Настройка доверенных SSL/TLS сертификатов для защиты RDP подключений

Содержание

В этой статье мы покажем, как использовать доверенные SSL/TLS сертификаты для защиты RDP подключений к компьютерам и серверам Windows в домене Active Directory. Эти сертфикаты мы будем использовать вместо самоподписанных RDP сертификатов (у пользователей появляется предупреждение о невозможности проверки подлинности при подключению к RDP хосту с таким сертификатом). В этом примере мы настроим специальный шаблон для выпуска RDP сертификатов в Certificate Authority и настроим групповую политику для автоматического выпуска и привязки SSL/TLS сертификата к службе Remote Desktop Services.

Предупреждение о самоподписанном сертификате RDP

По умолчанию в Windows для защиты RDP сессии генерируется самоподписанный

сертификат. В результате при первом подключении к RDP/RDS серверу через клиента mstsc. exe, у пользователя появляется предупреждение:

rdp подключение Ошибка сертификата: сертификат выдан не имеющим доверия центром сертификации

Чтобы продолжить установление RDP подключении пользователь должен нажать кнопку Да. Чтобы RDP предупреждение не появлялось каждый раз, можно включить опцию “Больше не выводить запрос о подключениях к этому компьютеру».

При этом отпечаток RDP сертификата сохраняется на клиенте в параметре CertHash в ветке реестра с историей RDP подключений (HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Servers\). Если вы скрыли уведомление о невозможности проверить подлинность RDP сервера, чтобы сбросить настройки, удалите ключ с отпечатком сертификата из реестра.

отпечаток RDP сертфиката хранится на клиенте в реестре

Создаем шаблон RDP сертификата в центре сертификации (CA)

Попробуем использовать для защиты RDP подключений доверенный SSL/TLS сертификат, выданный корпоративным центром сертификации. С помощью такого сертификата пользователь может выполнить проверку подлинности RDP сервера при подключении. Предположим, что у вас в домене уже развернут корпоративной центр сертификации (Microsoft Certificate Authority), в этом случае вы можете настроить автоматическую выдачу и подключение сертификатов всем компьютерам и серверам Windows в домене.

Н на вашем CA нужно создать новый тип шаблона сертификата для RDP/RDS серверов.

Настройка групповой политики для выдачи RDP сертификатов

Теперь нужно настроить доменную политику, которая будет автоматически назначать RDP сертификат компьютерам/серверам согласно настроенного шаблона.

Для применения нового RDP сертификата, перезапустите службу Remote Desktop Services:

проверка rdp подключения с новым сертфикатом

Теперь при RDP подключении к серверу перестанет появляться запрос на доверие сертификату (чтобы появился запрос о доверии сертификату, подключитесь к серверу по IP адресу вместо FQDN имени сервера, для которого выпущен сертификат). Нажмите кнопку “Посмотреть сертификат”, перейдите на вкладку “Состав”, скопируйте значение поля “Отпечаток сертификата”.

Также можете в консоли Certification Authority в секции Issued Certificates проверить, что по шаблону RDPTemplate был выдан сертификат определённому Windows компьютеру/серверу. Также проверьте значение Thumbprint сертификата:

Thumbprint у сертфиката

Теперь, при подключении к удаленном столу любого сервера или компьютера, на который действует эта политика, вы не увидите предупреждения о недоверенном RDP сертификате.

Подписываем RDP файл и добавляем отпечаток доверенного RDP сертификата

Если у вас отсутствует CA, но вы хотите, чтобы при подключении к RDP/RDS серверу у пользователей не появлялось предупреждения, вы можете добавить сертификат в доверенные на компьютерах пользователей.

Как описано выше получите значение отпечатка (Thumbprint) RDP сертификата:

rdpsign. exe /sha256 65A27B2987702281C1FAAC26D155D78DEB2B8EE2 «C:\Users\root\Desktop\rdp. rdp»

политика Указать отпечатки SHA1 сертификатов, представляющих доверенных издателей RDP

Чтобы работал прозрачных RDP вход без ввода пароля (RDP Single Sign On), нужно настроить политику Allow delegation defaults credential и указать в ней имена RDP/RDS серверов (см. статью).

Предыдущая статьяПредыдущая статья Следующая статья Следующая статья

Причины ошибки в цепочке сертификатов

Устранение ошибки при создании создания цепочки сертификатов для доверенного корневого центра

В первую очередь убедитесь, что у вас нет проблем с интернет-подключением. Ошибка может появляться при отсутствии доступа. Сетевой кабель должен быть подключен к компьютеру или роутеру.

При подключенном интернете у вас должны отобразиться данные об отправленных пакетах, скорости передачи и прочая информация. Если Интернета нет, вы увидите, что пакеты не дошли до места назначения.

Теперь проверим наличие корневого сертификата Удостоверяющего Центра. Для этого:

Проверка корневого сертификата УЦ в браузере

Проверку можно выполнить в браузере.

Теперь попробуйте снова выполнить те действия, в процессе которых возникла ошибка. Чтобы получить корневой сертификат, необходимо обратиться в соответствующий центр, где вы получили СКП ЭП.

Другие способы исправить ошибку цепочки сертификатов

В следующем окне вы должны увидеть сообщение о предварительной регистрации.

Установка КриптоПро

Когда установочный файл скачен, его нужно запустить для установки на ваш компьютер. Система отобразит предупреждение, что программа запрашивает права на изменение файлов на ПК, разрешите ей это сделать.

После запуска программы, нужно будет ввести ключ в окне.

Ошибка все еще появляется? Отправьте запрос в службу поддержки, в котором нужно разместить скриншоты ваших последовательных действий и объяснить подробно свою ситуацию.

Не смотря на то, что программа КриптоАРМ во многих отраслях уже стала стандартом для электронной подписи, у пользователей по-прежнему возникает множество вопросов по работе с ней. Мы решили рассказать о том, как начать работу в КриптоАРМ и одновременно осветить наиболее часто задаваемые вопросы, которые возникают почти у всех: как исправить ошибку построения пути сертификации и ошибку отсутствия полного доверия к сертификату.

Обычно эта ошибка выглядит так:

Давайте сначала разберемся, почему эта ошибка возникает.

Шаг 1: Переводим КриптоАРМ в режим Эксперт

В КриптоАРМ почему-то в режиме Эксперт работать значительно проще, чем в режиме пользователя. Поэтому для начала перейдем в этот режим

Шаг 2: Подключаем сертификат электронной подписи

Подключаем отчуждаемый носитель

или

5

Шаг 2-1: Подключаем сертификат, если он не на съемном носителе

Шаг 3: Добавляем сертификат УЦ в список доверенных центров сертификации

КриптоАРМ

1. Ошибка «Указан неправильный алгоритм (0x80090008)»

В большинстве случаев ошибка «Указан неправильный алгоритм (0x80090008)» решается переустановкой сертификата подписи. Переустановить сертификат можно в программе «КриптоАРМ»

Также это можно сделать через КриптоПро CSP. Для этого откройте программу КриптоПро CSP и перейдите во вкладку «Сервис». Затем нажмите на кнопки «Просмотреть сертификаты в контейнере. » и «Обзор» Выберите нужный контейнер и нажмите кнопку «Ok», а после «Установить».

2. Ошибка построения пути сертификации

Сообщение «Статус сертификата: недействителен, ошибка построения пути сертификации» говорит о том, что нужно на рабочем месте установить корневой сертификат удостоверяющего центра, чтобы цепочка доверия могла быть построена и проверена программой.

Корневой сертификат УЦ как правило можно загрузить с сайта удостоверяющего центра. Также его можно скачать по ссылке, указанной в сертификате. Для этого нужно:

Видео инструкция по решению ошибки с построением цепочки сертификатов:

3. Предупреждение «Нет полного доверия к сертификату подписи»

Если при создании электронной подписи либо после проверки подписанного документа появляется предупреждение «Нет полного доверия к сертификату подписи» и статус сертификата отображается с желтым вопросительным знаком, то необходимо проверить сертификат по списку отозванных сертификатов, а для этого выполните следующие действия:

4. Не удается установить лицензионный ключ: ошибка сохранения данных

5. Указан хеш-алгоритм, несовместимый с данным файлом подписи

Ошибка встречается при добавлении подписи, когда хеш-алгоритм сертификата подписанта отличается от хеш-алгоритма сертификата первого подписанта

Способ исправления: обновить программу до версии 5.4.2.280 или выше.

6. Отсутствует личный сертификат для расшифрования

Также проверьте, тот ли сертификат используется для расшифрования: профили \ управление профилями \ открыть профиль с галкой 2м нажатием \ общие \ в поле владелец сертификата проверьте, какой сертификат прописан. Если нужно, выберите.

7. Ошибка установки свойства в контекст сертификата 0x80092004

Ошибка 0x80092004 говорит о том, что сертификат был установлен без привязки к закрытому ключу. Попробуйте переустановить сертификат через КриптоПро CSP.

Для этого откройте программу КриптоПро CSP и перейдите во вкладку «Сервис». Затем нажмите на кнопки «Просмотреть сертификаты в контейнере. » и «Обзор» Выберите нужный контейнер и нажмите кнопку «Ok», а после «Установить».

8. Установка «КриптоАРМ» завершается с ошибкой

В большинстве случаев устранить ошибку помогает удаление и установка его заново:

9. Установка «КриптоАРМ»: ошибка «Policy 2.0.CryptoPro. PKI. Cades. publicKeyToken»

Если КриптоАРМ не устанавливается стандартным способом, установите КриптоАРМ не из самого дистрибутива а из msi-пакета, только скачайте актуальную сборку с сайта: https://www..exe и отключите антивирус на время установки.

Для того чтобы установить КриптоАРМ из msi-пакета понадобится извлечь из дистрибутива установочный пакет. Для этого создайте текстовый файл (например в Блокноте) и сохраните в него следующую строчку:

trusteddesktop. exe /x package

После установки КриптоАрм Стандарт можно установить КриптоАрм Плюс. Для этого зайдите в папку TDPlus и запустите msi файл setup-win32 (для 32-х разрядной версии Windows) или setup-x64 (для 64-х разрядной версии Windows).

10. Не удается установить «КриптоАРМ»: ошибка «Windows Installer»

Удалите программу через пуск / панель управления. Затем, скачайте по ссылке утилиту для удаления программы: https://yadi. sk/d/YOmuVagg3Yhs8b

11. Не удается установить «КриптоАРМ»: ошибка 2739

Для 64-разрядных Windows зайти в меню Пуск и выполнить команды:

C:\windows\SysWOW64\regsvr32 c:\windows\SysWOW64\vbscript. dll c:\windows\SysWOW64\regsvr32 c:\windows\SysWOW64\jscript. dll

Для 32-разрядных Windows зайти в меню Пуск и выполнить команды:

C:\windows\System32\regsvr32.exe c:\windows\System32\vbscript. dll c:\windows\System32\regsvr32.exe c:\windows\System32\jscript. dll

Для выполнения команд необходимо наличие прав администратора.

12. В контекстном меню нет КриптоАРМа

Зарегистрировать ShellExtention. Для этого создайте текстовый файл с расширением bat и сохраните в него следующую команду:

Выполните этот командный файл от имени администратора. При этом библиотека должна зарегистрироваться.

Проверьте также выключен ли у вас UAC. Если он выключен, компоненты могут регистрироваться неправильно. Попробуйте включить UAC и перерегистрировать библиотеку. Руководство по включению и отключению UAC с сайта Microsoft:

Снять системный лог

Системный лог: журнал событий операционной системы. Сохранить его можно в окне управления компьютером (Панель управления->Администрирование->Управление компьютером). В разделе Служебные программы->Просмотр событий->Журналы Windows вызовите правой кнопкой мыши контекстное меню на журнале приложений и выберите«Сохранить все события как. ». Сохраните события в файл и отправьте пожалуйста этот файл мне. Сохраните пожалуйста таким же образом журнал «Система».

13. Ошибка «Подпись не валидна» на сайтах наш. дом. рф и rosreestr. ru

При создании подписи убедитесь что выбран тип кодировки DER и указана опция«Сохранить подпись в отдельном файле». Т. е. нужно создать отделенную подпись, на портале помещать исходный файл и файл подписи (около 2Кб).

14. Не удается подписать файл: ошибка исполнения функции 0x0000065b

Скорее всего отсутствует лицензионный ключ или истек срок его действия для программы «КриптоАРМ» или КриптоПро CSP. Лицензионные ключи должны быть установлены в обеих программах, они должны быть активны.

15. При установке сертификата возникает ошибка «Ошибка при установке сертификата и далее ФИО\ название в общем»

Выключите режим квалифицированной подписи в настройках: настройки / управление настройками / режимы. После этого сертификат появится в папке«личное хранилище»..

Спрашивают откуда берется список TSL \ ошибка обновления TSL Актуальный список TSL КриптоАрм подгружает с сайта Минкомсвязи: https://minsvyaz. ru/ru/activity/govservices/2/ или Госуслуги:https://e-trust. gosuslugi. ru/CA. Если программе не удается обновить список, то можно загрузить его с одного из этих сайтов вручную и установить в нужную папку.

16. 0x0000064a – возникает при отсутствии лицензии на модуль TSP

Проверьте пожалуйста, установлены ли лицензии в программах КриптоПро CSP и КриптоАРМ, а также установлена ли лицензия на модуль КриптоПро TSP.

17. Ошибка 0x00000057 говорит о том что скорее всего в установленном сертификате нет привязки к закрытому ключу.

Попробуйте переустановить ваш сертификат через КриптоПро CSP / вкладка Сервис / просмотреть сертификаты в контейнере. Проверьте также, установлены ли лицензии в программах КриптоАРМ и КриптоПро CSP. Переустановите сертификат через ветку электронные ключи в КриптоАрме: https://www. youtube. com/watch? v=iSPnE-AAtzo&list=PLwuRkxLKiWTZZ-u_3A17lsdRTGIznd6r1&index=7 Также можно переустановить его следующим образом: сохраните сертификат (кнопка«экспорт» (не экспортировать закрытый ключ) например, в der-формате) в файл и удалите из личного хранилища; затем кнопкой«импорт» снова установить его в папку«личное хранилище».

18. Не удается найти сертификат и закрытый ключ для расшифровки. В связи с этим использование данного сертификата невозможно.

Для сертификатов с ключевой парой на КриптоПро CSP установить привязку
можно следующим образом:

19. Ошибка 0x80091008 при расшифровке сообщения

Возникает в основном когда в КриптоАРМ или в КриптоПро CSP не установлена лицензия. В КриптоАрм проверить наличие лицензии можно через пункт меню помощь / о программе. В КриптоПро на вкладке «общие».

Если лицензии установлены, попробуйте переустановить КриптоПро CSP.

20. Как подписать отчеты для ГОЗ (Минобороны)

Запустите мастер подписи. Если запускался не через контекстное меню, то на второй странице ныжно выбрать подписываемый файл.

На странице «Выходной формат» выбрать вариант Base64 (выбран по умолчанию) и в поле справа заменить расширение sig на sign. На этой же странице установить галочку «Отключить служебные заголовки».

На следующей странице «Параметры подписи» убрать галочку «Поместить имя исходного файла в поле Идентификатор ресурса». На этой же странице установить галочку «Сохранить подпись в отдельном файле».

На этой странице не нужно убирать галочку «Включить время создания подписи». При работе Ccptest время добавляется в подпись.

На странице «Выбор сертификата подписи» выбрать нужный сертификат.

По завершению мастера нужно вручную убрать из имени файла расширение xml. КриптоАРМ всегда добавляет в имя исходное расширение, а поскольку по требованиям его там быть не должно, то переименовывать файл придется вручную.

21. Как подписать файл для ЦБ РФ (Центрального Банка Российской Федерации)?

22. Как подписать файл для Роскомнадзора?

В процессе работы с системой электронного представления сведений в таможенные органы для подписания и отправки пакета электронных документов каждый декларант должен использовать сертификат электронной подписи, который выдается удостоверяющим центром ФТС на специальных носителях.

В данной статье описана проблема, которая может возникнуть при использовании ЭП, сертификаты ключей которой выпущены удостоверяющими центрами, аккредитованными сравнительно недавно.

Доверенные удостоверяющие центры

Начало активной деятельности аккредитованных УЦ ознаменовалось не только удобным для пользователей ускоренным получением сертификатов ключей ЭП, но и, вместе с тем, возникновением некоторых проблем. В чем суть основной проблемы, с которой столкнулись участники ВЭД?

На некоторых таможенных постах ФТС происходит следующая ситуация: корневые сертификаты УЦ не обновлены на рабочих местах инспекторов или вообще не установлены. В этом случае пакет электронных документов, подписанный ЭП, выпущенной этими УЦ, не может попасть в очередь оформления (Аист-М) на посту.

Симптомы:

Шаг 1. Уведомить ИТ-службу таможенного поста о сложившейся ситуации, описав суть проблемы и симптомы. Можно сослаться на Письмо ЦИТТУ № 31-07/418 от 24.01.2013 г. начальникам региональных таможенных управлений и таможням, непосредственно подчиненным ФТС РФ. В данном документе содержатся сведения о необходимости установки кросс-сертификатов ДУЦ на рабочие места должностных лиц таможенных органов.

Шаг 2. Информировать о сложившейся ситуации и симптомах представителей УЦ, выпустившего сертификат ключа вашей ЭП, а также сообщить специалистам данные этого таможенного поста. Скорейшее решение данной проблемы в интересах УЦ.

Источники:

https://winitpro. ru/index. php/2019/12/17/rdp-tls-ssl-sertfikat-v-windows/

https://novomarusino. ru/sertifikat-podpisi-vypushchen-ne-doverennym-uc-ne-udaetsya-postroit-cepochku. html

Понравилась статья? Поделиться с друзьями:
Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: