kb:web:remoteapps_self_signed_sertifikat

Differences

This shows you the differences between two versions of the page.

Link to this comparison view

Both sides previous revision Previous revision
Next revision		 Previous revision
kb:web:remoteapps_self_signed_sertifikat [2016/02/14 15:54] milanokb:web:remoteapps_self_signed_sertifikat [2020/03/12 05:35] (current) – [Openssl] milano
Line 3: Line 3:
 ===== RD Gateway, IIS ===== ===== RD Gateway, IIS =====
  
-Oba server RD GW, IIS imaju mogućnost automatske izrade self-signed sertifikata+Oba server RD GW, IIS imaju veoma ograničenu mogućnost automatske izrade self-signed sertifikata. Ograničenje se odnosi na max. period trajanja sertifikata koji je u slučaju RD GW samo 6 meseci, dok IIS, uz pomoć CA Authority servisa, može da generiše sertifikat u trajanju od godinu dana. Niže je naveden postupak izrade takvog sertifikata. Ovo nije najsrećnije rešenje, savet je da se koristi **Openssl** program opisan niže.
  
 ===== MakeCert ===== ===== MakeCert =====
Line 12: Line 12:
 Alat koji može da napravi potpun sertifikat proizvoljne dužine trajanja (više desetina godina) je Linuxov **Openssl**. Alat koji može da napravi potpun sertifikat proizvoljne dužine trajanja (više desetina godina) je Linuxov **Openssl**.
  
-Komanda za izradu sertifikata koji odgovara RemoteApps serverima je:+Komanda za izradu sertifikata koji (bi trebalo da) odgovara RemoteApps serverima je:
  
 +[12.03.2020 Milano]  Bolje je koristiti **Windows 10 način**, sertifikat dobijen iz Linuxa umeda pravi problem sa nekim od potrebnih servisa za RemoteApp.
 <code> <code>
 openssl req -x509 -config extended.conf -extensions v3_ca -nodes -sha512 -days 3650 -newkey rsa:4096 -keyout sertifikat.key -out sertifikat.crt openssl req -x509 -config extended.conf -extensions v3_ca -nodes -sha512 -days 3650 -newkey rsa:4096 -keyout sertifikat.key -out sertifikat.crt
Line 25: Line 26:
 **sertifikat.crt** - fajl u kome će se sačuvati kompajlirani sertifikat u **crt** formatu. **sertifikat.crt** - fajl u kome će se sačuvati kompajlirani sertifikat u **crt** formatu.
  
-Kako **crt** format u Windows nije mnogo primenjiv, potrebno je konvertovati dobijent fajl u **pfx** format. To se postiže sledećom komandom: +Kako **crt** format u Windows nije mnogo primenjiv, potrebno je konvertovati dobijent fajl u **pfx** format. To se postiže sledećom komandom:<code>
-<code>+
 openssl pkcs12 -export -out sertifikat.pfx -inkey sertifikat.key -in sertifikat.crt openssl pkcs12 -export -out sertifikat.pfx -inkey sertifikat.key -in sertifikat.crt
 </code> </code>
Line 33: Line 33:
  
 **sertifikat.pfx** - naziv pfx fajla u koji će sertifikat biti konvertovan. **sertifikat.pfx** - naziv pfx fajla u koji će sertifikat biti konvertovan.
 +
 +
 +==== Windows 10 ====
 +
 +Najbolji način da se napravi **Windows RemoteApp kompatibilan sertifikat** jeste upotreba PowerShell-a u Windows 10. Verzija je važna pošto veći deo opcija u prethodnim verzijama PS-a nije podržana.
 +
 +Ako imamo W10 dovoljno je pokrenuti PS komandu
 +
 +<code>
 +New-SelfSignedCertificate -Type Custom -Subject "CN=rap.leburickomerc.com" -KeyUsage DataEncipherment, KeyEncipherment, DigitalSignature -TextExtension @("2.5.29.37={text}1.3.6.1.5.5.7.3.2,1.3.6.1.5.5.7.3.1") -CertStoreLocation "Cert:\CurrentUser\My" -NotBefore '2020-03-11' -NotAfter '2023-03-11'
 +</code>
  
 ====== Upotreba self-signed sertifikata za Https pristup ====== ====== Upotreba self-signed sertifikata za Https pristup ======
Line 94: Line 105:
 Jedan od težih kamenova spoticanja je upornost sistema da **RDP** prečicama dodeljuje **lokalne ** putanje za pristup servisu (npr. umesto **moj.domen.rs** dobija se adresa **ime.računara.local**) što ih čini nedostupnim van LAN-a. Jedan od težih kamenova spoticanja je upornost sistema da **RDP** prečicama dodeljuje **lokalne ** putanje za pristup servisu (npr. umesto **moj.domen.rs** dobija se adresa **ime.računara.local**) što ih čini nedostupnim van LAN-a.
  
-Glupost ide dotle da nema načina da se u **RD Web Access** serveru ovo jednostavno promeni+**RD Web Access** serveru ovo jednostavno promeni jer je **predviđeno rešenje** upotreba **RD Gateway** serveraNažalost to radi samo ako su **RDP klijenti verzije 8.0** ili noviji.
- +
-Umesto toga potrebno je pokrenuti skriptu u **power shell** prozoru koja ovo omogućavaSkripta se može skinuti [[https://gallery.technet.microsoft.com/Change-published-FQDN-for-2a029b80|odavde]], a uputstvo za dozvolu pokretanja (ako je zabranjeno pokretati skripte, što je podrazumevana postavka Windows 2012) se nalazi [[https://technet.microsoft.com/library/hh847748.aspx|ovde]].+
  
-**Pravo rešenje** ipak predstavlja upotreba **RD Gateway** serveraali samo ako su svi **RDP klijenti verzije 8.0** ili noviji.+Alternativno, moguće je pokrenuti skriptu u **power shell** prozoru koja ovo omogućava. Skripta se može skinuti [[https://gallery.technet.microsoft.com/Change-published-FQDN-for-2a029b80|odavde]]a uputstvo za dozvolu pokretanja (ako je zabranjeno pokretati skripte, što je podrazumevana postavka Windows 2012) se nalazi [[https://technet.microsoft.com/library/hh847748.aspx|ovde]].
  
  • kb/web/remoteapps_self_signed_sertifikat.1455465241.txt.gz
  • Last modified: 2016/02/14 15:54
  • by milano