RDP静态IP+端口/S证书/S

Question

我需要将RDP转换成外部静态IP后面的多台机器。我使用的方法是将选定的端口转发到目标IP:3389。例如。

forward 100.110.120.130:10001 to 192.168.1.101:3389
forward 100.110.120.130:10002 to 192.168.1.102:3389
etc...

效果很好。但是现在我想使用SSL/TLS并保护RDP会话。我可以使用来自主机的RDP服务器auth证书并将其安装到客户端计算机可信的根CA存储中，但是RDP主机的名称与外部IP地址不匹配，因此我得到一个证书错误。

外部IP是静态的，不会改变，但是端口必须改变。因此，我是否可以使用通配符证书并将静态IP映射到子域，并继续以这种方式使用端口转发而不会遇到证书错误？

谢谢大家..。

Answer 1

首先，证书主题(或主题替换名称扩展)需要端口信息，因为证书标识远程主机，而不是远程主机上的特定服务。

其次，证书主题必须与地址栏/字段中的名称/地址客户端类型匹配。它不需要匹配内部名称/地址。

这意味着，就您的目的而言，在Subject字段中创建一个带有公共IP/名称的证书是安全的。将此证书分发给NAT后面的所有所需客户端，您将不会有事。