Remote Desktop me demande toujours d'accepter un certificat?


22

J'utilise Remote Desktop sur Windows 7 RC1, en me connectant à un serveur Windows 2008.

Chaque fois que je démarre une connexion, j'obtiens la fenêtre contextuelle suivante: -

entrez la description de l'image ici

Le problème du certificat est logique -> il a été créé à partir de mon propre serveur, qui n'est pas une autorité de certification officielle. Sûr. Je dois donc dire à ma machine que tout certificat provenant de mon serveur peut être accepté.

Je regarde donc le certificat et l'installe. Je le laisse déterminer le meilleur endroit pour l'installer. par exemple

entrez la description de l'image ici

Malheureusement, chaque fois que je me connecte, je reçois toujours cette question contextuelle.

J'ai donc essayé de dire manuellement où l'installer. J'ai dit de l'installer par exemple.

entrez la description de l'image ici

mais je reçois toujours la question d'avertissement.

Alors .. quelqu'un a-t-il des suggestions?


Je suppose que vous n'avez pas les images originales pour ça? Imageshack les a depuis supprimés. Cette question a beaucoup de points de vue et beaucoup de votes, donc ce serait bien de la restaurer si possible. Malheureusement, archive.org n'a pas de copies de photos imageshack.
Mark Henderson

:( sincèrement désolé @MarkHenderson, je ne le fais pas.
Pure.Krome

Je les ai recréés moi-même. Espérons que ceux-ci étaient assez proches de l'original.
Mark Henderson

Ouais - ces sonneries. ta!
Pure.Krome

Réponses:


25

Le certificat doit être ajouté au magasin «Autorités de certification racine de confiance» de votre ordinateur local . L'ajouter à la boutique "Trusted Root Certification Authorities" de l' utilisateur ne suffit pas ! Si cela semble déroutant, ne vous inquiétez pas - c'est le cas.

Si vous pensez que vous avez déjà installé le certificat, passez à «Déplacer le certificat sur le client».

Exporter le certificat sur le serveur

Le certificat doit d'abord être exporté vers un fichier. Sur le serveur, c'est-à-dire l'ordinateur auquel vous souhaitez vous connecter:

  1. Courir %windir%\System32\mmc.exe
  2. Menu File->Add/Remove Snap-in...
  3. Sélectionnez Certificates-> Add >-> Computer account-> Local computer->Finish
  4. OKla Add or Remove Snap-insboîte de dialogue. La console devrait maintenant contenir Certificates (Local Computer).
  5. Sélectionnez Certificates (Local Computer)-> Remote Desktop-> Certificates. Il devrait y avoir un seul certificat avec le nom de votre ordinateur.
  6. Ouvrez le certificat.
  7. Ouvrez l' Detailsonglet.
  8. Copy to File...
  9. Sélectionnez n'importe quel format, par exemple DER encoded binary X.509 (.CER).
  10. Tapez n'importe quel nom de fichier, par exemple <computername>.cer.
  11. Copiez le fichier sur votre ordinateur client.

Une autre façon d'obtenir le certificat consiste à suivre les étapes 6 à 10 sur votre ordinateur client, dans la boîte de dialogue d'avertissement du Bureau à distance mentionnée dans la question. Mais vous faites confiance au réseau dans ce cas. Comparez au moins les empreintes digitales, vous pouvez donc être sûr de faire confiance au bon certificat.

Importer un certificat sur le client

Sur le client, c'est-à-dire l'ordinateur à partir duquel vous vous connectez, et recevez la fenêtre d'avertissement, procédez comme suit:

  1. Courir %windir%\System32\mmc.exe
  2. Menu File->Add/Remove Snap-in...
  3. Sélectionnez Certificates-> Add-> Computer account-> Local computer->Finish
  4. OKla Add or Remove Snap-insboîte de dialogue. La console devrait maintenant contenir Certificates (Local Computer).
  5. Sélectionnez Certificates (Local Computer)-> Trusted Root Certification Authorities-> Certificates.
  6. Menu Action-> All Tasks-> Import....
  7. Entrez le chemin d'accès au certificat exporté, par exemple <computername>.cer.
  8. Place all certificates in the following store-> Trusted Root Certification Authorities.
  9. Finish. Vous ne devriez plus recevoir l'avertissement.

Déplacer le certificat sur le client

Si vous avez déjà installé le certificat via la boîte de dialogue d'avertissement, vous pouvez trouver le certificat dans le magasin de l'utilisateur actuel. Ignorez les étapes ci-dessus et déplacez simplement le certificat au bon endroit:

  1. Suivez les étapes 1 à 3 décrites dans «Importer un certificat sur le client».
  2. Ajoutez un autre Certificatescomposant logiciel enfichable, cette fois pour My user account.
  3. Le certificat devrait être ici quelque part. Essayez d'abord Certificates - Current User-> Intermediate Certification Authorities-> Certificates.
  4. Glissez-déposez ou coupez-collez le certificat dans Certificates (Local Computer)-> Trusted Root Certification Authorities-> Certificates. Notez que le certificat stocke la pile, vous verrez donc toujours le certificat dans le magasin de votre utilisateur! Vous ne devriez plus recevoir l'avertissement.

2
Nice post, et j'ai un suivi, que je suis heureux de poster à une nouvelle question. Comment cela pourrait-il être fait à plus grande échelle? Par exemple, est-il possible de générer et d'importer un certificat générique pour permettre la connexion à tous les ordinateurs du même domaine?
Taylor Gerring

Cela se produirait-il automatiquement si vous cochez simplement la case «Ne plus me demander de connexion à cet ordinateur»? Pourquoi recommandez-vous d'importer le certificat au lieu de l'utiliser?
binki

4

Je pense que vous devez vérifier le chemin du certificat et que votre ordinateur approuve la racine et / ou les intermédiaires réels et non le certificat lui-même. Vous pouvez également voir sous l'onglet chemin où se situe le problème réel ...

Sur les photos, le certificat que vous installez ne semble pas invalide - la racine du problème est .. eh .. c'était un jeu de mots stupide, désolé ^^


bien sûr .. mais comment?
Pure.Krome

Si vous cliquez sur l'onglet Chemin d'accès de certification que vous avez publié et sélectionnez le nœud racine dans l'arborescence (ou le nœud qui présente un problème), vous pouvez le voir à la place, puis l'installer ou autre
chose

Après avoir cliqué sur l'onglet Chemin de certification, le seul moyen que j'ai trouvé pour installer un certificat plus haut dans l'arborescence était de cliquer sur Copier dans un fichier ... puis d'installer ce fichier. Le certificat s'affichait correctement dans mon composant logiciel enfichable de certification, mais il n'a pas résolu le problème.
Dylan Meador,

1

Si vous avez créé le certificat vous-même, vous devez avoir l'autorité de certification installée sur votre serveur. Vous devez obtenir le certificat racine de votre autorité de certification, et installer que dans la certification racine de confiance magasin L' AUTORITÉ - pas le certificat qu'il a émis au serveur RDP.


1
  1. Cliquez sur "Afficher le certificat ..."
  2. Cliquez sur "Installer le certificat"
  3. Cliquez sur "Suivant" dans l'assistant d'importation
  4. Sélectionnez la case d'option "Placer tous les certificats dans le magasin suivant"
  5. Cliquez sur "Parcourir ..."
  6. Cochez la case "Afficher les magasins physiques"
  7. Développer les autorités de certification racine tierces
  8. Sélectionnez "Ordinateur local"
  9. Cliquez sur OK"
  10. Cliquez sur "Suivant", puis sur "Terminer" pour terminer l'assistant

1

Je n'ai pas pu obtenir le certificat à accepter en utilisant quoi que ce soit suggéré, mais vous pouvez ajuster la fonctionnalité de gestion des certificats dans les paramètres RDP afin qu'il ne soit pas nécessaire de démarrer une session RDP.

  1. Ouvrez l'instance RDP et cliquez sur les options
  2. Cliquez ensuite sur l'onglet avancé
  3. Sélectionnez "Se connecter et ne pas m'avertir" dans la section Authentification du serveur
  4. Ensuite, définissez simplement les autres détails comme normaux et appuyez sur connexion.

Cela arrêtera le blocage du certificat d'authentification.


C'est en fait une chose assez intelligente à faire :) Je pourrais juste essayer ça: P
Pure.Krome

1

Je viens de régler cela sur mon propre système, j'espère que c'est le même problème dont il a été question ici. Il semble que l'assistant d'importation de certificat que le bureau distant appelle ne stocke pas le certificat dans le magasin des autorités de certification racines de confiance même si l'assistant indique que l'importation a réussi.

Cela peut être vérifié en appelant mmc à partir du conseil et en ajoutant le composant logiciel enfichable de certification pour afficher le contenu du magasin des autorités de certification racine de confiance.

La solution de contournement consiste à enregistrer la certification (depuis l'hôte) dans un fichier, puis à importer sur votre client le fichier à l'aide de mmc dans le magasin des autorités de certification racine de confiance sur votre ordinateur client.

Je pense que cela peut être un bug introduit dans win 7 sp1 (ou une fonctionnalité ...)


cela s'est produit pour moi AVANT SP1 ... mais c'est assez intéressant. Je vais essayer :) Clarification: proposez-vous d'enregistrer le certificat (exporter le certificat) d'abord sur le serveur hôte? puis le copier du serveur hôte vers le client?
Pure.Krome

Cela devrait fonctionner, le problème semble être (au moins d'après ce que j'ai vu) l'assistant d'importation associé au côté client du terminal distant. J'ai également réussi à visualiser puis à enregistrer le certificat sur le disque lors de la première connexion à l'hôte côté client, puis à l'aide de mmc pour importer le certificat dans le magasin de certificats de confiance. La clé semble utiliser mmc pour importer plutôt que l'assistant
Don


0

Juste au-dessus du bouton Afficher le certificat , vous avez une coche indiquant Ne plus me demander de connexion à cet ordinateur . Vérifie ça.


Non - ce n'est pas exactement ce que je veux. Certes, on ne me pose pas cette question ennuyeuse ... mais en coulisses, le certificat n'est toujours pas approuvé (même si cela n'a pas vraiment d'importance).
Pure.Krome

-1

Je n'ai eu que de brèves et douloureuses expériences avec les certificats, mais ma suggestion serait d'essayer le magasin personnel au lieu des autorités de certification racines de confiance.


Je pensais que le Personal stocké était celui par défaut? On m'a toujours demandé d'accepter le certificat, même après l'avoir importé manuellement dans le magasin persone.
Pure.Krome
En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.