Rdp сертификат
 

Как на серваке сделать свой сертификат? Со стандартным страшно во вне пускать .

AD CS развернуть?

а думать писать чушь не страшно?

Почему "чушь"? Зачем обзываться? Лучше бы высказали свое понимание вопроса и собственно ответили на вопрос темы. Опасения автора темы естественны.
Там действительно "стандартно" возникает табличка о сертификате безопасности при первом входе в rdp.
"Нет доверия к сертификату, выданному...
<сервером RDP>"(Сертификат выдан не имеющим доверия центром сертификации) Установить сертификат? Показать сертификат?
Если галочку не поставить, то и потом возникать будет. Этот сертификат автор и называет стандартным.
Вы, cameron, может никогда не видели этих сообщений? Показать как выглядят эти таблички?

А если нет AD?

неа.
и что? как это относится к безопасности?
а CA без домена теперь не работает?

Написано, что сертификат безопасности.

Я не знаю, если и Вы тоже не знаете, как там сертификаты организовать, то что обсуждать.
Надо ждать ответа знающего или искать в сети. Вопрос полезный.

Если без сертификата, то всякий хакер будет ломиться и подбирать пароли.

и что? повторю: как это относится к безопасности?
я - знаю.
вопрос бесполезный на 100%.
ждать знаюшего тоже не надо, это не секректное дао, читайте официальную документацию, или блог Вадимса Поданса (aka Camelot). который всё отлично, просто, понятно и замечательно рассказал, показал и дал попробовать.
ух ты.
а как серт защитит от перебора пароля в данном случае?

Если Вы про это
http://www.sysadmins.lv/CategoryView...curityPKI.aspx
то очень сложно написано(для тех, кто и так все знает и только в мелких деталях довыясняет), где-то встречал намного понятнее, по-человечески.
Про "дал попробовать" не понятно, кому-что дал.

А это http://www.atraining.ru/ka/#free написано free, но почему-то деньги требуют за большинство курсов.Реального доступа к free курсам PKI нет,
т.к. ftpguest/P@ssw0rd не срабатывают на втором шаге. Везде пытаются обмануть.
Кто бы эти деньги в зарплаты платил.

Я понимаю так, что отсутствие сертификата на компе пользователя должно не допускать этого пользователя вообще к окошку ввода пароля rdp на сервере, это ж явная трата ресурса хакером, даже если не подберет. Зачем допускать?
Или это в rdp недостижимо?

alef2474,
не буду вступать с вами в очередную полемику, только предложу вам серьёзно призадуматься о смене рода занятий.

Имхо, Вы часто нарушаете п.п. 3.1, 3.3 правил.

Автору темы, скорее всего надо почитать не вышеупомянутый блог, а http://interface31.ru/tech_it/2010/1...oshhi-ssl.html
особенно последнее про каплю дегтя. Непонятное для cameron про безопасность там объяснено.

Поищите на рутрекере, там все есть.
По поводу защиты RDP, если уж на то пошло, то лучше статья от автора тех же курсов по PKI:
http://www.atraining.ru/windows-rdp-tuning/

По поводу безопасности. Ну создаст топикстартер на серваке свой сертификат, дальше что? При попытке подключения вылетит такой же стандартный запрос, если сертификат не в доверенных у пользователя. А раз автор темы не в курсе про PKI, то уж про грамотное создание и распространение сертификатов уж точно, так что первое время и со стандартным побегать можно вполне, толку от своего не будет.
Во первых это требует неплохой перенастройки RDP, во вторых блокировка учетки на 10 мин при 5 неправильных вводах серьезная нагрузка?

Да, там есть, спасибо.

обратитесь к модераторам.

Переживу, у вас часто, но не всегда, отношу к гендерным различиям.
Главное, на вопрос темы ответили и для вас чего-то прояснилось про безопасность в rdp.
Прочтет ли автор или убежал без оглядки с форума после ваших высказываний?

Хм, не знаю как наткнулся на этот тред, но хоть и отношение к PKI имею посредственное, имею вот что сказать:
имел опыт с генерацией и подменой сертификатов сервисов компонентов продуктов VMware, на примере брокера VDI и его клиентов могу сказать следующее: суть таких CA-подписанных сертификатов - дать понять клиенту, что служба, которой он вручает свои креденшиалы есть доверенная, а не пень с горы. Очевидно, что это работает в случае, если Root CA сертификат у клиента в доверенных, а Sub CA сертификат у клиента в intermediate хранилище, т.е. я, Вася такой-то, пытаясь войти на свой виртуальный десктоп, вижу зелененькую надпись https, и понимаю, что стучусь не к какому-нибудь Пете, а к своему Толе-администратору на его VDI-брокер и никто левый (кроме Толи, который и так может со мной сделать все что хочет) не угонит мои учетные данные.
Разве я в целом не прав, в таких случаях сертификат показатель именно для клиента, а не для службы? Суть для "rdp наружу", наверное, такая же?