我们在办公室中有一台Windows 10 Pro计算机,该计算机具有一个开放的Internet连接端口,用于传入的远程桌面连接(“主机”)。它受复杂的密码和有限次数的允许尝试(只有TLS 1.1或更高版本)很好的保护,但是它不提供外部验证的SSL证书,仅提供远程桌面服务提供的自行生成的自签名证书,并且给我们两个问题:
如何获得充当服务器/主机的Windows 10 Pro(或Windows 7/8 / 8.1 Pro)计算机,以提供适当的SSL证书进行远程桌面验证?
您可以将此主机设置为使用并提供您的(现有的,购买的)外部验证的SSL证书,从而(说明可能也适用于Windows 8和8.1,可能适用于Windows 7,也可能不适用)(部分内容基于Microsoft KB 2001849):
首先,您需要购买正版的经过验证的ssl证书。
如果您具有pkcs12格式文件(例如pfx扩展名)中的此证书,则可以使用Linux或Cygwin查看SHA1指纹(因此,您将在下面需要它):
openssl pkcs12 -in mysite.pfx -nodes|openssl x509 -noout -fingerprint
或者,如果您的Linux服务器中有单独的证书文件,位于/etc/ssl(/etc/ssl/certs/mysite.crt、/etc/ssl/mysite.ca-bundle和/etc/ssl/private/mysite.key ),您可以创建pfx文件并获取SHA1指纹,从而:
如果您没有证书,请为其创建pfx文件(此处为:mysite.pfx)–在请求时设置一个好的密码:
sudo openssl pkcs12 -export -out mysite.pfx -inkey /etc/ssl/private/mysite.pem -in /etc/ssl/certs/mysite.crt -certfile /etc/ssl/mysite.ca-bundle
根据需要移动或复制此pfx文件,以便Windows主机可以访问它。
openssl x509 -in /etc/ssl/certs/mysite.crt -noout -fingerprint
将pkcs12格式(例如pfx)文件导入Windows主机的个人证书存储中:
使用regedit在处添加一个名为SSLCertificateSHA1Hash的新二进制值HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp
。它需要的值是上面获得的证书的SHA1指纹:右键单击新值,选择“修改”,然后依次键入十六进制代码(没有冒号,空格或逗号,字母不区分大小写)–总共20个十六进制对(40个字符)。
您可能需要重新启动主机,或重新启动远程桌面服务(从Services.msc),然后才能运行。
现在,使用正确的站点名称(例如,mysite.com)与该主机建立远程桌面连接后,您应该在顶部连接栏的左侧看到一个锁定的挂锁:单击此按钮可显示该远程服务器的身份计算机已验证。从Internet一直打开到该主机的端口现在应该通过PCI-DSS 3.1主机名测试。
本文收集自互联网,转载请注明来源。
如有侵权,请联系 [email protected] 删除。
我来说两句