Ssl-Certificate
RDP 證書分發點
我在嘗試訪問通過 Forefront 發布的 TS 網關伺服器時收到消息“您的電腦無法連接到遠端電腦,因為遠端桌面網關的伺服器的證書已過期或已被吊銷”。使用的證書來自我的內部企業 CA。
據我所知,類型排列整齊,整個鏈條都可以正確驗證。我的 TS、TS 網關、Forefront 或客戶端的系統日誌中沒有顯示任何有趣的內容。我唯一能想到的是它是某種驗證問題。我不確定從哪里或如何進一步診斷。
編輯 - 我驗證了我的伺服器上的證書路徑適用於以下內容。
certutil -verify -urlfetch mycert.cer .... Verified Issuance Policies: None Verified Application Policies: 1.3.6.1.5.5.7.3.1 Server Authentication Leaf certificate revocation check passed CertUtil: -verify command completed successfully.
IIS 中使用的相同證書也在 TS 網關螢幕中使用。
編輯 - 客戶端正在執行 Windows 7,mstsc 版本 6.1.7601.17514。
編輯 - 有趣.. 聽起來 RDP 需要啟用 OCSP 才能進行 CRL 查找。http://www.experts-exchange.com/Networking/Security/Q_25072298.html
任何一個:
- 客戶端沒有在其電腦上的 Trust Root Certs 文件夾中安裝 CA Root 證書。
- 證書中的 CRL URL 無法由客戶端解析,或返回過時的 CRL。
預設情況下,MS CA 配置為僅將 CRL 發佈到 AD,外部無法訪問。如果他們無法獲取 CRL 並且指定了 URL,MSTSC 6.0+ 將返回此錯誤。