red_id88
13-06-2012, 16:11
Задача: Коннектиться к терминальному серверу через шлюз терминалов, со входом по смарт-карте.
Но, в силу специфики ситуации в "Подключении к удалённому раб столу -> подключение -> параметры -> параметры подключение: Использовать следующие параметры сервера шлюза удалённых рабочих столов, Имя сервера" необходимо использовать вместо DNS-имени (доменного) шлюза его IP-адрес.
Система:
На win server 2008 подняты роли CA, TS и прилегающие. Сервер в домене. Домен на win server 2003: AD, DNS.
Попытки решения:
Т.к. в "Имя сервера" надо вбивать имя "Кому выдан" сертификата, который висит на шлюзе терминалов, было решено создать настраиваемый запрос, с дополнительным именем субъекта (функция SAN): IPv4.
Порядок был такой:
Подключить оснастку "сертификаты локального компьютера": меню "Файл" -> "Добавить или удалить оснастку" -> "Сертификаты" -> "Учетная запись компьютера" -> "Локальный компьютер" -> Готово -> ОК
-- Создать настраиваемый запрос: "Корень консоли" -> Сертификаты -> Личное -> Сертификаты
-- Далее, контекстное меню -> "Все задачи" -> "Дополнительные операции" -> "Создать настраиваемый запрос"
-- Запустился мастер регистрации сертификатов -> Далее - Выбор политики регистрации сертификатов -> Далее - Пользовательский запрос - Шаблон - выбираем "Веб-сервер" -> формат запроса - "CMC" -> Далее - "Сведения о сертификате"
-- В этом окне основные настройки - нажимаем "Подробности" -> кнопка "Свойства"
-- Закладка "Субъект" -> Имя субъекта - тип: "общее имя", значение: "terminal.test.auth" -> Дополнительное имя - тип: "IPv4" - значение: "192.168.10.20" (вбивается нам автоматом).
Далее , сохраняем автономный запрос в файл C:\term.req (формат CMC) -> Готово
В командной строке:
certreq -submit c:\term.req term.cer
Подача заявки на SSL-сертификат
certreq -retrieve 4 certnew.cer
Далее, устанавливаем полученный сертификат
certreq -accept certnew.cer
Всё, сертификат появляется в хранилище, в поле Дополнительное имя - IP алрес, мы его устанавливаем на шлюз. Далее выпускаем серт пользователя, его на смарт карту, настраиваем доверенный корневой центр, политики шлюза и тп.
В общем, при попытке законнектиться, используя используя в качестве имени щлюза терминалов его IP пишет "Не удается подключиться к удаленному компьютеру, так как запрошенный адрес сервера шлюза служб терминалов не соответствует имени субъекта сертификата. Обратитесь за помощью к администратору сети". Когда пишем доменное имя, всё работает, т.е. доп имя IPv4 он не видит(
Что примечательно, если доп именем делать DNS запись, то по другому днс имени всё катит((
Как что где надо включить и возможно ли вообще сделать задуманное ??
Но, в силу специфики ситуации в "Подключении к удалённому раб столу -> подключение -> параметры -> параметры подключение: Использовать следующие параметры сервера шлюза удалённых рабочих столов, Имя сервера" необходимо использовать вместо DNS-имени (доменного) шлюза его IP-адрес.
Система:
На win server 2008 подняты роли CA, TS и прилегающие. Сервер в домене. Домен на win server 2003: AD, DNS.
Попытки решения:
Т.к. в "Имя сервера" надо вбивать имя "Кому выдан" сертификата, который висит на шлюзе терминалов, было решено создать настраиваемый запрос, с дополнительным именем субъекта (функция SAN): IPv4.
Порядок был такой:
Подключить оснастку "сертификаты локального компьютера": меню "Файл" -> "Добавить или удалить оснастку" -> "Сертификаты" -> "Учетная запись компьютера" -> "Локальный компьютер" -> Готово -> ОК
-- Создать настраиваемый запрос: "Корень консоли" -> Сертификаты -> Личное -> Сертификаты
-- Далее, контекстное меню -> "Все задачи" -> "Дополнительные операции" -> "Создать настраиваемый запрос"
-- Запустился мастер регистрации сертификатов -> Далее - Выбор политики регистрации сертификатов -> Далее - Пользовательский запрос - Шаблон - выбираем "Веб-сервер" -> формат запроса - "CMC" -> Далее - "Сведения о сертификате"
-- В этом окне основные настройки - нажимаем "Подробности" -> кнопка "Свойства"
-- Закладка "Субъект" -> Имя субъекта - тип: "общее имя", значение: "terminal.test.auth" -> Дополнительное имя - тип: "IPv4" - значение: "192.168.10.20" (вбивается нам автоматом).
Далее , сохраняем автономный запрос в файл C:\term.req (формат CMC) -> Готово
В командной строке:
certreq -submit c:\term.req term.cer
Подача заявки на SSL-сертификат
certreq -retrieve 4 certnew.cer
Далее, устанавливаем полученный сертификат
certreq -accept certnew.cer
Всё, сертификат появляется в хранилище, в поле Дополнительное имя - IP алрес, мы его устанавливаем на шлюз. Далее выпускаем серт пользователя, его на смарт карту, настраиваем доверенный корневой центр, политики шлюза и тп.
В общем, при попытке законнектиться, используя используя в качестве имени щлюза терминалов его IP пишет "Не удается подключиться к удаленному компьютеру, так как запрошенный адрес сервера шлюза служб терминалов не соответствует имени субъекта сертификата. Обратитесь за помощью к администратору сети". Когда пишем доменное имя, всё работает, т.е. доп имя IPv4 он не видит(
Что примечательно, если доп именем делать DNS запись, то по другому днс имени всё катит((
Как что где надо включить и возможно ли вообще сделать задуманное ??