我可以在Win10上使用Comodo通配符子域证书作为RDP吗？

Question

我跟着

• 使用CA证书进行远程桌面连接
• 在远程管理模式下为上的配置自定义配置自定义SSL证书？

使用正确的证书来保护RDP，而不是使用自签名的Windows证书。这一切都很好。直到我跑

wmic /namespace:\\root\cimv2\TerminalServices PATH Win32_TSGeneralSetting Set SSLCertificateSHA1Hash="MY_HASH"

此命令只会导致“无效的param”。

相同的命令可以很好地处理原始(自签名Windows)证书的散列。所以我想我的证书肯定出问题了。它似乎正确地安装在证书商店(带有私钥&在“Remote桌面”小节下)。

查看证书MMC管理单元中的证书详细信息，导入的证书在下面有一个黄色感叹号：

密钥使用=数字签名、密钥加密(a0)

以及附加字段

基本限制=请求者类型:结束单元

虽然Windows为RDP连接生成的自签名证书有：

密钥使用=密钥加密，数据加密(30)

是否有任何改变这一点，或它只是不可能使用此证书的RDP？

一些补充信息：

• 证书是COMODO PositiveSSL通配符证书，
• 在导入到Windows存储之前，我使用PKCS7将原始PEM表单中的证书转换为PKCS7，并使用OpenSSL将证书从PKCS #12/PFX转换为PKCS#12/PFX。
• 证书之间的另一个区别是，Windows是sha1证书，Comodo证书是sha256证书，
• 这是一个Win10工作站
• 工作站不是任何域的成员，而是独立安装。

Answer 1

恐怕我必须回答我自己的问题，答案似乎是否定的。使用命令openssl x509 -in cert.crt -purpose -noout -text，原来由Comodo交付的原始证书在Key Usage字段中已经缺少所需的标志。它没有Data Encipherment特性。

Comodo证书看起来如下：

        X509v3 Key Usage: critical
            Digital Signature, Key Encipherment
        X509v3 Basic Constraints: critical
            CA:FALSE
        X509v3 Extended Key Usage: 
            TLS Web Server Authentication, TLS Web Client Authentication

虽然Windows自签名证书具有以下标志：

    X509v3 extensions:
        X509v3 Extended Key Usage: 
            TLS Web Server Authentication
        X509v3 Key Usage: 
            Key Encipherment, Data Encipherment

Answer 2

我不知道你是否还需要这个问题的答案，但如果有人还需要它，你就有了它。

您确实不需要您指定的属性。

按照本文中的步骤，您将成功地在计算机/域控制器上安装任何CRT (通配符或正常值)。

我没有测试没有AD CS，但我认为它是有效的。

唯一需要做的就是使用键和包将CRT/p7b转换为cer，然后转换为pfx (pkcs12)。然后手动将其导入您的操作系统。

https://blogs.technet.microsoft.com/enterprisemobility/2010/04/09/configuring-remote-desktop-certificates/ -这是帖子。

https://www.sslshopper.com/ssl-converter.html --在这里您可以找到如何转换证书。

顺便说一句，您可以跳过WMI脚本部分，并使用具有管理权限的powershell中的以下命令：

wmic /namespace:\\root\cimv2\TerminalServices PATH Win32_TSGeneralSetting Set SSLCertificateSHA1Hash="YOUR-THUMBPRINT-GOES-HERE"

它在Windows Server 2016/Windows 10上对我起了作用。

希望能有所帮助！)