Remote Desktop Services Certification and Publication — Certificate for RDS and RD Gateway

Требования к сертификату RDS:

Запрос сертификата для RDS и остальных ролей

Требования к сертификату RD Gateway:

Запрос и требования к сертификату для роли RD Gateway (Выдержка из течнета которую искал пол дня)

Certificates for RD Gateway must meet these requirements:
The name in the Subject line of the server certificate (certificate name, or CN) must match the FQDN, or the DNS name that the client uses to connect to the RD Gateway server, unless you are using wildcard certificates or the SAN attributes of certificates. If your organization issues certificates from an enterprise certification authority (CA), a certificate template must be configured so that the appropriate name is supplied in the certificate request. If your organization issues certificates from a stand-alone CA, you do not need to do this.

If you are using the SAN attributes of certificates, clients that connect to the RD Gateway server must be running Remote Desktop Connection (RDC) 6.1. (RDC 6.1 [6.0.6001] supports Remote Desktop Protocol 6.1.). RDC 6.1 is included with Windows Server 2008 and Windows Vista SP1 and Windows XP SP3.

  • The certificate is a computer certificate.
  • The intended purpose of the certificate is server authentication. The Extended Key Usage (EKU) is Server Authentication (1.3.6.1.5.5.7.3.1).
  • The certificate has a corresponding private key.
  • The certificate has not expired. We recommend that the certificate be valid one year from the date of installation.
  • A certificate object identifier (also known as OID) of 2.5.29.15 is not required. However, if the certificate that you plan to use contains an object identifier of 2.5.29.15, you can only use the certificate if at least one of the following key usage values is also set: CERT_KEY_ENCIPHERMENT_KEY_USAGE, CERT_KEY_AGREEMENT_KEY_USAGE, and CERT_DATA_ENCIPHERMENT_KEY_USAGE.
  • For more information about these values, see Advanced Certificate Enrollment and Management (http://go.microsoft.com/fwlink/?LinkID=74577).
  • The certificate must be trusted on clients. That is, the public certificate of the CA that signed the RD Gateway server certificate must be located in the Trusted Root Certification Authorities store on the client computer.

 

Заметки по теме, до которых допер сам или вычитал в дебрях:

  • В свойствах правила публикации на tmg нужно поставить https to https
  • сервер с установленной ролью RD Gateway нужно настроить на SSL Bridge — это в свойствах самого шлюза (Администрирование — Диспетчер шлюза удаленных рабочих столов)
  • При публикации с использованием kerberos нужно дать tmg право авторизовывать пользователей в опубликованном сервисе, для этого в свойства нужно сделать так: DC — AD Users And Computers — Свойства объекта компьютер TMG — Delegation — Ставим 3-ю галку Trust this computer for delegation to specified services only — Use any Authentication protocol — Находим сервер на котором опубликован сервис и выбираем все сервисы — OK
  • Листенер для публикации должен быть настроен с параметрами аутентификации HTTP Autentication (Integrated Only)
  • В свойствах правила публикации во вкладке делегирование авторизации нужно поставить Kerberos constrained delegation с параметром «HOST/localfqdnservername» (только без кавычек)

 

Еще несколько полезных ссылок которые долго искать:

 

Оставить комментарий


Примечание - Вы можете использовать эти HTML tags and attributes:
<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>