Con il client Microsoft RDP, come si contrassegna un determinato certificato del server come attendibile?

3

Sto utilizzando il client RDC di Microsoft su Mac OS X, per connettersi a un server Windows. Mi collego a un server RDC che utilizza un certificato autofirmato per identificarsi. Di conseguenza, quando mi connetto, il mio client RDC mi dà una finestra di avviso come questa:

Possofareclicsu"Connetti" per continuare, ma non ho alcuna protezione contro l'attacco man-in-the-middle, perché "Connetti" indica al mio client di ignorare il certificato del server. Voglio continuare a connettermi, ma in modo sicuro.

Un'altra opzione è quella di andare al pannello delle preferenze del client Microsoft RDC:

epassaa"Connetti sempre, anche se l'autenticazione fallisce". In questo modo, non ho più mostrato l'avviso: è come se avessi fatto clic automaticamente su "Connetti" ogni volta. Tuttavia, di nuovo, questo non è sicuro: salta l'autenticazione del server, e quindi è vulnerabile agli attacchi man-in-the-middle.

Voglio essere sicuro. Pertanto, nessuno dei due approcci sopra è soddisfacente.

Concettualmente, l'ovvio percorso da seguire è quello di ottenere in qualche modo l'accesso al certificato autofirmato del server, quindi chiedere al client RDC di considerarlo attendibile e non avvisarmi più di quel certificato. Questo sarebbe sicuro (come SSH). Tuttavia, non riesco a capire come ottenere il mio client RDC per farlo.

Come faccio a far sì che il certificato di questo server sia trattato come affidabile (nonostante sia autofirmato), e il sistema non mi avvisa mai delle connessioni che usano quel particolare certificato, ma forniscono comunque sicurezza (ad es. avvertimi se il certificato cambia)?

    
posta D.W. 14.11.2012 - 22:45
fonte

2 risposte

3

Ho esaminato un po 'questo aspetto e nel mio caso il problema si è verificato sul lato server RDP. Il certificato che stava usando era in realtà un autofirmato, generato automaticamente, che non era stato firmato dal certificato radice della mia CA locale. Quindi non importava dove mettessi il certificato di root, ho sempre avuto il pop-up che diceva "Il certificato non è affidabile ..."

Ho installato il certificato radice dalla mia CA locale nel portachiavi del sistema e lo ho impostato su Sempre attendibile, quindi sul lato Windows Server, utilizzando Strumenti di amministrazione - > Servizi Desktop remoto - > Configurazione Host sessione Desktop remoto, ho aggiornato il certificato assegnato alla connessione RDP-Tcp. Fare clic con il pulsante destro del mouse su Connessione RDP-TCP, selezionare Proprietà. Nella scheda Generale, vedi in fondo c'è un link con l'etichetta "Generazione automatica"

(vedi un'immagine del riquadro qui: link )

Questo è il certificato autofirmato. Facendo clic su Seleziona è possibile selezionare qualsiasi altro certificato già presente sulla macchina. Una volta apportata la modifica, il prompt non era più disponibile dal lato client al successivo accesso.

Spero che questo aiuti (anche se in realtà aiuta solo se si dispone dell'accesso di amministratore sul lato Windows ...)

    
risposta data 23.02.2013 - 02:09
fonte
0

L'aggiunta al portachiavi del sistema, impostata su "Sempre affidabile", ha funzionato come un incantesimo per me.

    
risposta data 13.12.2012 - 11:32
fonte

Leggi altre domande sui tag