Puis-je utiliser un Comodo Wildcard-Subdomain Cert pour RDP sur Win10?

J'ai suivi

  • Utilisation du certificate CA pour la connection au bureau à distance
  • Configurez le certificate SSL personnalisé pour RDP sur Windows Server 2012 en mode Administration à distance?

pour sécuriser le RDP avec un cert approprié au lieu de Windows auto-signé. Tout cela fonctionne bien. Jusqu'à ce que je cours

wmic /namespace:\\root\cimv2\TerminalServices PATH Win32_TSGeneralSetting Set SSLCertificateSHA1Hash="MY_HASH" 

Cette command ne se traduit par "paramètre invalide".

La même command fonctionne bien avec le hash du certificate d'origine (Windows auto-signé). Donc, je suppose que quelque chose doit être erroné avec mon cert. Il semble être correctement installé dans le cert store (avec une key privée et sous la sous-section "Remotedesktop").

En regardant les détails du cert dans la certificateion MMC snapin, mon certificate importé a un point d'exclamation jaune à côté de:

Utilisation des keys = signature numérique, encryption key (a0)

et le champ supplémentaire

Limites de base = Type de requestur: unité finale

Alors que le cert auto-signé que Windows génère pour la connection RDP a:

Utilisation des keys = encryption key, encryption des données (30)

Est-il possible de changer cela, ou n'est-il pas possible d'utiliser ce cert pour RDP?


Quelques informations supplémentaires:

  • Le cert est un CERT COMODO PositiveSSL Wildcard,
  • J'ai converti le cert du formulaire PEM original à PKCS7 et de PKCS7 à PKCS # 12 / PFX à l'aide d'OpenSSL avant de l'importer dans le magasin Cert de Windows,
  • Une autre différence entre les certs est que le Windows est un sha1 tandis que le Comodo Cert est un sha256,
  • C'est un post de travail Win10,
  • Le post de travail n'est membre d'aucun domaine, mais une installation autonome.

2 Solutions collect form web for “Puis-je utiliser un Comodo Wildcard-Subdomain Cert pour RDP sur Win10?”

Je crains de répondre à ma propre question et la réponse semble être non . En utilisant la command openssl x509 -in cert.crt -purpose -noout -text , le certificate original délivré par Comodo manque déjà des drapeaux nécessaires dans le champ Key Usage . Il n'a pas la fonctionnalité Data Encipherment .

Le Comodo cert ressemble à ceci:

  X509v3 Key Usage: critical Digital Signature, Key Encipherment X509v3 Basic Constraints: critical CA:FALSE X509v3 Extended Key Usage: TLS Web Server Authentication, TLS Web Client Authentication 

Alors que le cert auto-signé de Windows comporte les drapeaux suivants:

  X509v3 extensions: X509v3 Extended Key Usage: TLS Web Server Authentication X509v3 Key Usage: Key Encipherment, Data Encipherment 

Je ne sais pas si vous avez encore besoin de la réponse pour ce problème, mais si quelqu'un en a encore besoin, vous l'avez.

Vous n'avez vraiment pas besoin des attributes spécifiés par vous.

En suivant les étapes de cette publication, vous réussirez l'installation de tout CRT (Wildcard ou Normal) sur un ordinateur / controller de domaine.

Je n'ai pas testé sans AD CS, mais je pense que cela fonctionne.

La seule chose que vous devez faire est de convertir le CRT / p7b en cer, puis sur pfx (pkcs12) à l'aide de la key et du package. Ensuite, importez-le manuellement dans votre operating system.

https://blogs.technet.microsoft.com/enterprisemobility/2010/04/09/configuring-remote-desktop-certificatees/ – c'est la publication.

https://www.sslshopper.com/ssl-converter.html – vous findez ici comment convertir les certificates.

Au fait, vous pouvez ignorer la partie script WMI et utiliser la command suivante à partir de powershell avec les droits administratifs:

wmic / namespace: \ root \ cimv2 \ TerminalServices PATH Win32_TSGeneralSetting Set SSLCertificateSHA1Hash = "YOUR-THUMBPRINT-GOES-ICI"

Cela a fonctionné pour moi sur Windows Server 2016 / Windows 10.

J'espère que cela aide! 🙂

  • Vitesse iSCSI lente entre WinServer2016 et Win10 sur 10G Ethernet
  • Hyper-V n'a pas pu initialiser VM
  • login RDP initiale à Windows 10 lente à connecter
  • RDP lente lente à Windows 10
  • Lors de l'access aux partages Samba à partir de Windows 10, smbstatus ne signale pas de personne en double: les inputs PID nogroup
  • Existe-t-il des services Windows qui ne fonctionnent que sur IPv6?
  • E: la lettre de lecteur ne s'affiche jamais dans Explorer, pour n'importe quel périphérique
  • MDT: Windows 10 Upgrade - L'option de command line inconnue a été spécifiée
  • Comment configurer Server 2012 + Active Directory pour le réseau domestique avec les clients Windows 10?
  • 30s de timeout d'inactivité fermeront l'écran d'ouverture de session Windows 10
  • Déploiement de Win10 avec Windows Deployment Services
  • Les astuces du serveur de linux et windows, tels que ubuntu, centos, apache, nginx, debian et des sujets de réseau.