У меня есть машина с Windows 8.1, в которую я пересылаю RDP по общедоступному IP-адресу (также защищенный 2FA) Я получаю сбой сканирования PCI, потому что сертификат SSL по умолчанию, созданный Windows для RDP, использует хэширование SHA1.
Поэтому я получил официальный сертификат (SAH256, подстановочный знак) и импортировал его в персональные сертификаты локального компьютера + добавил значение реестра SSLCertificateSHA1Hash (оба по адресу https://support.microsoft.com/en-us/kb/2001849, хотя это для Windows 7). Обратите внимание, что я не видел, как выполнить последний шаг (настройка ACL для файла ключей, используемого RDS для включения NETWORK SERVICE), поскольку инструкции для этого для Windows 7 не работали для Windows 8.
После этого я сначала вообще не смог подключиться. Затем, когда я попытался снова, я мог соединиться, но он все еще использовал свой автоматически сгенерированный сертификат. В журнале событий я вижу это:
The RD Session Host Server is configured to use a certificate but is unable
to access the private key associated with this certificate. The name on this
certificate is *.acme.com. The SHA1 hash of the certificate is in the event
data. The default certificate will be used for RD Session Host Server
authentication from now on. Please check the security settings by using the
Remote Desktop Session Host Configuration tool in the Administrative Tools
folder.
Возможно, все, что нужно, это установить ACL для файла ключей, но я мог бы помочь с этим ...
Или в более широком смысле: как я могу заставить Windows (8.1) использовать официальный сертификат SSL для RDP?