Ssl-Certificate

請求的伺服器地址和證書主題不匹配

  • December 27, 2014

我正在嘗試在虛擬 Windows Server 2012 R2 上設置遠端桌面網關(終端服務網關)。但是當通過 Internet 連接(從 Win7 RDP 客戶端)時出現錯誤:

您的電腦無法連接到遠端電腦,因為請求的遠端桌面網關伺服器地址與證書主題不匹配。

這是我的配置:

  • 主機正在執行 Windows Server 2008 R2 Std
  • RDG 正在虛擬執行 Windows Server 2012 R2 Std(我也嘗試了 2008 R2,結果相同)
  • AD 也是虛擬的(dc.domain.local 等)
  • 主機是 server.domain.local
  • 主機正在使用 NAT 執行 RRAS,因此埠 host:33899 被轉發到 rdg:3389
  • RDG 是 rdg.domain.local
  • RDG 使用網關管理器中設置的 example.com 的自簽名 SSL 證書:

無論我為 SSL 證書使用什麼名稱,客戶端都會使用Subject=rdg.domain.local!

在此處輸入圖像描述

我還嘗試使用手動創建自簽名證書makecert並使用/導入它,但結果相同。

這是我為使其工作而採取的步驟:

  • 頒發主題匹配公共 DNS 名稱 (FQDN) 的 SSL 證書
  • 使用預設埠 3389/TCP 否則 SSL 證書名稱將不匹配 FQDN 返回錯誤:

電腦無法驗證 RD 網關的身份。

或者,如果您將其送出給目前使用者的受信任的根證書頒發機構:

您的電腦無法連接到電腦,因為請求的遠端桌面網關伺服器地址與證書名稱不匹配。

  • 同時發布 HTTPS 埠 443/TCP。否則將無法建立連接,返回另一個無意義的錯誤:

您的電腦無法連接到遠端電腦,因為 RDG 伺服器暫時不可用。

請參閱我的部落格文章

顯然 MS 有點搞砸了指令。

我相信您需要在 rdg 網關電腦上的 iis 管理器中創建證書請求。該請求需要指定客戶端用於通過 Internet 連接的 fqdn。為了處理請求籤名,您使用客戶端電腦信任的 CA。如果您對客戶端電腦具有完全控制權,則可以使用自己的 CA,只要它們信任您的 CA 根證書。否則,請使用商業 CA,例如 Verisign、Thawte 等。將簽名證書導入 iis 後,它應該可以導入到您的 rdg 網關。

這一切都記錄在官方指南中:http ://technet.microsoft.com/en-us/library/dd983941%28WS.10%29.aspx

包括http://technet.microsoft.com/en-us/library/dd983949(v=ws.10).aspx底部的咆哮評論

除了顯然這個小細節:http ://blog.xiquest.com/2010/01/rd-gatewayweb-access-outside-the-firewall/

“從“管理工具”菜單打開“IIS Admin”控制台。導航到預設網站並為“預設網站\RDWeb\Pages”配置“應用程序設置”。更改以下設置:“DefaultTSGateway”=

$$ fqdn of Internet accessible TS Gateway $$ 注意:確保這也是您的 SSL 證書上列出的伺服器名稱。”

一旦我得到一台合適的電腦,我就會整理這篇文章。

引用自:https://serverfault.com/questions/557050