Ssl-Certificate

我可以在 Win10 上為 RDP 使用 Comodo 萬用字元子域證書嗎?

  • January 18, 2018

我跟著

使用適當的證書而不是自簽名的 Windows 證書來保護 RDP。這一切都很好。直到我跑

wmic /namespace:\\root\cimv2\TerminalServices PATH Win32_TSGeneralSetting Set SSLCertificateSHA1Hash="MY_HASH"

此命令只會導致“無效參數”。

相同的命令適用於原始(自簽名 Windows)證書的雜湊。所以我想我的證書一定有問題。它似乎已正確安裝在證書儲存中(使用私鑰並在“Remotedesktop”小節下)。

查看認證 MMC 管理單元中的證書詳細資訊,我導入的證書旁邊有一個黃色驚嘆號:

密鑰使用 = 數字簽名、密鑰加密 (a0)

和附加欄位

基本限制 = 請求者類型:最終單位

雖然 Windows 為 RDP 連接生成的自簽名證書具有:

密鑰使用 = 密鑰加密、數據加密 (30)

無論如何要改變這一點,還是不能將此證書用於RDP?


一些附加資訊:

  • 該證書是 COMODO PositiveSSL 萬用字元證書,
  • 在將證書導入 Windows 證書儲存之前,我使用 OpenSSL 將證書從原始 PEM 表單轉換為 PKCS7 並從 PKCS7 轉換為 PKCS #12/PFX,
  • 證書之間的另一個區別是 Windows 證書是 sha1 證書,而 Comodo 證書是 sha256 證書,
  • 這是一個Win10工作站,
  • 工作站不是任何域的成員,而是獨立安裝。

恐怕我必須回答我自己的問題,而答案似乎是否定的。使用該命令openssl x509 -in cert.crt -purpose -noout -text發現 Comodo 傳遞的原始證書已經缺少該Key Usage欄位所需的標誌。它沒有這個Data Encipherment功能。

Comodo 證書如下所示:

       X509v3 Key Usage: critical
           Digital Signature, Key Encipherment
       X509v3 Basic Constraints: critical
           CA:FALSE
       X509v3 Extended Key Usage: 
           TLS Web Server Authentication, TLS Web Client Authentication

雖然 Windows 自簽名證書具有以下標誌:

   X509v3 extensions:
       X509v3 Extended Key Usage: 
           TLS Web Server Authentication
       X509v3 Key Usage: 
           Key Encipherment, Data Encipherment

引用自:https://serverfault.com/questions/746591