Ssl-Certificate
我可以在 Win10 上為 RDP 使用 Comodo 萬用字元子域證書嗎?
我跟著
使用適當的證書而不是自簽名的 Windows 證書來保護 RDP。這一切都很好。直到我跑
wmic /namespace:\\root\cimv2\TerminalServices PATH Win32_TSGeneralSetting Set SSLCertificateSHA1Hash="MY_HASH"此命令只會導致“無效參數”。
相同的命令適用於原始(自簽名 Windows)證書的雜湊。所以我想我的證書一定有問題。它似乎已正確安裝在證書儲存中(使用私鑰並在“Remotedesktop”小節下)。
查看認證 MMC 管理單元中的證書詳細資訊,我導入的證書旁邊有一個黃色驚嘆號:
密鑰使用 = 數字簽名、密鑰加密 (a0)
和附加欄位
基本限制 = 請求者類型:最終單位
雖然 Windows 為 RDP 連接生成的自簽名證書具有:
密鑰使用 = 密鑰加密、數據加密 (30)
無論如何要改變這一點,還是不能將此證書用於RDP?
一些附加資訊:
- 該證書是 COMODO PositiveSSL 萬用字元證書,
- 在將證書導入 Windows 證書儲存之前,我使用 OpenSSL 將證書從原始 PEM 表單轉換為 PKCS7 並從 PKCS7 轉換為 PKCS #12/PFX,
- 證書之間的另一個區別是 Windows 證書是 sha1 證書,而 Comodo 證書是 sha256 證書,
- 這是一個Win10工作站,
- 工作站不是任何域的成員,而是獨立安裝。
恐怕我必須回答我自己的問題,而答案似乎是否定的。使用該命令
openssl x509 -in cert.crt -purpose -noout -text發現 Comodo 傳遞的原始證書已經缺少該Key Usage欄位所需的標誌。它沒有這個Data Encipherment功能。Comodo 證書如下所示:
X509v3 Key Usage: critical Digital Signature, Key Encipherment X509v3 Basic Constraints: critical CA:FALSE X509v3 Extended Key Usage: TLS Web Server Authentication, TLS Web Client Authentication雖然 Windows 自簽名證書具有以下標誌:
X509v3 extensions: X509v3 Extended Key Usage: TLS Web Server Authentication X509v3 Key Usage: Key Encipherment, Data Encipherment