Windows 2008 - Configuring Remote Desktop Certificates
A partire da Windows Server 2003 SP1, è possibile fornire l'autenticazione del server mediante l’emissione di un certificato Secure Sockets Layer (SSL) al server desktop remoto.
L’operazione di configurazione del certificato risulta essere semplice da configurare attraverso lo strumento "Remote Desktop Session Host Configuration" presente sui sistemi operativi server 2008 o successivi una volta installato il ruolo di Remote Desktop Session Host; tale strumento non è presente sui sistemi client come Windows Vista o 7 per cui al fine di permettere l’autenticazione del client attraverso la connessione desktop remoto è necessario utilizzare i Criteri di Gruppo e i modelli di Certificato come spiegato in questo post.
Using Group Policy and Certificate Templates
Questo metodo consente di installare i certificati di desktop remoto su più computer del dominio attraverso l’utilizzo di una infrastruttura a chiave pubblica PKI
Come primo step è necessario creare un remote desktop certificate template
Creating Remote Desktop certificate template
1. Dal computer in cui abbiamo installato la nostra Certification Authority, avviare la console MMC e aprire lo snap-in “Certificate Templates”
2. Selezionare il template “Computer” , tasto destro su di esso e selezionare l’opzione dal menu “Duplicate Template”
3. Nella finestra “Duplicate Template”, selezionare il template “Windows Server 2003 Enterprise”
4. Selezionare la voce “Properties” del nuovo Template
5.Selezionare la voce “General” e impostare nei campi “Template display name” e “Template name” la stringa “RemoteDesktopComputer”
6. Posizionarsi in “Extensions”, selezionare “Application Policies”, premere “Edit…”
8. Dalle proprietà delle Application Policies, rimuovere la policy “Client Authentication” lasciando la policy “Server Authentication”, oppure possiamo creare una policy dedicata all’utenticazione dei desktop remoti denominata “Remote Desktop Authentication”
9. Per creare la policy “Remote Desktop Authentication”, rimuovere entrambi le policy “Client Authentication” e “Server Authentication” e premere “Add…”
10. Premere il pulsante “New…”
11. Nella finestra “New Application Policy” , inserire nella sezione “Name” la stringa “Remote Desktop Authentication” e in “Object Identifier” la stringa “1.3.6.1.4.1.311.54.1.2”, premere “OK.”
12. Selezionare “Remote Desktop Authentication” in “Add Application Policy” e premere “OK.”
13. In “Edit Application Policies Extension” dovrebbe comparire la seguente voce:
14. Premere “OK” , premere nuovamente “OK” per confermare la creazione della policy
Abbiamo così creato il nostro template, è pronto per essere pubblicato.
Publishing the “RemoteDesktopComputer” certificate template
1.Dal computer in cui abbiamo installato la nostra Certification Authority avviare la MMC Certification Authority
2. Tasto destro sulla voce “Certificate Templates”, selezionare “New\Certificate Template to Issue” dal menu
3. In “Enable Certificate Templates” selezionare “RemoteDesktopComputer”, premere “OK.”
Abbiamo terminato la pubblicazione del nostro template “RemoteDesktopComputer” possiamo utilizzarlo per le richieste client
Nel prossimo step vedremo come configurare la distribuzione del template mediante Group Policy.
Configuring Group Policy
1.Avviare la “Group Policy Management”
2.Apriamo per esempio la “Default Domain Policy” in modifica
3. Posizionarsi in “Computer Configuration\Policies\Administrative Templates\Windows Components\Remote Desktop Services\Remote Desktop Session Host\Security.”
4.Double-click “Server Authentication Certificate Template”
5.Enable la policy, inserire “RemoteDesktopComputer” nella sezione “Certificate Template Name” e premere “OK.”
6. La policy sarà propagata ai computer di dominio, ogni computer che avvierà una connessione attraverso il desktop remoto richiederà il certificato “RemoteDesktopComputer” alla certification authority e userà tale certificato per autenticarsi.
Grazie a tutti e alla prossima
Gianluca Maestri
Sr Support Engineer
Microsoft Enterprise Platform Support