1

Я могу использовать Windows RDP для удаленного управления моим домашним ПК (через VPN), но я всегда получаю это предупреждение:

предупреждение о сертификате windows RDP

Нужно ли вручную создавать самоподписанный сертификат и устанавливать его?

Или это уже произошло, и могу ли я доверять тому, что уже предоставляет?

Делает ли это «Больше не спрашивать меня о подключении к этому компьютеру»? Или это просто проверяет имя и вообще обходит проверку сертификата?

Я все еще хочу использовать самоподписанный сертификат для проверки. Я просто хочу, чтобы мой ноутбук доверял самоподписанному сертификату.

Я на Windows 10.

2 ответа2

7

Существует как минимум три решения для этого диалогового окна:

  1. Установите флажок Don't ask me again for connections to this computer
  2. Установите сертификат, используемый удаленным компьютером, в хранилище Trusted Root Certification Authorities на локальном компьютере.
  3. Используйте сертификат, подписанный кем-то, кому доверяют оба компьютера

Первый вариант - это то, что делает большинство людей, и это прекрасно. Он не устанавливает сертификат и не доверяет ему полностью, но помнит, что доверяет этому сертификату только для подключения RDP и только к компьютеру с именем используемого хоста.

Создает новый раздел реестра по адресу:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Terminal Server Client\Servers\Computer-1

со значением Certhash , имеющим отпечаток сертификата.

Если вы удалите этот ключ, вы снова получите диалоговое окно.

Это исключение только для вашего текущего пользователя, другой пользователь на том же компьютере должен сделать то же самое.

Второй вариант - доверять самоподписанному сертификату. Вы должны запустить подключение к Remote Desktop Connection как администратор с повышенными правами, затем нажать кнопку « View certificate и на следующей странице кнопку « Install Certificate... . Выберите Local Machine и Browse... Используйте хранилище Trusted Root Certification Authorities и завершите процесс импорта.

Используя эту опцию, любой пользователь на компьютере может пересылать RDP на удаленную машину, не видя диалогового окна, но теперь вы добавили на свой компьютер новый ЦС, который обычно не лучшая идея, и ее следует избегать. Если кто-то взломает удаленный компьютер, он может получить этот сертификат и использовать его для других целей. Самоподписанный сертификат RDP предназначен только для проверки подлинности сервера, его нельзя использовать для подписи других сертификатов, но вы никогда не узнаете.

При включении RDP на удаленном компьютере Windows автоматически создает этот самозаверяющий сертификат, но обычно он действителен только в течение шести месяцев, поэтому через шесть месяцев вам придется повторить один или два варианта.

С третьим вариантом вы можете получить сертификаты, которые действительны дольше, но для этого вам нужен собственный CA или публичный.

Я бы придерживался варианта 1

2

Выбор «да» и установка флажка «Больше не спрашивать меня» примет самоподписанный сертификат и не предложит вам снова подтвердить этот сертификат.

Так что да - сертификат был сгенерирован для вас, совершенно нормально продолжать использовать его в этом сценарии использования, и вам больше ничего не нужно делать.

Для такого личного использования нет необходимости проводить «настоящий» сертификат, подписанный центром сертификации, но мнения (и уровни паранойи) могут быть разными. Получать законные сертификаты становится дешевле и проще (см. Давайте зашифруем), но использовать их для RDP все же немного затруднительно.

Одно замечание: если вы подключаетесь к этому компьютеру по тому же каналу VPN с того же удаленного компьютера, и вы выбрали доверять сертификату и «больше не показывать», но через некоторое время вам снова предложат, вот когда вы должны быть несколько обеспокоены. Вот как бы себя представлял человек в средней атаке.

Вы можете просматривать сертификаты с удаленных компьютеров, которым вы доверяете, неявно из-за того, что они были выданы доверенными центрами Windows CA или явно, как в случае этого сертификата rdp, с использованием плагина cert mmc, описанного здесь

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .