Comments 33
Прикройтесь хотя бы RDG.
Ну и насколько мне известно, на 192.168.0.1 никто сертификат не выдаст, нужен внешний айпишник, до которого letsencrypt может сделать бэкконнект. Ну во всяком случае, так было года три назад.
Сам не пробовал, но для скрытия данного окна можно попробовать добавить сертификат сервера в список доверенных CA, раз речь идет только о скрытии окна?
Именно поэтому я и предлагаю RDG+WAP, там webapp proxy выступает в роли ssl offload сервера, и работает простая связка — внутри сети между целевым компом и рдг доверие на приватном пки и\или керберосе, та же история между рдг и вап, а от вап уже обычный ссл сертификат работает.
Кому лень заморачиваться с поднятием ADFS только для публикации RDG — можно поднять хапрокси, оно бесплатно и практически в три клика. При этом, естественно, у него уже давным-давно есть нативная интеграция с acme.
Ради решения проблемы заводим днс сервер, покупаем домен, настраиваем две зоны (локальную тоже нужно, ибо из локалки vashdomain.ru должен резолвиться по локальному ip), оголяем жопу в интернет, запускаем ещё один сервис — сертбота. Просто идеальное решение! Проще даже не придумать. И самое главное, при учете, что если вся настройка займет час, а клик по предупреждению 2 секунды, то решение начнет окупаться по времени лет через пять.
ЗЫ думал что в статье написано как тупо отключить проверку сертификата и шифрованное соединение. В собственной локалке такое решение имеет место.
А если уж хочется по правильному, то надо свой удостоверяющий центр поднять и подписывать им сертификаты с alternative subject names на 3 года. Да, вначале придется один CA сертификат в доверенные добавить, зато потом можно валидные сертификаты даже без доменного имени, удостоверив лишь локальный ip (хз принимает ли alt names rdp, но гугл хром на https://192.168.1.1 точно заходит без вопросов). А в качестве бонуса certbot не будет подогревать процессор 90% холостыми запусками.
После чего предупреждение будет появлятся раз в сколько-то там месяцев, когда самоподписный сертификат обновился.
Если работать исключительно через mstsc то такой запрос напрягает, да. Однако галку один раз поставить вообще не проблема.
Когда у тебя сотня подключений через какой нить mRemoteNG или RDCMan то такой запрос благо, позволяющее не подключаться по ошибке к ненужному серверу потому что ты промахнулся при подключении.
Перед запуском WinAcme нам нужно разрешить выполнение двух скриптов. Для этого двойным кликом запустите PSRDSCerts.bat из папки со скриптами.Это, конечно, наверное, классно всё и работает, но не мешало бы объяснить что делает каждый скрипт.
1. Добавляем А записьНе понятно откуда и зачем у нас домен для RDP? Без домена никак?
через 60 дней программа продлит сертификат самадобавляет задачу в планировщик?
Не все плюшки работают, но сам сервер терминалов к использованию пригоден.
На современных системах rdp сервер можно даже под линукс поднять
Первая ссылка в гугле сразу дала нам более простое решение github.com/mdbraber/acmeproxy.
Это просто какой-то позор, данная статья.
Эх, хабр, хабр, куда мы катимся.
Правильные на мой взгляд решения уже озвучили выше.
Простой способ. Добавляем корневой сертификат (либо сам сертификат, если он самозаверенный) на клиентские компьютеры в список доверенных.
Более сложный (на самом деле не очень), но и более грамотный — это развернуть инфраструктуру PKI.
И последнее, научиться развертывать VPN сервис, это так просто, тем более с wireguard. И запретить самому себе выставлять критичные бизнес ресурсы (типа RDP) наружу, без VPN, как крайний признак дилетанства и профанства.
А в чем проблема вообще? Для меня твой вопрос примерно звучит так «Мы выделилили „нормальному“ специалисту кабинет, и дали ключи от входной двери офиса, как теперь заставить его повесить этот ключ от нашего офиса на его связку ключей».
Ну и раз вы делаете утверждение, что обы эти варианта «ужасны». То уж будьте добры, обяснить в чем именно заключается ужасность. Аргументируйте свою позицию.
Вот так для меня звучат твои слова.
Дело в том, что нельзя выставлять RDP наружу. А через только VPN. А теперь ты занимаешься подменой понятий.
Если ты выставляешь RDP наружу — ты дилетант. Как бы ты и чем бы себя не оправдывал.
А по паролям, я использую сложные, в браузере, который и является моим менеджером паролей, который сам мне кнопочку даёт сгенерировать пароль. Проще в браузере ткнуть одну кнопку, чем нажимать 7 кнопок на клавиатуре. А ещё люди придумали токены авторизации и SSO. Один раз залогинился в комп вбив логин-пароль, и больше в браузере не вводишь, в рдп не вводишь и никаких тебе менеджеров паролей, потому что нет паролей.
P.s. Все же выставлять голый rdp во вне — неправильно. Пользуйте vpn. У меня vpn на pfsense\opnsense живет.
Как убрать назойливое предупреждение о сертификате для RDP