Remote Desktop (Terminal Services) – Escritorio Remoto (Parte 4 de …) Configuración de Autoridad Certificadora (CA)

Continuando con la serie de notas sobre Remote Desktop / Escritorio Remoto veremos en esta nota cómo habilitar la autenticación mediante certificados digitales de las conexiones RDP.

Para este fin deberemos instalar y configurar una Autoridad Certificadora (Certificate Authority) que usaremos para otorgar certificados digitales a las máquinas.

Estos certificados, los aprovecharemos en las futuras demostraciones, por ejemplo para Remote Desktop Web Access y Remote Desktop Gateway entre otras.

Para esto deberemos crear y configurar una Autoridad Certificadora de tipo Enterprise que utilizaremos para otorgar certificados digitales a todas las máquinas del Dominio.

Utilizaremos el procedimiento descripto en Demostración Obtención Automática de Certificados Digitales de Usuario y Máquina en Ambiente de Prueba
El procedimiento es igual al descripto en la nota anterior, sólo que para este caso solamente necesitaremos certificados de máquina, y no de usuario; y automatizaremos la asignación de certificados digitales a través de una GPO enlazada a nivel de Dominio.
Por supuesto deberemos adaptar los nombres y direcciones IP a este escenario ;-)

IMPORTANTE:
Esta modificación la he hecho y descubierto recién hoy cuando estaba escribiendo la parte 10 de la serie, y me ha dado bastante trabajo investigar el problema y resolverlo.
Aunque no se pueda creer: TMG-2010 NO SOPORTA CERTIFICADOS v3
Por lo tanto cuando creemos la plantilla para los certificados de máquina deberemos indicar que son para Windows 2003

Luego de instalar, configurar y enlazar la GPO que asigna los certificados a las máquinas, para evitar inconvenientes más adelante, verifiquemos que en todos los equipos esté instalado su correspondiente certificado digital.

¿Recuerdan? MMC / Certificates (Local Computer) / Personal / Certificates

Una vez hecho lo anterior, vamos a RD1 y abrimos Remote Desktop Session Host Configuration, con botón derecho sobre RDP-Tcp elegimos Propiedades y en la ficha general con el botón Select elegimos el certificados que obtuvo el equipo, y marcamos la opción para que sólo permita conexiones desde clientes que usen Network Level Authentication

Luego vamos a CL1 y en las propiedades de la conexión seleccionamos que exigiremos autenticación del servidor

Si nos conectamos desde CL1 por RDP a RD1.GuillermoD.local podremos observar que además de por Kerberos, el servidor fue autenticado por certificado digital. Y además el servidor autenticó al usuario antes de crear la sesión

En la próxima nota veremos Remote Desktop Web Access, que aunque su nombre parece indicar que es para acceso a través de Internet, no es así ;-)

 

Notas Relacionadas:

Remote Desktop (Terminal Services) – Escritorio Remoto (Parte 1 de …) Configuración Básica | WindowServer: https://windowserver.wordpress.com/2011/11/25/remote-desktop-terminal-services-escritorio-remoto/

Remote Desktop (Terminal Services) – Escritorio Remoto (Parte 2 de …) Configuraciones Adicionales | WindowServer: https://windowserver.wordpress.com/2011/12/13/remote-desktop-terminal-services-escritorio-remoto-parte-2-de/

Remote Desktop (Terminal Services) – Escritorio Remoto (Parte 3 de …) Remote Applications (Aplicaciones Remotas) RemoteApp | WindowServer: https://windowserver.wordpress.com/2011/12/17/remote-desktop-terminal-services-escritorio-remoto-parte-3-de-remote-applications-aplicaciones-remotas/

 

Remote Desktop (Terminal Services) – Escritorio Remoto (Parte 5 de …) Remote Desktop Web Access | WindowServer: https://windowserver.wordpress.com/2011/12/18/remote-desktop-terminal-services-escritorio-remoto-parte-5-de-remote-desktop-web-access/

Remote Desktop (Terminal Services) – Escritorio Remoto (Parte 6 de …) Seguimos con Remote Desktop Web Access | WindowServer: https://windowserver.wordpress.com/2011/12/18/remote-desktop-terminal-services-escritorio-remoto-parte-6-de-seguimos-con-remote-desktop-web-access/

Remote Desktop (Terminal Services) – Escritorio Remoto (Parte 7 de …) Remote Desktop Connection Broker | WindowServer: https://windowserver.wordpress.com/2011/12/24/remote-desktop-terminal-services-escritorio-remoto-parte-7-de-remote-desktop-connection-broker/

Remote Desktop (Terminal Services) – Escritorio Remoto (Parte 8 de …) Probando RDSH, y RemoteApp con RDWA y RDCB | WindowServer: https://windowserver.wordpress.com/2011/12/26/remote-desktop-terminal-services-escritorio-remoto-parte-8-de-probando-rdsh-y-remoteapp-con-rdwa-y-rdcb/

Remote Desktop (Terminal Services) – Escritorio Remoto (Parte 9 de …) Remote Desktop Gateway | WindowServer: https://windowserver.wordpress.com/2012/01/29/remote-desktop-terminal-services-escritorio-remoto-parte-9-de-remote-desktop-gateway/

Remote Desktop (Terminal Services) – Escritorio Remoto (Parte 10 de …) Publicando Remote Desktop Gateway en TMG 2010 | WindowServer: https://windowserver.wordpress.com/2012/01/30/remote-desktop-terminal-services-escritorio-remoto-parte-10-de-publicando-remote-desktop-gateway-en-tmg-2010/

Remote Desktop (Terminal Services) – Escritorio Remoto (Parte 11 de …) Licenciamiento de Remote Desktop (Terminal Services) | WindowServer: https://windowserver.wordpress.com/2012/02/02/remote-desktop-terminal-services-escritorio-remoto-parte-11-de-licenciamiento-de-remote-desktop-terminal-services/

Remote Desktop (Terminal Services) – Escritorio Remoto (Parte 12 de …) Personal Virtual Desktops por Web Access | WindowServer: https://windowserver.wordpress.com/2012/02/17/remote-desktop-terminal-services-escritorio-remoto-parte-12-de-personal-virtual-desktops-por-web-access/

 

Post a comment or leave a trackback: Trackback URL.

Comentarios

  • Ariel Reyes  On 08/05/2015 at 14:33

    Hola Estimado una vez mas,
    Estoy realizando las pruebas siguiendo al pie de la letra los tutoriales de RD, pero cuando quiero conectarme el rd desde un equipo cliente por medio de la opción de certificados no me deja ya que me solicita el certificado del servidor rd por ejem… RD.dominio.com (este lo adquirio del servidor de AC, que no es el mismo que el de RD), pero en los equipos clientes el AC me despliega certificados diferentes para cada uno por ejem.. Equipo1.dominio.com, Que crees que pueda estar pasando?
    Gracias nuevamente!

    • Guillermo Delprato  On 08/05/2015 at 15:58

      Hola Ariel, vamos por partes :)
      Si cuando te conectas a una dirección rd.dominio.com entonces el *servidor* es el que tiene que tener ese certificado, el cliente no necesita certificado
      Lo que sí necesita el cliente es confiar en la autoridad certificadora que emitió el certificado del servidor. Si es una CA tipo Raíz la consola mmmc *de máquina* del cliente tiene que tener instalado ese certificado en (“Trusted Root Certificate Authorities”)
      Además el ciente tiene que poder acceder a la lista de revocación de certificados de la CA
      Si la CA es interna, debes publicar la CRL, y la máquina cliente tiene que tener instalado el certificado de CA (no del servidor)
      ¿Aclaro?

      • Ariel Reyes  On 08/05/2015 at 16:50

        Hola estimado!
        Gracias por tu apoyo, veo lo que me esta pasando es que al conectarme por ip es cuando me da el problema, si lo hago por nombre funciona tal cual indicas. de hecho pasa con otro servidor que no tiene el rol acceso remoto, esto pasa cada vez que configuro la opción de: “Si la autenticación falla: No conectar”, si quito esa opcíon entro tanto por nombre como ip. Esta bien esto? lo que indicas en el tutorial es para conectarse solo por nombre?
        Gracias por tu apoyo!
        PD: En realidad he aprendido cantidad de cosas con tu blog que no aprendi en muchos cursos por lo cuales gaste mucha plata. Ojala lo sigas haciendo siempre.

      • Guillermo Delprato  On 08/05/2015 at 17:49

        Eso sucede porque está funcionando correctamente :)
        Si el certificado está a nombre de RD.dominio.com entonces se valida la identidad cuando te conectas a rd.dominio.com. Cualquier otro nombre, dirección, color de servidor, “el de más alla”, o lo que sea debe dar error/advertencia, porque el certificado no está a su nombre, incluyendo la dirección IP
        Ahora en serio, si te conectas usando la dirección IP, debe dar advertencia o error dependiendo cómo configures

        ¡Me alegro te sirva el blog! Tengo muchos años de dictar cursos. He dejado desde el año pasado pero tengo más de 10 años de MCT (Microsoft Certified Trainer). Estoy pensando hacer algo de capacitación desde acá, pero todavía hay que solucionar varios temas

  • itacala  On 13/04/2016 at 19:10

    Cuando se hace por nombre de maquina el cifrado es perfecto, pero que sucede si se hace por ip en la conexión de escritorio remoto?

    • Guillermo Delprato  On 13/04/2016 at 19:25

      Hola itacala, debería funcionar, no lo he probado, lo que debes tener en cuenta es que el certificado debe ser otorgado a la dirección IP, y no al nombre

Trackbacks

Este espacio es para comentarios sobre la nota. No es un sitio de soporte

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: