Continuando con esta serie de notas, en esta ocasión vamos a comenzar a mejorar la seguridad, y además tratar de solucionar las advertencias sobre la misma que hace el sistema.
En primer lugar vamos a implementar una Autoridad Certificadora (Certificate Authority) que nos provea los certificados digitales necesarios, y luego veremos el tema de la otra advertencia sobre aplicaciones no firmadas
Seguimos con la misma infraestructura de máquinas que dejamos en la Parte 2 de esta serie.
Vamos a instalar la Autoridad Certificadora en DC1 para emitir los certificados digitales necesarios, específicamente para “rdwa.root.guillermod.com.ar”
Procedemos de la manera habitual para agregar funcionalidades como se muestra en las siguientes capturas
La instalaremos en DC1, así que lo seleccionaremos
Cuando seleccionemos Active Directory Certificate Services, debemos agregar los componentes adicionales
Ya nos deja un enlace para que configuremos la Autoridad Certificadora
Así que procederemos según el asistente a la configuración de la misma
Crearemos una autoridad tipo “Enterprise”
Y de tipo “Root” (se autofirma su certificado digital)
En mi caso he personalizado el nombre de la Autoridad Certificadora, como quieran
Ahora en RDWA1, creamos una consola (MMC:EXE) donde cargamos el Snap-in (Complemento) Certificates de Computer.
Podemos observar en Personal/Certificates que la máquina ya tiene un certificado autofirmado.Vamos a eliminar este certificado autofirmado, para reemplazarlo por uno expedido por nuestra Autoridad Certificadora
Y solicitaremos un nuevo certificado pero esta vez a nuestra Autoridad Certificadora siguiendo el asistente
Seleccionamos un certificado de “Computer”. Si, ya sé, es el único :-)
Y lo obtenemos
Podemos verificar que ahora el certificado está emitido por nuestra Autoridad Certificadora
Debemos hacer que el sitio web que está utilizando RDWA utilice este certificado, así que en RDWA abrimos Internet Information Services (IIS) Manager, y abrimos sobre la izquierda ahsta que llegamos a “Default Web Site”, entonces sobre la derecha elegimos “Bindings”
Elegimos la entrada correspondiente a “https” y el botón “Edit”
Seleccionamos el correspóndiente certificado digital
Y cerramos
Volvamos a DC1, e ingresemos nuevamente a RDWA
Si todo lo hicimos bien, ya no nos avisará que el certificado presentado por el servidor no es confiable
¡Perfecto! :-)
Con lo hecho hasta ahora hemos solucionado el problema de la advertencia de certificado no confiable, pero aún nos queda pendiente el tema de la advertencia de seguridad según puede verse al tratar de ejecutar una aplicación
Nos está informando que el “publisher” de la aplicación que queremos ejecutar no puede ser identificado
¿Será posible que la calculadora de Windows sea una aplicación no firmada o reconocida? Pues sí, si miramos las propiedades de CALC.EXE, o inclusive de MSPAINT.EXE veremos que no están firmadas digitalmente :-(
Bueno, vamos a probar con una aplicación que sí sé que está firmada digitalmente por Microsoft; desde el sitio de descargas de Microsoft descargo XMLNotepad y procedo a instalarlo, tanto en RDSH1 como en RDSH2 (no muestro la instalación porque es sumamente básica)
Y vamos a publicar el XMLNotepad
La busco
Para que no queden dudas, muestro que está firmada por Microsoft
Y la selecciono
Ahora nos vamos a DC1, nos conectamos a RDWA y …
:-S ¿Y esto? :-S
Hay que buscar e investigar el tema, un buen buscador y encuentro el siguiente enlace: Respuesta Oficial (Un poco vieja pero…)
O si prefieren verla acá
Seguí buscando y encontré algunos enlaces que explican con más detalle el tema, o alguna “solución no recomendable”, se los dejo para que si desean investiguen más el tema.
Personalmente, por ahora, creo que lo mejor es aceptar la advertencia de seguridad, y hacer la conexión
http://blogs.technet.com/b/askperf/archive/2008/10/31/unknown-publisher-part-two.aspx
Seguiremos adelante con el resto de los componentes en la nota siguiente. Estoy pensando en el tema de Remote Desktop Licensing
Continua en
Windows Server 2012: Remote Desktop – Standard Deployment (Parte 1 – Instalación) | WindowServer: https://windowserver.wordpress.com/2012/10/18/windows-server-2012-remote-desktop-standard-deployment-parte-1-instalacin/
Windows Server 2012: Remote Desktop – Standard Deployment (Parte 2 – Publicando Aplicaciones) | WindowServer: https://windowserver.wordpress.com/2012/10/18/windows-server-2012-remote-desktop-standard-deployment-parte-2-publicando-aplicaciones/
Windows Server 2012: Remote Desktop – Standard Deployment (Parte 4 – Instalando licencias RDCAL) | WindowServer: https://windowserver.wordpress.com/2012/10/25/windows-server-2012-remote-desktop-standard-deployment-parte-4-instalando-licencias-rdcal/
Comentarios
Hola Guillermo, muchas gracias por el tutorial. Se me presento un problema, instale la CA como indicaste, elimine el certificado existente pero al momento de montar el nuevo certificado me indica que no hay certificados disponibles, desinstale el rol y lo volví a instalar pero el resultado fue en mismo, ¿conoces el motivo y/o la solución de dicho inconveniente?
Hola Cristian, nombro alguno de los motivos
– A veces la autoridad certificadora demora en ofrecer los certificados, probar reiniciándola y esperar unos minutos
– ¿En la consola de la autoridad certificadora está el certificado «computers»?
– ¿Llegas a la pantalla «Select Certificate Enrollment Policy? ¿se puede seguir con «next»?
– En la pantalla que sigue si marcas la opción «Show all templates» ¿aparece «computer»?
gracias guillermo por tu pronta respuesta, te comento (numero respuestas en el orden que las preguntas).
– si existe la plantilla de equipos en la CA.
– cuando me encuentro en dicha ventana si me habilita el next, pero la proxima ventana no muestra nada.
— al dar mostrar todos, si esta equipo me indica los siguienete:
«La plantilla de certificado solicitada no es compatible con esta CA. Nose encuentra una entidad de certificacion CA validad configurada para emitir certificados basados en ests plantilla, la CA no adminte esta operacion o la CA no es de confianza»
Gracias
Pensando… pensando…
Si habilita el «next» es que detecta la «Enterprise CA», la pregunta de la demora, es porque alguna vez me ha sucedido, pero el mensaje que se recibe es que no tiene permisos. En cambio lo que te está dando apunta a que la CA no es confiada o configurada
Por dónde comenzaría a revisar: que la CA sea realmente «Root» y «Enterprise», y que no se halla roto alguna relación de confianza con el Dominio, tanto de la máquina que tiene la CA (si no es el DC), o en la que se está tratando de pedir el certificado
Una pregunta más ¿máquinas clonadas?
Otra opción es entrar a revisar los eventos en ambas máquinas, y con el «Source» y «EventID» buscar en la KB de Microsoft o en http://www.eventid.net (si aparecen errores por supuesto)
no aparecen ID de error, monte la entidad siguiendo el tutorial por tanto quedo en el DC, los equipos son virtuales sobre hyper-V 2012, la confianza se tiene pues en el equipo portal que es donde deseo montar el certificado vincula bien con los usuarios del dominio.
Pregunta adicional, en el quipo portal que te comento estaba haciendo las veces de RDWA, y realice la prueba de acceso antes de montar la entidad certificadora e ingrasaba bien , pero una vez elimine el certificado no volvio a ingresar (ni abre la web page), sabes como restaurar el certificado que estaba anteriormente??
Que yo sepa no hay forma de recuperar un certificado autofirmado eliminado, salvo que antes se lo haya exportado
Estando en un ambiente de pruebas, yo no dudaría y comenzaría el proceso nuevamente desde cero, porque es evidente que algún paso no salió bien
Me desorienta el mensaje que da cuando muestras todas las plantillas, ya que nunca lo he visto. Da para entender que la CA no está bien relacionada con el AD, o la máquina donde solicitas el certificado, y por eso lo de si se había roto la relación de confianza con el Dominio
No me haz respondido una de las preguntas :-) ¿máquinas clonadas? o ¿usando el mismo disco base?
Porque salvo estas dos últimas cosas, no se me ocurre por ahora nada
Hola Guillermo, los equipos son virtuales ambos tanto el directorio como el portal, los vhd están almacenados en el mismo disco real, están sobre el mismo virtualizador.
Insisto preguntando …
¿Son equipos clonados?
¿Estás usando discos diferenciales del mismo base?
Disculpa, los equipos se instalaron uno a uno, desde una imagen iso del instalador, como una instalación clásica.
No fueron clonados.
Siendo todos los sistemas W2012 o W2012R2 entonces no comprendo el mensaje de incompatibilidad que está dando
Todo me da para pensar en un error en la instalación de la CA, pero no tengo forma de saberlo. Hasta si lo estás usando en español el sistema que sea un bug propio (he visto de estas cosas)
Creo que lo mejor, ya que estás en un ambiente de pruebas es repetir desde el principio con mucho cuidado en las configuraciones, porque obtener un certificado de «computer» de una CA Enterprise es lo más sencillo
Guillermo buen dia necesito una luz una guia para por favor instalar un certificado a una implementacion de escritorio remoto 2012….ninguno me sirve o bueno a medias solo los windows xp se conectan remotamente los w7 y w8 no lo logran ya que sale error del certificado llevo 3 dias en esto y ya me estoy rindiendo gracias.
Hola Diego, no puedo hacer soporte desde la notas de un artículo, se harían interminables
Además se necesitarían muchos más datos y concretos sobre el problema, diciendo «ninguno me sirve» no da ninguna idea de qué error se presenta.
Te aconsejo recurrir a algún foro de soporte, por ejemplo los de Technet en español, los tienes en http://social.technet.microsoft.com/Forums/es-es/home
Hola Guillermo, excelente Post. Queria preguntarte unas cosas:
– Que servicios recomiendas que pueda tener sobre el mismo servidor para utilizar una menor cantidad de recursos, Ej. Un dominio con el ervidor de licencia, y un web access y connection broker juntos, algo asi
Y lo segundo
– una vez instalado el Connection broker con load balancing, a donde conecto los usuarios de escritorio remoto, a los hosts? o al connection broker?
Saludos
Hola Fran
– Hay servicios que consumen pocos recursos, caso típico el servidor de licencias, que muchas veces se instala inclusive sobre un DC que tiene una buena protección de seguridad. El «conection broker» es otro servicio que consume poco porque su función es sólo derivar a los clientes, pienso que si el ambiente no es muy cargado perfectamente puede ponerse junto al «web access»
Los que tienen trabajo pesado son RDSH
– Los usuarios siguen conectándose al «web access», es transparente para ellos
Referente a la advertencia de seguridad en las aplicaciones, el publicador es el sujeto que pone a disposición del usuario el paquete RDP con la App. Por este motivo hasta que no se configure un certificado para el rol de Agente de Conexión a escritorio remoto – Publicación no se eliminará la advertencia. Estoy intentando usar un certificado para esto pero no lo he conseguido con la CA… A ver si alguien sabe como hacerlo.
Hola Juan Manuel, gracias por la información
Me haz puesto a trabajar :) y buscar nuevamente por el problema, pero esta vez he encontrado la solución, así que acá va:
How to resolve the issue: “A website wants to start a remote connection. The publisher of this remote connection cannot be identified.” – Remote Desktop Services (Terminal Services) Team Blog – Site Home – MSDN Blogs
http://blogs.msdn.com/b/rds/archive/2011/04/05/how-to-resolve-the-issue-a-website-wants-to-start-a-remote-connection-the-publisher-of-this-remote-connection-cannot-be-identified.aspx
¡Gracias!
Si, conozco esa solución, pero no es la adecuada para un entorno seguro, porque estamos engañando al sistema. Prueba enlazando un certificado de confianza para el Agente de Host de Escritorio Remoto – Publicación, que sea de confianza para el equipo cliente y listo! Desgraciadamente estoy intentando generar ese certificado desde mi CA de la forma más correcta posible, pero no lo he conseguido hasta ahora, porque debe contar con la Clave privada y esta no se puede exportar en un Certificado de Servidor. Se puede utilizar un SSL externo, pero tampoco sería lo correcto, porque el que publica la App es el Servidor, no el nobre de dominio externo de ese servidor… Todo lo que tenga un certificado se complica jajaja.
Por cierto, a ver si algún día tienes un rato para investigar sobre DirectAccess, NAT y VPN en un solo servidor con 2012 R2… supuestamente es compatible ahora, pero tampoco he conseguido ponerlo en marcha… o NAT o directaccess.
Saludos.
Hola Juan Manuel, prueba haciendo una copia de la plantilla en formato W2012, marcando la opción que la clave privada pueda ser exportada. Luego agregas la nueva plantilla de certificado a la CA, y los certificados obtenidos en base a la nueva plantilla no tendrán problemas
Revisa todas las opciones que puedes configurar cuando editas la nueva plantilla que hay interesantes
Estimado
Muy buena guía y realmente el apoyo es muy bueno. Pero necesito consultarte si es posible poder colocar un certificado digital SSL (comprado) dentro del IIS para no generar este tipo de certificado.
Muchas gracias,
Saludos,
Hola Jorge, si y no :)
Para el website por supuesto que sí, ningún problema si el cliente puede verificar el certificad
El que es difícil es cuando informa que la RemoteApp y no puede verificar al «publisher»
En su momento lo dejé así, pero hace un tiempo ví que tiene solución, pero no me preguntes porque no recuerdo el detalle
Si te animas una búsqueda en Intenet incluye las palabras «RemoteApp» «can’t verified» y «Thumbprint»
Hola Guillermo, en primer lugar agradecerte estos turoriales, son de gran utilidad.
Comentarte que sigo el tutorial al pie de la letra, a priori correctamente, con la finalidad de implementar el certificado; bien, tengo la CA implementada en un DCServer y a la hora de solicitarle el certificado desde el RDServer no me aparecen certificados de tipo computer, únicamente de tipo Administrador, Agente de recuperación EFS, EFDS básico y Usuairo; no computer como te indico.
A que puede deberse?
Gracias de antemano por tu ayuda
Un saludo
Hola Moraleja, cuando creas la MMC para solicitar el certificado, ejecutándola como administrador, te mostrará si es por Usuario, Servicio o Computadora, no te olvides de elegir esta última opción
Seguramente es eso
Efectivamente Guillermo era eso, la ejecución de la consola de certificados.
Ahora he seleccionado el certificado de equipo pero sigue saliendo la advertencia en IExplorer ejecutando desde el DC por temas de sincronizción y eso
Revisa la nota por favor, que esté el certificado, y que el cliente tenga el certificado de la CA
Hola Guillermo, me surge una duda. Segui todos los pasos que vos describis y dentro del dominio uso las remote app sin ningun problea. Ahora necesito configurar las remote app en maquinas fuera del dominio, deseo implemetarlos desde «Conexion de RemoteApp y Escritorio», despues de ingresar la URL pongo siguiente y en la proxima pantalla me aparece esto
«No se puede autenticar el equipo remoto debido a problemas con el certificado de seguridad.
Los problemas con los certificados de seguridad pueden indicar un intento de engañarle o de interceptar cualquier dato enviado al equipo remoto.»
Como puedo hacer que el equipo cliente valide el certifaco que emitio mi dominio?
Saludos!
El mensaje es porque el equipo cliente no puede autenticar al servidor, y esto es porque no tiene instalada como autoridad certificadora tipo raíz a la que estás usando en la red interna
La solución pasaría por instalar el certificado de la CA interna, en «Trusted Root Certification Authorities» de los clientes. Siempre y cuando los administradores de esas máquinas confíen en ti :)
¿Cómo creó una consola (mmc.exe) y como cargo el Snap-in (Complemento) Certificates de Computer? Disculpa la ignorancia, pero desconozco el tema.
Ulises, yo te aconsejaría que mejor no lo hagas :)
– Incio / Ejecutar / MMC
– Archivo / Agrgar complemento
Hola! En caso de tener que renovar el certificado los pasos serían los mismos? esto sería transparente para los equipos clientes que tienen configurada la aplicación a través de remoteApp?
Depende del propio certificado si renueva o no automáticamente. En un certificado emitido por un CA integrada en AD lo especifica la plantilla
En las no integradas o en las comerciales, la renovación debe hacerse manualmente siguiendo los procedimientos que establezca la CA
Trackbacks
[…] […]
[…] Windows Server 2012: Remote Desktop – Standard Deployment (Parte 3 – Seguridad y Advertencias) | WindowServer: https://windowserver.wordpress.com/2012/10/25/windows-server-2012-remote-desktop-standard-deployment-… […]
[…] Windows Server 2012: Remote Desktop – Standard Deployment (Parte 3 – Seguridad y Advertencias) | WindowServer: https://windowserver.wordpress.com/2012/10/25/windows-server-2012-remote-desktop-standard-deployment-… […]
[…] Windows Server 2012: Remote Desktop – Standard Deployment (Parte 3 – Seguridad y Advertencias) | WindowServer: https://windowserver.wordpress.com/2012/10/25/windows-server-2012-remote-desktop-standard-deployment-… […]
[…] Windows Server 2012: Remote Desktop – Standard Deployment (Parte 3 – Seguridad y Advertencias) […]