bg-tutorials

Cum să instalați un certificat SSL ACME pe protocolul Remote Desktop

Instalarea SSL pe RDP obișnuia să fie un proces manual, dar cu suportul protocolului ACME și instrumente precum Win-ACME, este acum posibil să se automatizeze emiterea și reînnoirea certificatelor – chiar și pentru CA comerciale precum Sectigo și DigiCert care suportă ACME + External Account Binding (EAB).

Instalarea ACME SSL pe RDP

În acest ghid pas cu pas, veți afla cum să instalați un certificat SSL ACME pe Remote Desktop Protocol (RDP) care rulează pe Windows Server. Această configurare funcționează excelent pentru mediile care necesită un certificat SSL public pe RDP fără a se baza pe PKI internă sau pe reînnoiri manuale.

Notă: Acest ghid arată cum să instalați un certificat ACME pe protocolul Remote Desktop pentru a vă securiza serverul. Deși mulți oameni se referă la aplicația client ca Remote Desktop Connection, este RDP – protocolul care are nevoie de fapt de certificatul SSL. Pentru mediile mai mari care utilizează Remote Desktop Services (RDS), pașii sunt aceiași.


Înainte de a începe

Iată de ce aveți nevoie pentru a începe:

  • Acces de administrator la serverul Windows (prin RDP sau autentificare fizică)
  • Domeniul pe care îl veți securiza trebuie să indice acest server (DNS trebuie să se rezolve corect)
  • Portul 80 trebuie să fie deschis și accesibil de pe internet (pentru validarea HTTP-01 ACME)
  • Trebuie să aveți următoarele acreditări ACME de la CA:
    • URL director ACME
    • ID cheie pentru legarea contului extern (EAB)
    • Cheie EAB HMAC

Acest ghid presupune că utilizați o AC comercială care acceptă ACME + EAB (precum Sectigo sau DigiCert). Să începem.


Pasul 1: Descărcați și configurați Win-ACME

Mai întâi, să instalăm instrumentul care automatizează emiterea și instalarea certificatelor.

  1. Accesați site-ul oficial Win-ACME: https://www.win-acme.com/
  2. Descărcați cea mai recentă versiune .zip stabilă.
  3. Extrageți-l într-un dosar permanent, de exemplu, C:\Program Files\win-acme\
  4. Open a PowerShell window as Administrator and run this command to test the install:
    & "C:\Program Files\win-acme\wacs.exe"
  5. Dacă consola Win-ACME se deschide cu opțiuni de meniu, sunteți gata de plecare. Dacă nu, verificați dacă calea folderului este corectă și dacă PowerShell are permisiunile de script activate.

Pasul 2: Solicitați și instalați certificatul SSL pentru RDP

Acum, să generăm certificatul SSL utilizând ACME și să îl legăm automat la serviciul RDP. Lipiți și personalizați această comandă în PowerShell:

& "C:\Program Files\win-acme\wacs.exe" `
--target manual `
--host "rdp.yourdomain.com" `
--validation selfhosting `
--store certificatestore `
--installation rdp `
--baseuri "https://your.acme-server.com/directory" `
--eab-key-identifier "YOUR_EAB_KID" `
--eab-key "YOUR_EAB_HMAC_KEY" `
--accepttos

Ce face acest lucru:

  • Îi spune lui Win-ACME să solicite un certificat pentru rdp.yourdomain.com
  • Efectuează validarea domeniului utilizând serverul web temporar încorporat
  • Stochează certificatul în magazinul de certificate Windows
  • Leagă automat certificatul la RDP

Important: Asigurați-vă că portul 80 nu este blocat de un firewall sau utilizat deja de un alt serviciu, cum ar fi IIS.


Pasul 3: Testarea conexiunii RDP prin HTTPS

Odată ce Win-ACME finalizează procesul, certificatul dvs. este instalat și legat la RDP. Este timpul să îl testați.

  1. Deschideți Remote Desktop Connection (mstsc.exe).
  2. Introduceți numele dvs. de gazdă (de exemplu, rdp.yourdomain.com)
  3. Conectați-vă și verificați certificatul – acesta nu ar trebui să mai afișeze un avertisment cu privire la un certificat neîncrezător sau expirat.

Pasul 4: Configurarea reînnoirii automate

În mod implicit, Win-ACME creează o sarcină programată în Windows Task Scheduler pentru a reînnoi certificatul înainte ca acesta să expire.

Pentru a lista toate configurațiile de reînnoire, executați:

& "C:\Program Files\win-acme\wacs.exe" --list --baseuri "https://your.acme-server.com/directory"

Asigurați-vă că acestea corespund bazei și domeniului corecte. Dacă nu se afișează nimic, este posibil să utilizați un URL de director greșit.


Întrebări frecvente

Iată câteva dintre cele mai frecvente întrebări adresate de utilizatori atunci când setează un certificat ACME pentru Remote Desktop. De la depanare la clarificări privind plugin-urile și automatizarea, vă acoperim:

Trebuie să deschid portul 443?

Nu, numai portul 80 (HTTP) este necesar în timpul validării domeniului prin intermediul provocării HTTP-01. RDP utilizează portul 3389 după aplicarea certificatului.

Va funcționa acest lucru pe Windows Server Core?

Da, atâta timp cât PowerShell și Win-ACME sunt disponibile. Plugin-ul rdp nu necesită o interfață grafică.

Am nevoie de IIS pentru ca acest lucru să funcționeze?

Nu. Win-ACME poate rula independent și utilizează propriul său server web încorporat pentru validare.

Ce se întâmplă dacă consola Win-ACME nu se deschide?

Asigurați-vă că PowerShell este rulat ca administrator și verificați dacă indicați locația corectă wacs.exe. Re-extrageți ZIP-ul dacă acesta a fost blocat sau corupt în timpul descărcării


Cuvinte finale

Tocmai ați învățat cum să instalați un certificat SSL ACME pe Remote Desktop Protocol utilizând Win-ACME. Cu configurare HTTPS sigură, reînnoire automată și suport complet pentru autoritățile de certificare comerciale, mediul dumneavoastră Remote Desktop este acum protejat cu un efort manual minim.

Economisește 10% la certificatele SSL în momentul plasării comenzii!

Eliberare rapidă, criptare puternică, încredere în browser de 99,99%, suport dedicat și garanție de returnare a banilor în 25 de zile. Codul cuponului: SAVE10

A detailed image of a dragon in flight

Autor cu experiență, specializat în certificate SSL. Transformă subiectele complexe despre securitatea cibernetică în conținut clar și captivant. Contribuie la îmbunătățirea securității digite prin narațiuni cu impact.