Zarządzanie certyfikatami na potrzeby połączeń RDP

Podczas tworzenia serwera RDP w Fudo Enterprise, można określić metodę uwierzytelnienia przy użyciu certyfikatu serwera lub certyfikatu CA. Poniższa instrukcja opisuje sposób zarządzania wymienionymi certyfikatami w środowisku Windows Server.

Lokalizacja certyfikatu dla protokołu RDP w Windows Server

Postępuj zgodnie z jednym z poniższych scenariuszy, aby zlokalizować certyfikat pobrany przez Fudo Enterprise z Windows Server podczas tworzenia serwera RDP.

Lokalizowanie certyfikatu serwera w Menedżerze certyfikatów:

Możesz zlokalizować certyfikat pobrany przez Fudo Enterprise z Windows Server bezpośrednio w Menedżerze certyfikatów. Aby wyświetlić certyfikat, wykonaj poniższe kroki:

1. Wybierz Run z Start menu w Windows Server, a następnie wpisz certlm.msc.
2. Wyświetli się okno Menedżera certyfikatów dla lokalnego urządzenia.
3. Aby wyświetlić swój certyfikat, przejdź do Remote Desktop > Certificates w sekcji Certificates - Local Computer w lewym panelu okna Menedżera certyfikatów.

Lokalizacja certyfikatu serwera po numerze seryjnym:

Możesz również zlokalizować certyfikat używany przez Fudo Enterprise, wyodrębniając jego numer seryjny.

1. Po kliknięciu przycisku Pobierz certyfikat, Fudo Enterprise łączy się z określonym adresem i portem w celu pobrania certyfikatu. Podobną akcję można wykonać z wiersza poleceń, wywołując poniższą komendę:

   openssl s_client -connect adres:port
   

   Example:

   openssl s_client -connect 10.0.133.4:3389
   

2. W odpowiedzi otrzymasz certyfikat, z którego możesz wyodrębnienić numer seryjny, wpisując poniższe polecenie i podając otrzymaną zawartość certyfikatu:

   c x509 -noout -serial
   
   -----BEGIN CERTIFICATE-----
   MIIChbdygdu656sdf65ac55mpn1PmpBK/70WFeh+xjANBgkqhkiG9w0BAQsFADAZ
   MRcwFQYDVQQDEw5IT1NUMS5tay5sb2NhbDAeFw0yMzA5MTMxNzA2NTRaFw0yNDAz
   MTQxNzA2NTRaMBkxFzAVcas7c6c6sh83uydtLm1rLmxvY2FsMIIBIjANBgkqhkiG
   9w0BAQEFAAOCAQ8AMIIBCgKCAQEA2ngYkoMa4dgLgGl1+G+m2UEAIH/6ttyQep5u
   tUYkxKeuqpn9AWnYP8To1fornJN387ddhcy76d7jchc8Q093RWVb2cMKKjgOAW9w
   qLFW+WrLEUPY8hYvsCFYgFH3H0HhKLEoWBN5qHH7vjIiW3Rb0Y7xeGb9x0FWItQX
   mbF6sucGdlH+OsjepxMLPVh3Qpb2WQ18kSQGyS1ocbJxOWST9sH4MQkRVFL3rkxN
   f7/qdJcdM6sFxEJTdp30CITRfbORXacl84bStjW2MJzvJRqr94xDHonRdIM9tUka
   06LVJQY6qiEpMVE8MpSDAfoZ+HeyVWt+2EfXlfWE4hiMJP1DoQIDAQABoyQwIjAT
   BgNVHSUEDDAKBggrBgEFBQcDATALBgNVHQ8EBAMCBDAwDQYJKoZIhvcNAQELBQAD
   ggEBAGNXzwNC4DhOxyaVhVTPePsa97aeWJtpl64cE4/ZdAfGBEIfHlBEh/Tnrrn2
   7pr0jLnCjUq9rxHC6jfMR0U2PT4qrMHvGD1nUwZdHuZPavPLFHh/rYHZpizoS+9W
   ggEBAGNXzwNC4DhOxyaVhVTPePsa97aeWJtpl64cE4/ZdAfGBEIfHlBEh/Tnrrn2
   xyXjeYdX8/U9EdgrXOLGX9U74rfGQTrQxZyjuYlGxxqop/y2V3n+3NnNzY+ehW1G
   ggEBAGNXzwNC4DhOxyaVhVTPePsa97aeWJtpl64cE4/ZdAfGBEIfHlBEh/Tnrrn2
   ZUvdUnqtdH+0DdAWBo4P1dv0nL8=
   -----END CERTIFICATE-----
   

3. W odpowiedzi wyodrębniony zostanie numer seryjny, który możesz wykorzystać do wyszukania certyfikatu w Menedżerze certyfikatów.

   serial=41EB33A67D4F9A884AFFBD1615E11EDD
   

4. Skopiuj wyodrębniony numer seryjny i przejdź do Windows Server.

5. Wybierz Run z Start menu, a następnie wpisz certlm.msc, aby otworzyć Menedżer certyfikatów.

6. Przejdź do Action > Find Certificates...

7. Wpisz skopiowany numer seryjny w polu Contains i z rozwijanego menu Look in Field wybierz Serial Number.

8. Kliknij Find Now.

Dostarczanie certyfikatu CA

Informacja

• Jest to poglądowy przewodnik przedstawiający podstawową konfigurację CA dla protokołu RDP. Opisane kroki mogą różnić się w zależności od początkowych ustawień środowiska, w którym pracujesz.
• Aby przygotować certyfikat CA do użycia w Fudo Enterprise, konieczne jest skonfigurowanie CA (Certificate Authority) wraz z szablonem RDP do wydawania certyfikatów.

Instalacja Certificate Authority w Windows Server:

Aby zainstalować Certificate Authority w Windows Server, postępuj zgodnie z instrukcją Windows Server.

Informacja

W procedurze opisanej poniżej wykorzystano opcję Enterprise CA.

Tworzenie szablonu dla certyfikatu RDP:

1. Otwórz Certificate Authority z poziomu narzędzia Server Manager, klikając Tools > Certification Authority w prawym górnym rogu okna.

2. Kliknij prawym przyciskiem myszy na Certificate Templates i wybierz Manage.

3. Znajdź szablon Computer, kliknij na nim prawym przyciskiem myszy i wybierz Duplicate Template.

4. W zakładce General, wprowadź nazwę dla nowego szablonu oraz określ okres ważności i odnawiania według potrzeb.

5. W zakładce Compatibility, z  listy rozwijanej Certification Authority wybierz Windows Server 2003, natomiast z listy rozwijanej Certificate recipient wybierz Windows XP/Server 2003.

6. W zakładce Request Handling, ustaw Purpose na Signature and encryption i zaznacz opcję Allow private key to be exported.

7. W zakładce Cryptography, wykonaj następujące czynności:
   • Ustaw Provider Category na Legacy Cryptography Service Provider,
   • Ustaw Algorithm name na Determined by CSP,
   • Ustaw Minimum Key Size zgodnie z wymaganiami bezpieczeństwa organizacji (np. 1024),
   • Zaznacz opcję Request must use one of the following providers i wybierz Microsoft RSA SChannel Cryptographic Provider.

8. W zakładce Key Attestation pozostaw ustawienia domyślne.

9. W zakładce Server pozostaw ustawienia domyślne.

10. W zakładce Security dodaj komputery i grupy, które mają być uprawnione do używania tego szablonu. Sprawdź, czy grupa lub użytkownik, którego używasz, ma włączone uprawnienia Read, Write i Enroll. Jest to konieczne do żądania certyfikatu przy użyciu tego szablonu w następnych krokach.
11. W zakładce Extensions edytuj Application Policies.
12. Usuń polityki Server Authentication i Client Authentication.
13. Dodaj nową politykę klikając Add, a następnie New.
14. W polu Name wprowadź Remote Desktop Authentication a w polu Object identifier wpisz 1.3.6.1.4.1.311.54.1.2.

15. Kliknij trzy razy OK, aby wrócić do okna Properties of New Template.
16. W zakładce Subject Name wybierz opcję Build from this Active Directory information i następnie DNS name.

17. W zakładce Issuance Requirements, pozostaw ustawienia domyślne.

18. Kliknij OK, aby zapisać utworzony szablon. Zamknij Certificate Templates Console.
19. Wróć do okna Certification Authority, kliknij prawym przyciskiem myszy na Certificate Templates i wybierz New > Certificate Template to Issue.

20. Wybierz utworzony szablon i kliknij OK.

Konfiguracja GPO:

1. Naciśnij Win + R, wpisz gpmc.msc, i wciśnij Enter, aby otworzyć okno menedżera Group Policy Management.
2. Utwórz nowy Group Policy Object (GPO) lub przejdź do GPO, który zamierzasz edytować. W tym przykładzie utworzymy nowy obiekt.
3. Kliknij prawym przyciskiem myszy na nazwę domeny i wybierz Create a GPO in this domain, and Link it here…
4. Podaj nazwę dla nowego GPO (np. rdp) i kliknij OK.

5. Kliknij prawym przyciskiem myszy na nazwę utworzonego GPO i wybierz Edit….
6. W Group Policy Management Editor przejdź do Computer Configuration > Policies > Administrative Templates > Windows Components > Remote Desktop Services > Remote Desktop Session Host > Security.
7. Kliknij dwukrotnie na Server authentication certificate template, aby edytować to ustawienie.

8. Wybierz opcję Enabled i w polu Certificate Template Name wprowadź nazwę szablonu utworzonego w poprzednich krokach.

9. Kliknij OK.
10. Kliknij dwukrotnie na Require use of specific security layer for remote (RDP) connections, aby edytować to ustawienie.
11. Wybierz opcję Enabled, a następnie SSL z menu rozwijanego Security Layer.

12. Kliknij OK.
13. Powiąż GPO z jednostką organizacyjną (OU) zawierającą serwery / komputery stacjonarne, które wymagają certyfikatów RDP, jeśli jest to wymagane w Twoim środowisku. Polityki zostaną automatycznie zarejestrowane, gdy zaktualizowane zostaną polityki grupowe (Group Policy).

Rejestracja certyfikatu RDP:

1. Naciśnij Win + R, wpisz certlm.msc i naciśnij Enter, aby otworzyć narzędzie Certificate Manager dla lokalnego urządzenia.
2. Przejdź do Personal > Certificates.
3. Kliknij prawym przyciskiem myszy w oknie menedżera i wybierz All Tasks > Request New Certificate….
4. Kliknij Next w zakładkach Before You Begin i Select Certificate Enrollment Policy.
5. W zakładce Request Certificate wybierz szablon utworzony w poprzednich krokach i kliknij Enroll.
6. Skopiuj zarejestrowany certyfikat do katalogu Trusted Root Certification Authorities > Certificates.

Eksport certyfikatu CA:

1. Naciśnij Win + R, wpisz certlm.msc i naciśnij Enter, aby otworzyć narzędzie Certificate Manager dla lokalnego urządzenia.
2. Przejdź do Trusted Root Certification Authorities > Certificates.
3. Kliknij prawym przyciskiem myszy na główny certyfikat CA (Root Certification Authority) i wybierz All Tasks > Export….
4. Kliknij Next.
5. Wybierz format Base-64 encoded X.509 (.CER) i kliknij Next.
6. Określ nazwę i lokalizację dla eksportowanego certyfikatu.
7. Kliknij Next i Finish, aby zapisać plik.

Utworzenie użytkownika w Fudo:

1. Wybierz Zarządzanie > Użytkownicy, a następnie kliknij Dodaj użytkownika.

2. Wprowadź nazwę użytkownika (np. User1).
3. W zakładce Ustawienia, w sekcji Sejfy, wybierz portal.

4. Kliknij Zapisz.

5. Przejdź do sekcji Uwierzytelnienie i z rozwijanej listy Dodaj metodę uwierzytelnienia wybierz Hasło statyczne.

7. Wprowadź hasło i kliknij Zapisz.

8. Uzupełnij pozostałe parametry według własnych wymagań (jeśli wymagane). W tym celu możesz zapoznać się z treścią rozdziału Dodawanie użytkownika.

9. Kliknij Zapisz i zamknij.

Konfiguracja serwera RDP:

1. Wybierz Zarządzanie > Serwery, a następnie kliknij + Dodaj serwer.

2. Wprowadź unikalną nazwę serwera (np. ServerRDP).
3. W zakładce Uprawnienia, dodaj użytkowników upoważnionych do zarządzania tym obiektem.
4. W zakładce Ustawienia z listy dostępnych protokołów wybierz RDP.

5. Zaznacz opcje TLS włączony i NLA włączony.

6. W sekcji Miejsce przeznaczenia wybierz IPv4 i wprowadź adres IP serwera, dla którego chcesz skonfigurować połączenie RDP.
7. W sekcji Weryfikacja serwera wybierz Certyfikat CA i załaduj wyeksportowany plik certyfikatu CA.

8. Kliknij Zapisz i zamknij.

Konfiguracja konta:

1. Wybierz Zarządzanie > Konta, a następnie kliknij Dodaj.

2. Zdefiniuj nazwę obiektu (np. CA-account).
3. Z rozwijanej listy Typ wybierz regular.
4. Przejdź do sekcji Serwer / Pula i z listy rozwijanej wybierz serwer utworzony w poprzednim kroku (np. ServerRDP), aby przypisać utworzone konto do tego serwera.
5. W sekcji Dane uwierzytelniające podaj Domenę i Login używane do uwierzytelnienia na serwerze.
6. Z rozwijanej listy Zastąp sekret wybierz opcję hasłem i podaj hasło używane do uwierzytelnienia na serwerze.

7. Kliknij Zapisz.

Konfiguracja gniazda nasłuchiwania:

1. Wybierz Zarządzanie > Nasłuchiwanie, a następnie kliknij Dodaj nasłuchiwanie.

2. Wprowadź unikalną nazwę nasłuchiwania (np. RDP-bastion).
3. Przejdź do zakładki Uprawnienia i dodaj użytkowników upoważnionych do zarządzania tym gniazdem nasłuchiwania (np. User1).

4. Przejdź do zakładki Ustawienia i w polu Protokół naciśnij przycisk RDP.
5. Zaznacz opcję TLS włączony aby włączyć szyfrowanie.
6. Zaznacz opcję NLA włączony dla dodatkowego bezpieczeństwa.
7. W sekcji Tryb połączenia wybierz bastion.

8. Ustaw Adres lokalny na Any i port 3389.
9. W polu Certyfikat serwera kliknij Wygeneruj certyfikat, aby wygenerować certyfikat TLS, wybierając algorytm klucza i podając nazwę powszechną (nazwa serwera, na którym zainstalowany jest certyfikat).

10. Kliknij Zapisz i zamknij.

Konfiguracja Sejfu:

1. Wybierz Zarządzanie > Sejfy i kliknij Dodaj.

2. Wprowadź nazwę obiektu (np. SafeRDP).

3. Wybierz opcję Klient Webowy, aby umożliwić nawiązanie sesji w przeglądarce.

4. Wybierz zakładkę Użytkownicy, aby przypisać użytkowników uprawnionych do dostępu do kont przydzielonych do tego sejfu.

• Kliknij «+ Dodaj konto», a następnie kliknij ikonę obok CA-account, które zostało utworzone w poprzednich krokach.

  • Kliknij «ok», aby zamknąć okno.
  • Kliknij ikonę edycji , aby przypisać do konta gniazdo nasłuchiwania.
  • Kliknij ikonę , aby dodać gniazdo nasłuchiwania RDP-bastion utworzone w poprzednich krokach.
  • Kliknij «ok», aby zamknąć okno.

  6. Kliknij Zapisz.

  • Kliknij Dodaj użytkownika, a następnie kliknij przycisk . obok User1, który został utworzony w poprzednich krokach, aby umożliwić dostęp do serwera przez monitorowany sejf.
  • Kliknij ok, aby zamknąć okno.

  5. Wybierz zakładkę Konta, aby dodać konta dostępne przez ten sejf.

     • Kliknij :button-add:»Dodaj konto», a następnie kliknij ikonę . obok CA-account, które zostało utworzone w poprzednich krokach.
     • Kliknij «ok», aby zamknąć okno.
     • Kliknij ikonę edycji ., aby przypisać do konta gniazdo nasłuchiwania.
     • Kliknij ikonę ., aby dodać gniazdo nasłuchiwania RDP-bastion utworzone w poprzednich krokach.
     • Kliknij «ok», aby zamknąć okno.

  6. Kliknij Zapisz.

Nawiązywanie sesji:

1. Zaloguj się do Portalu Użytkownika Fudo Enterprise używając User1 jako nazwy użytkownika i hasła podanego podczas tworzenia tego użytkownika.
2. Najedź kursorem na nazwę CA_account i wybierz Klient webowy, aby rozpocząć sesję.

Related topics:

• Dodawanie serwera RDP
• Dodawanie użytkownika