远程桌面是否应该使用专用证书模板？

Question

几乎所有关于为远程桌面服务器身份验证启用证书的说明(以及通过组策略配置自动注册)都指出，您应该创建一个新的证书模板(名为"RemoteDesktopComputer“或类似的)，只添加特定于RDP的OID 1.3.6.1.4.311.54.1.2作为extendedKeyUsage。

但是，一些第三方客户端总是期望证书具有"TLS服务器“extendedKeyUsage，并且存在验证服务器只具有此OID的问题。因此，我更愿意为RDP使用一个通用的TLS证书。

如果我不使用自定义模板，而是在GPO设置中指定内建的'Computer‘模板，会有什么操作问题吗？( "Windows组件/远程桌面服务/远程桌面会话主机/安全性“项下的内容。)

如果GPO也为同一“计算机”模板启用了“公钥策略/自动证书请求设置”下的证书注册，是否会出现操作问题？这会不会导致计算机获得基于同一个模板的两个冗余证书？

由于计算机使用通用的“计算机”证书(标准的"TLS服务器“OID)来服务远程桌面，是否会出现安全问题？

Answer 1

自动证书请求设置仅加入V1证书模板(Windows 2000仅支持此方法)。这些都是不灵活的。

通常，任何证书，包括服务器身份验证的EKU (并包含包含RDP客户端验证所针对的DNS名称的subject和/或SAN )，都应该可用于远程桌面类证书。

您应该使用单独的证书吗？这取决于要部署到机器上的证书的安全配置文件。

• 如果钥匙对其他事情没有用，那就不重要了。
• 如果你无论如何要给每个客户2张证书，那就无关紧要了。
• 如果您的RDP auth配置文件与提供给设备的所有其他证书有很大的不同，则值得将其保留为不同的证书类型。
• 如果您提供其他用途的证书，如SCCM身份验证和管理，或VPN，或者两者兼而有之，那么这些其他客户端身份验证证书是否可以与服务器身份验证相结合，以生成一个全合一的设备证书？
  • 同样，关键权衡:更多的证书可能=更多的管理；更少的证书可能更容易管理，但是要仔细评估安全能力和权衡。

Answer 2

如果使用通用计算机模板，则会将自动证书绑定松散到RDP端口。您必须在每台启用RDP的机器上手动监视证书过期和重新绑定。

RDP专用计算机和通用计算机之间没有安全差别，这都是关于维护的.使用专用证书模板，只要配置了GPO，一切都会自动完成。对于不符合某些要求的通用证书--您必须手动进行RDP证书配置。

然而，一些第三方客户总是期望证书具有"TLS服务器“。

在EKU中添加两个条目: RDP身份验证和服务器身份验证