RDP 證書分發點

我在嘗試訪問通過 Forefront 發布的 TS 網關伺服器時收到消息“您的電腦無法連接到遠端電腦，因為遠端桌面網關的伺服器的證書已過期或已被吊銷”。使用的證書來自我的內部企業 CA。

據我所知，類型排列整齊，整個鏈條都可以正確驗證。我的 TS、TS 網關、Forefront 或客戶端的系統日誌中沒有顯示任何有趣的內容。我唯一能想到的是它是某種驗證問題。我不確定從哪里或如何進一步診斷。

編輯 - 我驗證了我的伺服器上的證書路徑適用於以下內容。

certutil -verify -urlfetch mycert.cer
....
Verified Issuance Policies: None
Verified Application Policies:
  1.3.6.1.5.5.7.3.1 Server Authentication
Leaf certificate revocation check passed
CertUtil: -verify command completed successfully.

IIS 中使用的相同證書也在 TS 網關螢幕中使用。

編輯 - 客戶端正在執行 Windows 7，mstsc 版本 6.1.7601.17514。

編輯 - 有趣.. 聽起來 RDP 需要啟用 OCSP 才能進行 CRL 查找。http://www.experts-exchange.com/Networking/Security/Q_25072298.html

任何一個：

1. 客戶端沒有在其電腦上的 Trust Root Certs 文件夾中安裝 CA Root 證書。
2. 證書中的 C​​RL URL 無法由客戶端解析，或返回過時的 CRL。

預設情況下，MS CA 配置為僅將 CRL 發佈到 AD，外部無法訪問。如果他們無法獲取 CRL 並且指定了 URL，MSTSC 6.0+ 將返回此錯誤。

引用自：https://serverfault.com/questions/343563