Amazon-Ec2

mstsc 無法驗證遠端 Amazon 伺服器的身份

  • August 2, 2018

當我連接到執行 Windows Server 2003 R2 的 Amazon 實例時,mstsc說它無法驗證遠端伺服器的身份。就像在這張圖片上:

但在我的情況下,證書名稱是:i-0e427eaa3f0b7ca11. 問題不在於亞馬遜基礎設施,不是嗎?

我的猜想是每個亞馬​​遜實例都是從一些預先安排的圖像中創建的。這就是我必須重新頒發證書的原因。我找到了有關如何執行此操作的說明。但他們基本上是這樣的:刪除一些文件,重新啟動,獲利。這就是人們通常重新頒發證書的方式嗎?這甚至可以解決我的問題嗎?

UPD我在 MMC > 證書(本地電腦)> 個人 > 證書中發現了證書(以及許多其他具有相似名稱的證書)。在另一台非亞馬遜伺服器上,我在此文件夾中看不到任何證書。證書具有完整的電腦名稱作為友好名稱(但不作為主題)。而且還不是很清楚,是什麼讓伺服器選擇了這個特定的證書。我想我不能刪除它。亞馬遜可能出於某些技術原因使用它。

一般來說,問題是,發生了什麼?證書是如何選擇的?我怎樣才能影響它?誰這樣做?當 Personal 文件夾中沒有證書時,是否建立了非 TLS 連接?

你有兩個問題。

  1. 伺服器名稱與證書上的名稱不匹配。
  2. 證書不受信任。

為了解決這個

  1. 您不必匹配伺服器的主機名,證書必須匹配客戶端使用的 DNS 名稱。如果 DNS 名稱發生更改,請獲取 DynDNS 之類的名稱或您自己域中的名稱,您可以將其更新為正確的 IP 地址。這樣,您使用的名稱保持不變,並且您知道將什麼名稱放入證書中。
  2. 讓您的客戶信任證書。要麼創建一個自簽名證書並讓客戶端信任它,要麼從letsencrypt或另一個已經受信任的CA獲取證書。或者設置您自己的 CA,但這可能不值得為一台伺服器付出努力。

啟動 mmc 並添加遠端桌面配置管理器 MMC 管理單元以選擇證書。

引用自:https://serverfault.com/questions/924573