 브로커

RDWEB.RENDER.COM 내 클라이언트가 내부적으로 연결할 때,그는 웹 페이지를 호스팅하는 서버의 RDWEB.RENDER.COM.

인증서의 이름은 이 이름이어야 합니다. 그러나 우리는 연결이 여기서 끝나지 않는다는 것을 기억해야합니다. 그런 다음 연결은 웹 서버에서 세션 호스트 또는 가상화 호스트 중 하나와 연결 브로커로 이동합니다.

인증서는 이러한 모든 서버에서 공통적일 수 있습니다. 따라서 인증서의 주체 대체 이름에 배포에 포함된 다른 모든 서버의 이름이 포함되는 것이 좋습니다.

간단히 말해서 내 환경에 대한 인증서는 다음과 같습니다.

유형:서버 인증

이름:RDWEB.RENDER.COM

산:RDSH1.RENDER.COM;RDSH2.RENDER.COM;RDVH1.RENDER.COM2018.렌더링.컴;RDCB.RENDER.COM

배포에 5 개 이하의 서버가 있는 한 이 모든 것이 필요합니다. 그러나 배포에 더 많은 서버가 있을 때 문제가 발생합니다. 이는 의도적으로 인증서의 산(주체 대체 이름)에 5 개의 서버 이름 만 포함될 수 있기 때문입니다. 더 많은 서버가 있는 경우 배포의 모든 서버에 대해 와일드카드 인증서를 발급받아야 합니다. 여기서 내 인증서는 다음과 같이 변경됩니다.

유형:서버 인증

이름:RDWEB.RENDER.COM

산:*.렌더링.

우리는 여전히 다음과 같은 시나리오에 관해서 몇 가지 문제가 발생합니다. 이는 배포에 액세스하는 외부 사용자가 있는 경우에만 해당됩니다.

외부 이름:RDWEB.RENDER.com

내부 이름:.렌더링.로컬

여기서 다음과 같은 인증서를 얻는 경우 RDWEB.RENDER.COM 이름에 인증서 오류가 계속 나타납니다. 인증서가 서버의 유효성을 검사해야 하기 때문입니다.’RDWEB.RENDER.COM’.그러나 서버는’입니다.렌더링.지역’과’.닷컴’에’.로컬’매직은 포트 포워딩(가장 일반적인 시나리오)을 사용하여 공용 방화벽/라우터에서 발생합니다.

이러한 시나리오에서는 이전에 인증서 이름에’‘이름을 포함 하는 것이 좋습니다.지역’이름.

최근에 모든 공용 인증서 공급자가’로 인증서 발급을 중지하고 있습니다.그들 안에”지역. 윈도우 8 과 윈도우 서버 2012 로 시작,우리는 더 이상 외부 및 내부 이름이 인증서에 포함 할 필요가 없습니다.

외부 클라이언트가 연결되어 있고 개인 내부 도메인 접미사(도메인.로컬),당신은 외부(와 공공 캘리포니아에서 인증서를 얻을 수 있습니다 RDWEB.DOMAIN.COM 이 역할은 인터넷에 노출되는 유일한 역할이기 때문입니다. 연결 브로커–게시 및 연결 브로커–단일 사인온 사용’도메인과 함께 내부 인증서를 사용할 수 있습니다.그것에 로컬’이름. 그러나,앞서 언급 한 바와 같이,만 통해 연결하는 클라이언트와 함께 작동합니다.

게이트웨이 및 원격 데스크톱 클라이언트 버전 8.0(이상)은 외부 사용자에게 배포에 대한 보안 연결을 제공합니다. 배포에 연결되면 내부 인증서가’.로컬 이름은 원격 앱 서명(게시)및 단일 사인을 처리합니다.

이제 우리가 가지고있는 인증서를 구성하는 위치를 살펴 보겠습니다.:

연결 브로커 서버에서 서버 관리자를 열고 맨 왼쪽 창에서 원격 데스크톱 서비스를 클릭합니다.

여기에서 배포를 아래 그림과 같이 볼 수 있습니다. 작업을 클릭하고”배포 속성 편집”을 선택하십시오”

이렇게 하면 배포의 속성 시트가 나타납니다. 왼쪽 창에서 인증서 옵션을 선택합니다:

이제 앞에서 설명한 것처럼 화면 하단의’기존 인증서 선택’버튼을 사용하여 만든 인증서를 선택할 수 있습니다.

그냥’를 가리 킵니다.해당 역할에 대한 인증서를 가져올 수 있습니다.

클라이언트가 도메인 내부에만 있는 경우 간단한 와일드카드 인증서(*)를 생성하여 모든 역할에 대해 단일 인증서를 사용할 수 있습니다.렌더링.로컬)및 모든 역할에 바인딩.

이 배포에 포함된 서버가 여러 개인 경우에도 서버 관리자는 배포의 모든 서버로 인증서를 가져와 컴퓨터의 신뢰할 수 있는 루트에 배치하고 해당 역할에 바인딩합니다.

-키란 카다바

Write a Comment

이메일 주소는 공개되지 않습니다.