Windows Server 2012: Remote Desktop – Standard Deployment (Parte 3 – Seguridad y Advertencias)

Continuando con esta serie de notas, en esta ocasión vamos a comenzar a mejorar la seguridad, y además tratar de solucionar las advertencias sobre la misma que hace el sistema.

En primer lugar vamos a implementar una Autoridad Certificadora (Certificate Authority) que nos provea los certificados digitales necesarios, y luego veremos el tema de la otra advertencia sobre aplicaciones no firmadas

Seguimos con la misma infraestructura de máquinas que dejamos en la Parte 2 de esta serie.

Vamos a instalar la Autoridad Certificadora en DC1 para emitir los certificados digitales necesarios, específicamente para “rdwa.root.guillermod.com.ar”

Procedemos de la manera habitual para agregar funcionalidades como se muestra en las siguientes capturas

La instalaremos en DC1, así que lo seleccionaremos

Cuando seleccionemos Active Directory Certificate Services, debemos agregar los componentes adicionales

Ya nos deja un enlace para que configuremos la Autoridad Certificadora

Así que procederemos según el asistente a la configuración de la misma

Crearemos una autoridad tipo “Enterprise”

Y de tipo “Root” (se autofirma su certificado digital)

En mi caso he personalizado el nombre de la Autoridad Certificadora, como quieran

Ahora en RDWA1, creamos una consola (MMC:EXE) donde cargamos el Snap-in (Complemento) Certificates de Computer.

Podemos observar en Personal/Certificates que la máquina ya tiene un certificado autofirmado.Vamos a eliminar este certificado autofirmado, para reemplazarlo por uno expedido por nuestra Autoridad Certificadora

Y solicitaremos un nuevo certificado pero esta vez a nuestra Autoridad Certificadora siguiendo el asistente

Seleccionamos un certificado de “Computer”. Si, ya sé, es el único :-)

Y lo obtenemos

Podemos verificar que ahora el certificado está emitido por nuestra Autoridad Certificadora

Debemos hacer que el sitio web que está utilizando RDWA utilice este certificado, así que en RDWA abrimos Internet Information Services (IIS) Manager, y abrimos sobre la izquierda ahsta que llegamos a “Default Web Site”, entonces sobre la derecha elegimos “Bindings”

Elegimos la entrada correspondiente a “https” y el botón “Edit”

Seleccionamos el correspóndiente certificado digital

Y cerramos

Volvamos a DC1, e ingresemos nuevamente a RDWA

Si todo lo hicimos bien, ya no nos avisará que el certificado presentado por el servidor no es confiable

¡Perfecto! :-)

Con lo hecho hasta ahora hemos solucionado el problema de la advertencia de certificado no confiable, pero aún nos queda pendiente el tema de la advertencia de seguridad según puede verse al tratar de ejecutar una aplicación

Nos está informando que el “publisher” de la aplicación que queremos ejecutar no puede ser identificado

¿Será posible que la calculadora de Windows sea una aplicación no firmada o reconocida? Pues sí, si miramos las propiedades de CALC.EXE, o inclusive de MSPAINT.EXE veremos que no están firmadas digitalmente :-(

Bueno, vamos a probar con una aplicación que sí sé que está firmada digitalmente por Microsoft; desde el sitio de descargas de Microsoft descargo XMLNotepad y procedo a instalarlo, tanto en RDSH1 como en RDSH2 (no muestro la instalación porque es sumamente básica)

Y vamos a publicar el XMLNotepad

La busco

Para que no queden dudas, muestro que está firmada por Microsoft

Y la selecciono

Ahora nos vamos a DC1, nos conectamos a RDWA y …

:-S ¿Y esto? :-S

Hay que buscar e investigar el tema, un buen buscador y encuentro el siguiente enlace: Respuesta Oficial (Un poco vieja pero…)
O si prefieren verla acá

Seguí buscando y encontré algunos enlaces que explican con más detalle el tema, o alguna “solución no recomendable”, se los dejo para que si desean investiguen más el tema.
Personalmente, por ahora, creo que lo mejor es aceptar la advertencia de seguridad, y hacer la conexión

http://blogs.technet.com/b/askperf/archive/2008/09/23/unknown-publisher-where-did-this-dialog-box-come-from.aspx

http://blogs.technet.com/b/askperf/archive/2008/10/31/unknown-publisher-part-two.aspx

Seguiremos adelante con el resto de los componentes en la nota siguiente. Estoy pensando en el tema de Remote Desktop Licensing

 

Continua en

Windows Server 2012: Remote Desktop – Standard Deployment (Parte 1 – Instalación) | WindowServer: https://windowserver.wordpress.com/2012/10/18/windows-server-2012-remote-desktop-standard-deployment-parte-1-instalacin/

Windows Server 2012: Remote Desktop – Standard Deployment (Parte 2 – Publicando Aplicaciones) | WindowServer: https://windowserver.wordpress.com/2012/10/18/windows-server-2012-remote-desktop-standard-deployment-parte-2-publicando-aplicaciones/

Windows Server 2012: Remote Desktop – Standard Deployment (Parte 4 – Instalando licencias RDCAL) | WindowServer: https://windowserver.wordpress.com/2012/10/25/windows-server-2012-remote-desktop-standard-deployment-parte-4-instalando-licencias-rdcal/

Anuncios
Post a comment or leave a trackback: Trackback URL.

Comentarios

  • Cristian  On 07/04/2014 at 17:32

    Hola Guillermo, muchas gracias por el tutorial. Se me presento un problema, instale la CA como indicaste, elimine el certificado existente pero al momento de montar el nuevo certificado me indica que no hay certificados disponibles, desinstale el rol y lo volví a instalar pero el resultado fue en mismo, ¿conoces el motivo y/o la solución de dicho inconveniente?

    • Guillermo Delprato  On 07/04/2014 at 17:39

      Hola Cristian, nombro alguno de los motivos
      – A veces la autoridad certificadora demora en ofrecer los certificados, probar reiniciándola y esperar unos minutos
      – ¿En la consola de la autoridad certificadora está el certificado “computers”?
      – ¿Llegas a la pantalla “Select Certificate Enrollment Policy? ¿se puede seguir con “next”?
      – En la pantalla que sigue si marcas la opción “Show all templates” ¿aparece “computer”?

      • Cristian  On 07/04/2014 at 17:59

        gracias guillermo por tu pronta respuesta, te comento (numero respuestas en el orden que las preguntas).

        – si existe la plantilla de equipos en la CA.
        – cuando me encuentro en dicha ventana si me habilita el next, pero la proxima ventana no muestra nada.
        — al dar mostrar todos, si esta equipo me indica los siguienete:
        “La plantilla de certificado solicitada no es compatible con esta CA. Nose encuentra una entidad de certificacion CA validad configurada para emitir certificados basados en ests plantilla, la CA no adminte esta operacion o la CA no es de confianza”

        Gracias

      • Guillermo Delprato  On 07/04/2014 at 19:06

        Pensando… pensando…
        Si habilita el “next” es que detecta la “Enterprise CA”, la pregunta de la demora, es porque alguna vez me ha sucedido, pero el mensaje que se recibe es que no tiene permisos. En cambio lo que te está dando apunta a que la CA no es confiada o configurada

        Por dónde comenzaría a revisar: que la CA sea realmente “Root” y “Enterprise”, y que no se halla roto alguna relación de confianza con el Dominio, tanto de la máquina que tiene la CA (si no es el DC), o en la que se está tratando de pedir el certificado
        Una pregunta más ¿máquinas clonadas?
        Otra opción es entrar a revisar los eventos en ambas máquinas, y con el “Source” y “EventID” buscar en la KB de Microsoft o en http://www.eventid.net (si aparecen errores por supuesto)

      • Cristian  On 07/04/2014 at 19:30

        no aparecen ID de error, monte la entidad siguiendo el tutorial por tanto quedo en el DC, los equipos son virtuales sobre hyper-V 2012, la confianza se tiene pues en el equipo portal que es donde deseo montar el certificado vincula bien con los usuarios del dominio.

        Pregunta adicional, en el quipo portal que te comento estaba haciendo las veces de RDWA, y realice la prueba de acceso antes de montar la entidad certificadora e ingrasaba bien , pero una vez elimine el certificado no volvio a ingresar (ni abre la web page), sabes como restaurar el certificado que estaba anteriormente??

      • Guillermo Delprato  On 08/04/2014 at 08:57

        Que yo sepa no hay forma de recuperar un certificado autofirmado eliminado, salvo que antes se lo haya exportado
        Estando en un ambiente de pruebas, yo no dudaría y comenzaría el proceso nuevamente desde cero, porque es evidente que algún paso no salió bien
        Me desorienta el mensaje que da cuando muestras todas las plantillas, ya que nunca lo he visto. Da para entender que la CA no está bien relacionada con el AD, o la máquina donde solicitas el certificado, y por eso lo de si se había roto la relación de confianza con el Dominio
        No me haz respondido una de las preguntas :-) ¿máquinas clonadas? o ¿usando el mismo disco base?
        Porque salvo estas dos últimas cosas, no se me ocurre por ahora nada

      • cristian  On 08/04/2014 at 11:19

        Hola Guillermo, los equipos son virtuales ambos tanto el directorio como el portal, los vhd están almacenados en el mismo disco real, están sobre el mismo virtualizador.

      • Guillermo Delprato  On 08/04/2014 at 12:18

        Insisto preguntando …
        ¿Son equipos clonados?
        ¿Estás usando discos diferenciales del mismo base?

      • cristian  On 08/04/2014 at 12:49

        Disculpa, los equipos se instalaron uno a uno, desde una imagen iso del instalador, como una instalación clásica.

        No fueron clonados.

      • Guillermo Delprato  On 08/04/2014 at 14:32

        Siendo todos los sistemas W2012 o W2012R2 entonces no comprendo el mensaje de incompatibilidad que está dando
        Todo me da para pensar en un error en la instalación de la CA, pero no tengo forma de saberlo. Hasta si lo estás usando en español el sistema que sea un bug propio (he visto de estas cosas)
        Creo que lo mejor, ya que estás en un ambiente de pruebas es repetir desde el principio con mucho cuidado en las configuraciones, porque obtener un certificado de “computer” de una CA Enterprise es lo más sencillo

  • Diego Rodriguez  On 08/04/2014 at 14:23

    Guillermo buen dia necesito una luz una guia para por favor instalar un certificado a una implementacion de escritorio remoto 2012….ninguno me sirve o bueno a medias solo los windows xp se conectan remotamente los w7 y w8 no lo logran ya que sale error del certificado llevo 3 dias en esto y ya me estoy rindiendo gracias.

    • Guillermo Delprato  On 08/04/2014 at 14:35

      Hola Diego, no puedo hacer soporte desde la notas de un artículo, se harían interminables
      Además se necesitarían muchos más datos y concretos sobre el problema, diciendo “ninguno me sirve” no da ninguna idea de qué error se presenta.
      Te aconsejo recurrir a algún foro de soporte, por ejemplo los de Technet en español, los tienes en http://social.technet.microsoft.com/Forums/es-es/home

  • Fran Martinez  On 19/08/2014 at 10:17

    Hola Guillermo, excelente Post. Queria preguntarte unas cosas:

    – Que servicios recomiendas que pueda tener sobre el mismo servidor para utilizar una menor cantidad de recursos, Ej. Un dominio con el ervidor de licencia, y un web access y connection broker juntos, algo asi

    Y lo segundo
    – una vez instalado el Connection broker con load balancing, a donde conecto los usuarios de escritorio remoto, a los hosts? o al connection broker?

    Saludos

    • Guillermo Delprato  On 19/08/2014 at 12:26

      Hola Fran

      – Hay servicios que consumen pocos recursos, caso típico el servidor de licencias, que muchas veces se instala inclusive sobre un DC que tiene una buena protección de seguridad. El “conection broker” es otro servicio que consume poco porque su función es sólo derivar a los clientes, pienso que si el ambiente no es muy cargado perfectamente puede ponerse junto al “web access”
      Los que tienen trabajo pesado son RDSH

      – Los usuarios siguen conectándose al “web access”, es transparente para ellos

  • Juan Manuel  On 13/03/2015 at 16:02

    Referente a la advertencia de seguridad en las aplicaciones, el publicador es el sujeto que pone a disposición del usuario el paquete RDP con la App. Por este motivo hasta que no se configure un certificado para el rol de Agente de Conexión a escritorio remoto – Publicación no se eliminará la advertencia. Estoy intentando usar un certificado para esto pero no lo he conseguido con la CA… A ver si alguien sabe como hacerlo.

    • Guillermo Delprato  On 13/03/2015 at 16:55

      Hola Juan Manuel, gracias por la información
      Me haz puesto a trabajar :) y buscar nuevamente por el problema, pero esta vez he encontrado la solución, así que acá va:
      How to resolve the issue: “A website wants to start a remote connection. The publisher of this remote connection cannot be identified.” – Remote Desktop Services (Terminal Services) Team Blog – Site Home – MSDN Blogs
      http://blogs.msdn.com/b/rds/archive/2011/04/05/how-to-resolve-the-issue-a-website-wants-to-start-a-remote-connection-the-publisher-of-this-remote-connection-cannot-be-identified.aspx
      ¡Gracias!

      • Juan Manuel  On 14/03/2015 at 16:38

        Si, conozco esa solución, pero no es la adecuada para un entorno seguro, porque estamos engañando al sistema. Prueba enlazando un certificado de confianza para el Agente de Host de Escritorio Remoto – Publicación, que sea de confianza para el equipo cliente y listo! Desgraciadamente estoy intentando generar ese certificado desde mi CA de la forma más correcta posible, pero no lo he conseguido hasta ahora, porque debe contar con la Clave privada y esta no se puede exportar en un Certificado de Servidor. Se puede utilizar un SSL externo, pero tampoco sería lo correcto, porque el que publica la App es el Servidor, no el nobre de dominio externo de ese servidor… Todo lo que tenga un certificado se complica jajaja.
        Por cierto, a ver si algún día tienes un rato para investigar sobre DirectAccess, NAT y VPN en un solo servidor con 2012 R2… supuestamente es compatible ahora, pero tampoco he conseguido ponerlo en marcha… o NAT o directaccess.
        Saludos.

      • Guillermo Delprato  On 14/03/2015 at 17:06

        Hola Juan Manuel, prueba haciendo una copia de la plantilla en formato W2012, marcando la opción que la clave privada pueda ser exportada. Luego agregas la nueva plantilla de certificado a la CA, y los certificados obtenidos en base a la nueva plantilla no tendrán problemas
        Revisa todas las opciones que puedes configurar cuando editas la nueva plantilla que hay interesantes

  • Jorge  On 13/08/2015 at 14:34

    Estimado

    Muy buena guía y realmente el apoyo es muy bueno. Pero necesito consultarte si es posible poder colocar un certificado digital SSL (comprado) dentro del IIS para no generar este tipo de certificado.

    Muchas gracias,

    Saludos,

    • Guillermo Delprato  On 13/08/2015 at 16:59

      Hola Jorge, si y no :)
      Para el website por supuesto que sí, ningún problema si el cliente puede verificar el certificad
      El que es difícil es cuando informa que la RemoteApp y no puede verificar al “publisher”
      En su momento lo dejé así, pero hace un tiempo ví que tiene solución, pero no me preguntes porque no recuerdo el detalle
      Si te animas una búsqueda en Intenet incluye las palabras “RemoteApp” “can’t verified” y “Thumbprint”

  • Moraleja  On 23/11/2015 at 05:52

    Hola Guillermo, en primer lugar agradecerte estos turoriales, son de gran utilidad.
    Comentarte que sigo el tutorial al pie de la letra, a priori correctamente, con la finalidad de implementar el certificado; bien, tengo la CA implementada en un DCServer y a la hora de solicitarle el certificado desde el RDServer no me aparecen certificados de tipo computer, únicamente de tipo Administrador, Agente de recuperación EFS, EFDS básico y Usuairo; no computer como te indico.
    A que puede deberse?

    Gracias de antemano por tu ayuda
    Un saludo

    • Guillermo Delprato  On 23/11/2015 at 06:40

      Hola Moraleja, cuando creas la MMC para solicitar el certificado, ejecutándola como administrador, te mostrará si es por Usuario, Servicio o Computadora, no te olvides de elegir esta última opción
      Seguramente es eso

      • Moraleja  On 23/11/2015 at 11:02

        Efectivamente Guillermo era eso, la ejecución de la consola de certificados.
        Ahora he seleccionado el certificado de equipo pero sigue saliendo la advertencia en IExplorer ejecutando desde el DC por temas de sincronizción y eso

      • Guillermo Delprato  On 23/11/2015 at 11:09

        Revisa la nota por favor, que esté el certificado, y que el cliente tenga el certificado de la CA

  • Jonatan Macon  On 23/02/2016 at 13:03

    Hola Guillermo, me surge una duda. Segui todos los pasos que vos describis y dentro del dominio uso las remote app sin ningun problea. Ahora necesito configurar las remote app en maquinas fuera del dominio, deseo implemetarlos desde “Conexion de RemoteApp y Escritorio”, despues de ingresar la URL pongo siguiente y en la proxima pantalla me aparece esto
    “No se puede autenticar el equipo remoto debido a problemas con el certificado de seguridad.

    Los problemas con los certificados de seguridad pueden indicar un intento de engañarle o de interceptar cualquier dato enviado al equipo remoto.”

    Como puedo hacer que el equipo cliente valide el certifaco que emitio mi dominio?

    Saludos!

    • Guillermo Delprato  On 23/02/2016 at 14:06

      El mensaje es porque el equipo cliente no puede autenticar al servidor, y esto es porque no tiene instalada como autoridad certificadora tipo raíz a la que estás usando en la red interna
      La solución pasaría por instalar el certificado de la CA interna, en “Trusted Root Certification Authorities” de los clientes. Siempre y cuando los administradores de esas máquinas confíen en ti :)

  • Ulises Rendon  On 29/04/2016 at 14:20

    ¿Cómo creó una consola (mmc.exe) y como cargo el Snap-in (Complemento) Certificates de Computer? Disculpa la ignorancia, pero desconozco el tema.

Trackbacks

Este espacio es para comentarios sobre la nota. No es un sitio de soporte

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: