将自签名RDP证书替换为CA签名证书

Question

有几个服务器正在通过安全扫描获得以下消息：

以下证书位于远程主机发送的证书链的顶部，但由未知的证书颁发机构签名。主题: CN=serverabc.local \ Issuer : CN=serverabc.local

扫描中引用的端口是端口3389 (RDP)。每个服务器上的默认RDP证书(在远程桌面证书存储中)都是自签名的，并且仍然有效。

我认为问题归结为证书是自我签署的，而不是由CA签署的。

以下步骤能解决这个问题吗？

1. 创建内部证书颁发机构
2. 为易受攻击的服务器生成新的CSR
3. 用上述CA签署新创建的CSR
4. 将远程桌面证书存储中当前(现有)自签名的RDP证书替换为每个易受攻击服务器上的CA签名证书。

是否存在使用CA签名证书替换现有证书的潜在问题？

我很感谢在解决这个问题上提供任何帮助/指导，谢谢。

Answer 1

内部CA颁发的证书只能由在其证书存储区(您的域成员和安装证书的其他基础结构)中拥有证书的客户端信任，而安全扫描程序肯定不会拥有这些证书。

要使用安全扫描程序将信任的证书，您肯定需要购买一个商业证书。