Таким образом, вы можете настроить этот хост-компьютер на использование и представление своего (действующего, приобретенного) сертификата SSL, проверенного извне (инструкции, вероятно, также работают для Windows 8 и 8.1, могут работать или не работать для Windows 7) (часть этого основана на Microsoft KB 2001849):
Во-первых, вам необходимо приобрести подлинный проверенный сертификат SSL.
Если у вас есть этот сертификат в файле формата pkcs12 (например, расширение pfx), вы можете просмотреть отпечаток SHA1, используя Linux или Cygwin, таким образом (он понадобится вам ниже):
openssl pkcs12 -in mysite.pfx -nodes|openssl x509 -noout -fingerprint
В качестве альтернативы, если у вас есть отдельные файлы сертификатов на вашем сервере Linux в /etc /ssl (/etc/ssl/certs/mysite.crt, /etc/ssl/mysite.ca-bundle и /etc/ssl/private/mysite.key) вы можете создать файл pfx и получить отпечаток SHA1 таким образом:
- Создайте файл pfx для своего сертификата, если у вас его еще нет (здесь: mysite.pfx) - установите хороший пароль при запросе: sudo openssl pkcs12 -export -out mysite.pfx -inkey /etc /ssl /private /mysite .pem -in /etc/ssl/certs/mysite.crt -certfile /etc/ssl/mysite.ca-bundle
- Переместите или скопируйте этот файл pfx, как требуется, чтобы он был доступен на вашем хост-компьютере Windows.
- Просмотрите SHA1-отпечаток ключа (вам понадобится это ниже):
openssl x509 -in /etc/ssl/certs/mysite.crt -noout -fingerprint
Импортируйте файл формата pkcs12 (например, pfx) в хранилище личных сертификатов хоста Windows:
- Пуск / Выполнить / ММС
- Файл / Добавить Удалить оснастку / Сертификаты / Добавить / Учетная запись компьютера / Локальный компьютер / ОК
- В левом окне щелкните правой кнопкой мыши Сертификаты (локальный компьютер)/ Личные, выберите Все задачи / Импорт…
- Найдите файл pfx и импортируйте его. Я полагаю, что по соображениям безопасности вы не можете сделать его экспортируемым.
- Расширяя ваши личные / сертификаты, вы должны увидеть 3 сертификата, один из которых - сертификат вашего сайта (например, mysite.com). Щелкните правой кнопкой мыши по сертификату этого сайта и щелкните правой кнопкой мыши, выберите «Все задачи / Управление личными ключами»…
- Добавьте пользователя «NETWORK SERVICE» только с правами на чтение (не полный доступ), затем нажмите «Применить».
- Закрыть mmc
Используйте regedit для добавления нового двоичного значения с именем SSLCertificateSHA1Hash в HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp. Необходимое значение - это отпечаток SHA1 сертификата, полученного выше: щелкните правой кнопкой мыши новое значение, выберите «Изменить», а затем последовательно введите шестнадцатеричные коды (без двоеточий, пробелов или запятых, буквы не чувствительны к регистру) - есть Всего 20 шестнадцатеричных пар (40 символов).
Вам может потребоваться перезагрузить хост-компьютер или перезапустить службы удаленного рабочего стола (из Services.msc), прежде чем он заработает.
Теперь, после подключения удаленного рабочего стола к этому хосту с использованием правильного имени сайта (например, mysite.com), вы увидите заблокированный замок в левой части верхней панели подключения: щелчок по нему показывает, что идентификатор удаленного компьютер был проверен. Порт, открытый из Интернета через этот хост, теперь должен пройти тестирование имени хоста PCI-DSS 3.1.