請求的伺服器地址和證書主題不匹配
我正在嘗試在虛擬 Windows Server 2012 R2 上設置遠端桌面網關(終端服務網關)。但是當通過 Internet 連接(從 Win7 RDP 客戶端)時出現錯誤:
您的電腦無法連接到遠端電腦,因為請求的遠端桌面網關伺服器地址與證書主題不匹配。
這是我的配置:
- 主機正在執行 Windows Server 2008 R2 Std
- RDG 正在虛擬執行 Windows Server 2012 R2 Std(我也嘗試了 2008 R2,結果相同)
- AD 也是虛擬的(dc.domain.local 等)
- 主機是 server.domain.local
- 主機正在使用 NAT 執行 RRAS,因此埠 host:33899 被轉發到 rdg:3389
- RDG 是 rdg.domain.local
- RDG 使用網關管理器中設置的 example.com 的自簽名 SSL 證書:
無論我為 SSL 證書使用什麼名稱,客戶端都會使用
Subject=rdg.domain.local
!我還嘗試使用手動創建自簽名證書
makecert
並使用/導入它,但結果相同。
這是我為使其工作而採取的步驟:
- 頒發主題匹配公共 DNS 名稱 (FQDN) 的 SSL 證書
- 使用預設埠 3389/TCP 否則 SSL 證書名稱將不匹配 FQDN 返回錯誤:
電腦無法驗證 RD 網關的身份。
或者,如果您將其送出給目前使用者的受信任的根證書頒發機構:
您的電腦無法連接到電腦,因為請求的遠端桌面網關伺服器地址與證書名稱不匹配。
- 同時發布 HTTPS 埠 443/TCP。否則將無法建立連接,返回另一個無意義的錯誤:
您的電腦無法連接到遠端電腦,因為 RDG 伺服器暫時不可用。
請參閱我的部落格文章。
顯然 MS 有點搞砸了指令。
我相信您需要在 rdg 網關電腦上的 iis 管理器中創建證書請求。該請求需要指定客戶端用於通過 Internet 連接的 fqdn。為了處理請求籤名,您使用客戶端電腦信任的 CA。如果您對客戶端電腦具有完全控制權,則可以使用自己的 CA,只要它們信任您的 CA 根證書。否則,請使用商業 CA,例如 Verisign、Thawte 等。將簽名證書導入 iis 後,它應該可以導入到您的 rdg 網關。
這一切都記錄在官方指南中:http ://technet.microsoft.com/en-us/library/dd983941%28WS.10%29.aspx
包括http://technet.microsoft.com/en-us/library/dd983949(v=ws.10).aspx底部的咆哮評論
除了顯然這個小細節:http ://blog.xiquest.com/2010/01/rd-gatewayweb-access-outside-the-firewall/
“從“管理工具”菜單打開“IIS Admin”控制台。導航到預設網站並為“預設網站\RDWeb\Pages”配置“應用程序設置”。更改以下設置:“DefaultTSGateway”=
$$ fqdn of Internet accessible TS Gateway $$ 注意:確保這也是您的 SSL 證書上列出的伺服器名稱。”
一旦我得到一台合適的電腦,我就會整理這篇文章。