RDweb证书签发

Question

我对以下系统有问题：

• 有一个Windows2012 R2 TS场，有两个节点、一个网关和一个代理
• 它可以从login.example.com外部获得
• 也有一个AD，TS场服务器是成员服务器，AD域是example.local。

问题:我希望允许用户在没有任何警告或任何证书安装要求的情况下访问这个系统。这些计算机是非AD计算机，没有办法使它们成为AD成员.

我试过或思考过的事情：

• 我试图获得一个免费的StartSSL证书到login.example.com，但是在我安装它之后，由于名称不匹配，TS会话开始中断。
• 我试图制作一个颁发给tsgw.example.local的自签名证书，但问题正好相反:即使我安装了证书，浏览器也会抱怨名称不匹配。
• 如我所知，没有公共CA允许发出带有公共公共名称的证书，而是一个私有altname/附加DNS名称。
• 我发现的论坛/ SO/SF主题建议制作一个私有CA并使用它颁发证书(它可以同时发出两个名称的证书)，但这是我们的最后一个计划，因为我们真的不想强迫用户安装CA证书来使用我们的服务(因为他们是非AD计算机，所以没有自动的方法来强制信任我们的CA)，如果有方法可以避免的话。

这个问题有什么解决办法吗？如果有一种方法可以强制RDweb忽略名称不匹配，我会感到满意。

Answer 1

解决办法比我预期的要容易。您必须在“服务器管理器”中导航到远程桌面管理界面，编辑部署属性并将“证书”选项卡中的所有证书更改为外部证书。在服务器间通信中，服务不使用SSL加密连接(只是纯RPC)，因此它们可以简单地忽略您安装的证书。但是，在客户机-服务器通信中，将使用此证书，因此在所有情况下都必须保持相同。

Answer 2

为什么你不能从当局那里购买SSL证书呢？我最近正在配置一个类似的设置，而且我都是从这里配置的：https://www.namecheap.com/，它名为PositiveSSL，售价约为6美元。在您的服务器配置了此设置之后，您将不会得到SSL错误。