Как на серваке сделать свой сертификат? Со стандартным страшно во вне пускать .

AD CS развернуть?

Со стандартным страшно во вне пускать . »
а думать писать чушь не страшно?

писать чушь не страшно? »

Почему "чушь"? Зачем обзываться? Лучше бы высказали свое понимание вопроса и собственно ответили на вопрос темы. Опасения автора темы естественны.
Там действительно "стандартно" возникает табличка о сертификате безопасности при первом входе в rdp.
"Нет доверия к сертификату, выданному...
<сервером RDP>"(Сертификат выдан не имеющим доверия центром сертификации) Установить сертификат? Показать сертификат?
Если галочку не поставить, то и потом возникать будет. Этот сертификат автор и называет стандартным.
Вы, cameron, может никогда не видели этих сообщений? Показать как выглядят эти таблички?

AD CS развернуть? »

А если нет AD?

Опасения автора темы естественны. »
неа.
Там действительно "стандартно" возникает табличка о сертификате безопасности при первом входе в rdp.
"Нет доверия к сертификату, выданному... »
и что? как это относится к безопасности?
А если нет AD? »
а CA без домена теперь не работает?

и что? как это относится к безопасности? »

Написано, что сертификат безопасности.

а CA без домена теперь не работает? »

Я не знаю, если и Вы тоже не знаете, как там сертификаты организовать, то что обсуждать.
Надо ждать ответа знающего или искать в сети. Вопрос полезный.

Опасения автора темы естественны. »
неа.

Если без сертификата, то всякий хакер будет ломиться и подбирать пароли.

Написано, что сертификат безопасности. »
и что? повторю: как это относится к безопасности?
Я не знаю, если и Вы тоже не знаете, как там сертификаты организовать, то что обсуждать. »
я - знаю.
Надо ждать ответа знающего или искать в сети. Вопрос полезный. »
вопрос бесполезный на 100%.
ждать знаюшего тоже не надо, это не секректное дао, читайте официальную документацию, или блог Вадимса Поданса (aka Camelot). который всё отлично, просто, понятно и замечательно рассказал, показал и дал попробовать.
Если без сертификата, то всякий хакер будет ломиться и подбирать пароли. »
ух ты.
а как серт защитит от перебора пароля в данном случае?

блог Вадимса Поданса (aka Camelot) »

Если Вы про это
http://www.sysadmins.lv/CategoryView,category,SecurityPKI.aspx
то очень сложно написано(для тех, кто и так все знает и только в мелких деталях довыясняет), где-то встречал намного понятнее, по-человечески.
Про "дал попробовать" не понятно, кому-что дал.

А это http://www.atraining.ru/ka/#free написано free, но почему-то деньги требуют за большинство курсов.Реального доступа к free курсам PKI нет,
т.к. ftpguest/P@ssw0rd не срабатывают на втором шаге. Везде пытаются обмануть.
Кто бы эти деньги в зарплаты платил.

а как серт защитит от перебора пароля в данном случае? »

Я понимаю так, что отсутствие сертификата на компе пользователя должно не допускать этого пользователя вообще к окошку ввода пароля rdp на сервере, это ж явная трата ресурса хакером, даже если не подберет. Зачем допускать?
Или это в rdp недостижимо?

alef2474,
не буду вступать с вами в очередную полемику, только предложу вам серьёзно призадуматься о смене рода занятий.

не буду вступать с вами в очередную полемику, только предложу вам серьёзно призадуматься о смене рода занятий. »
Имхо, Вы часто нарушаете п.п. 3.1, 3.3 правил.

Автору темы, скорее всего надо почитать не вышеупомянутый блог, а http://interface31.ru/tech_it/2010/11/zashhita-rdp-soedineniya-pri-pomoshhi-ssl.html
особенно последнее про каплю дегтя. Непонятное для cameron про безопасность там объяснено.

А это http://www.atraining.ru/ka/#free написано free »
Поищите на рутрекере, там все есть.
По поводу защиты RDP, если уж на то пошло, то лучше статья от автора тех же курсов по PKI:
http://www.atraining.ru/windows-rdp-tuning/

По поводу безопасности. Ну создаст топикстартер на серваке свой сертификат, дальше что? При попытке подключения вылетит такой же стандартный запрос, если сертификат не в доверенных у пользователя. А раз автор темы не в курсе про PKI, то уж про грамотное создание и распространение сертификатов уж точно, так что первое время и со стандартным побегать можно вполне, толку от своего не будет.
Я понимаю так, что отсутствие сертификата на компе пользователя должно не допускать этого пользователя вообще к окошку ввода пароля rdp на сервере, это ж явная трата ресурса хакером, даже если не подберет.»
Во первых это требует неплохой перенастройки RDP, во вторых блокировка учетки на 10 мин при 5 неправильных вводах серьезная нагрузка?

Поищите на рутрекере, там все есть.
По поводу защиты RDP, если уж на то пошло, то лучше статья от автора тех же курсов по PKI: »

Да, там есть, спасибо.

Имхо, Вы часто нарушаете п.п. 3.1, 3.3 правил. »
обратитесь к модераторам.

обратитесь к модераторам. »
Переживу, у вас часто, но не всегда, отношу к гендерным различиям.
Главное, на вопрос темы ответили и для вас чего-то прояснилось про безопасность в rdp.
Прочтет ли автор или убежал без оглядки с форума после ваших высказываний?

Хм, не знаю как наткнулся на этот тред, но хоть и отношение к PKI имею посредственное, имею вот что сказать:
имел опыт с генерацией и подменой сертификатов сервисов компонентов продуктов VMware, на примере брокера VDI и его клиентов могу сказать следующее: суть таких CA-подписанных сертификатов - дать понять клиенту, что служба, которой он вручает свои креденшиалы есть доверенная, а не пень с горы. Очевидно, что это работает в случае, если Root CA сертификат у клиента в доверенных, а Sub CA сертификат у клиента в intermediate хранилище, т.е. я, Вася такой-то, пытаясь войти на свой виртуальный десктоп, вижу зелененькую надпись https, и понимаю, что стучусь не к какому-нибудь Пете, а к своему Толе-администратору на его VDI-брокер и никто левый (кроме Толи, который и так может со мной сделать все что хочет) не угонит мои учетные данные.
Разве я в целом не прав, в таких случаях сертификат показатель именно для клиента, а не для службы? Суть для "rdp наружу", наверное, такая же?