我可以在Win10上使用Comodo Wildcard-Subdomain Cert for RDP吗?

我跟着

  • 使用CA证书进行远程桌面连接
  • 在远程pipe理模式下为Windows Server 2012上的RDPconfiguration自定义SSL证书?

以确保RDP与一个适当的证书,而不是自签名的Windows之一。 这一切运作良好。 直到我跑步

wmic /namespace:\\root\cimv2\TerminalServices PATH Win32_TSGeneralSetting Set SSLCertificateSHA1Hash="MY_HASH" 

这个命令只会导致“无效的参数”。

原始(自签名的Windows)证书的散列效果相同。 所以我想我的证书一定是错的。 它似乎正确地安装在证书存储区(私钥和“远程桌面”部分下)。

查看authenticationMMC snapin中的证书详细信息我的导入的证书旁边有一个黄色感叹号:

密钥用法=数字签名,密钥encryption(a0)

和额外的领域

基本限制=请求者types:结束单元

Windows为RDP连接生成的自签名证书具有:

密钥用法=密钥encryption,数据encryption(30)

有无论如何改变这个,还是只是不可能使用这个证书的RDP?


一些额外的信息:

  • 该证书是一个COMODO PositiveSSL通配符证书,
  • 我在使用OpenSSL将证书从原始PEM表单转换为PKCS7并从PKCS7转换为PKCS#12 / PFX,然后将其导入Windows证书存储区,
  • 证书之间的另一个区别是,Windows是一个sha1,而Comodo证书是一个sha256,
  • 这是一个Win10工作站,
  • 工作站不是任何域的成员,而是独立安装。

恐怕我必须回答自己的问题,答案似乎是否定的 。 使用openssl x509 -in cert.crt -purpose -noout -text命令,certificate由Comodo提供的原始证书在Key Usage字段中已经缺less所需的标记。 它没有Data Enciphermentfunction。

Comodo证书看起来像这样:

  X509v3 Key Usage: critical Digital Signature, Key Encipherment X509v3 Basic Constraints: critical CA:FALSE X509v3 Extended Key Usage: TLS Web Server Authentication, TLS Web Client Authentication 

Windows自签名证书具有以下标志:

  X509v3 extensions: X509v3 Extended Key Usage: TLS Web Server Authentication X509v3 Key Usage: Key Encipherment, Data Encipherment 

我不知道你是否仍然需要这个问题的答案,但如果任何人仍然需要它在这里,你有它。

你真的不需要你指定的属性。

按照这篇文章的步骤,您将成功地在计算机/域控制器上安装任何CRT(通配符或普通)。

我没有testing没有AD CS,但我认为它的工作原理。

唯一需要做的是将CRT / p7b转换为cer,然后使用密钥和捆绑转换为pfx(pkcs12)。 然后手动将其导入您的操作系统。

https://blogs.technet.microsoft.com/enterprisemobility/2010/04/09/configuring-remote-desktop-certificates/ – 这是post。

https://www.sslshopper.com/ssl-converter.html – 在这里你可以find如何转换证书。

顺便说一下,您可以跳过WMI脚本部分,并使用具有pipe理权限的powershell中的以下命令:

wmic / namespace:\ root \ cimv2 \ TerminalServices PATH Win32_TSGeneralSetting Set SSLCertificateSHA1Hash =“YOUR-THUMBPRINT-GOES-HERE”

它在Windows Server 2016 / Windows 10上为我工作。

希望能帮助到你! 🙂