Ssl-Certificate

可用於 RDS 部署的單個 *.company.com 萬用字元證書?

  • March 29, 2020

通過域中的遠端桌面服務部署ad.company.com,我在同一台伺服器上安裝了 RDG 和 RDSH rd.ad.company.com,.

我可以使用萬用字元證書*.company.com通過遠端桌面網關管理器訪問網關,我還可以按照本指南使 rdp 連接將此證書呈現給客戶端。

在此處輸入圖像描述

如果我嘗試使用rd.company.com網關地址和伺服器地址從遠端客戶端連接,即使我已添加rd.company.com到伺服器上的主機文件,它也會失敗。

如果我嘗試使用rd.company.com網關和rd.ad.company.com伺服器進行連接,則會出現證書警告,因為rd.ad.company.com與萬用字元證書不匹配*.company.com- 我可以連接,但我的目標是沒有警告消息。

是否可以同時覆蓋網關和伺服器*.company.com,或者我需要為rd.ad.company.comor獲取另一個證書*.ad.company.com

我不想company.com用作域而不是ad.company.com,因為我知道那將是一個壞主意

這是可以做到的,事實證明這並不難。你需要:

  1. 確保rd.company.com指向rd.ad.company.com RDG伺服器上的 IP 地址。您可以添加一個新的 DNS 區域rd.company.com並添加一個指向正確 IP 的空 A 記錄,或者在 RDG 上的 hosts 文件中添加一個條目。您可以將內部 IP 添加到外部 DNS,但我認為這有點難看。
  2. 使用遠端桌面網關管理器在 RDG 上配置 RAP(資源授權策略)以允許rd.company.com. 我通過創建一個新的 RD 網關管理組來做到這一點。

現在,我的 rdp 客戶端可以使用標準 RDP 客戶端軟體rd.company.com作為伺服器和網關的地址進行連接,*.company.com 的萬用字元證書涵蓋兩者。

萬用字元證書僅適用於一個級別的域,即最具體的域級別。

因此,您需要為*.ad.company.com.

引用自:https://serverfault.com/questions/708482