Windows Server - RDS'te Sertifika Sorunlarının Çözümü #2

Merhaba. 

RDS serimizin 2. konusunda sunucu hizmetlerinden yararlanırken karşımıza çıkan sertifika sorunlarının çözümüne değineceğim. 

Öncelikle DC sistemime ADCS kurulumu gerçekleştirdim.  RDS için sadece Certification Authority servisinin yüklenmesi yeterli olacaktır. 

ADCS kurulumu için aşağıdaki videoyu izlemenizi öneririm.

Connection Broker ve Web Access İçin Sertifika Edinme

Session Host'uma erişip IIS konsolunu çalıştırıp Server Certificates ayarlarını açıyorum. Bu ekrandan Create Domain Certificate'e tıklayıp ilerliyorum.

Sertifikayı edindikten sonra üzerine sağ tıklayıp Export ediyorum. 

Daha sonra edindiğimiz bu sertifikayı RDS servislerine tanımlamak için Server Manager > RDS > Deployment Overview ekranından Edit Deployment Properties'a tıklıyorum. 

Sol taraftan Certificates kısmına tıklayıp Export ettiğim sertifika dosyasını RDS rol servislerinin her biri için ayrı ayrı Import ediyorum. 

Artık RDS hizmetlerine erişirken sertifika hatalarıyla karşılaşmayacaksınız. 

Çoğu durumda yukarıdaki aşama sorunlarınızın çözümü için yeterli olacaktır. Eğer Session Host makineleriniz için özel sertifikalar edinmeniz gerekirse aşağıdaki adımları uygulamanız gerekecek. 

Session Host İçin Sertifika Edinme:

Sertifika hizmetlerini DC makineme kurduğumdan dolayı bu makine üzerinde Certification Authority'e erişip Certification Templates'e sağ tıklayıp gelen seçenekler arasından Manage'a tıklıyorum. 

Template'ler arasından Computer isimli sertifika template'ini bulup duplicate ediyorum. 

General sekmesinden yeni oluşturacağım template için isim belirliyorum. Ben RemoteDesktopComputer ismini kullanacağım. (Bu ismi not ediyorum. GPO kullanarak bu template'i ortama yayınlamam gerekcek.)

Daha sonra Extensions tab'ına erişip Application Policies'ten Edit butonuna tıklıyorum. Karşıma gelen ekrandan New'e tıklayıp Remote Desktop Authentication adında yeni bir poliçe oluşturuyorum.  OID kısmına 1.3.6.1.4.1.311.54.1.2 tanımlamasını yapıyorum. 

Bu sertifika template'i ile sadece Remote Desktop Authentication isimli poliçenin uygulanmasını sağlayacağım. Bu yüzden diğer poliçeleri bu template'den çıkarıyorum. Security tab'ından Domain Controllers için bu template'in Enroll edilebilir olduğunu kontrol etmenizde fayda var. Son olarak OK'a tıklayıp yaptığım değişiklikleri onaylıyorum. 

Konsolda sol tarafta yer alan Certificate Templates'e sağ tıklayıp New > Certificate Template to Issue'a tıklıyorum. RemoteDesktopComputer'ı seçip bu template kullanılarak sertifika üretilmesini sağlıyorum. 

Artık sertifika template'imiz kullanılarak sertifika üretilebilir. Şimdi bu template'i GPO kullanarak ortama yayınlayacağım. SH1'in içerisinde bulunduğu OU içerisinde yeni bir GPO oluşturarak devam edebilirsiniz. Oluşturduğunuz poliçede "Computer Configuration>Policies>Administrative Templates>Windows Components>Remote Desktop Services>Remote Desktop Session Host>Security" kısmına kadar ilerleyip Certificate Template Name kısmına RemoteDesktopComputer yazıp ilgili ayarı Enabled durumuna getiriyorum. 

Require use of specific security layer for remote connections ayarını enabled duruma getirip security layer option'ını SSL olarak belirliyorum. 

SH1 makinem, kendisi için ilgili sertifika template'ini kullanarak otomatik olarak sertifika edinecektir.