RDS – Certificaten

Om de Remote Desktop Service aan te kunnen bieden aan gebruikers die niet ‘on-premise’ zijn, dient een RD-Gateway ingericht te worden. De gateway moet voorzien worden van een certificaat, dit kan een self-signed certificate zijn of een certificaat aangeschaft. Gratis certificaten kunnen aangemaakt worden bij o.a. CACert.org.We gaan een certificaat request uitvoeren op de server waarop de Certificate Autority rol is ge├»nstalleerd. Start (via Win + R) mmc.exe en voeg de Certificaat module toe voor de Computer. Klik nu op ‘Action’ en kies voor ‘All tasks’ -> ‘Advanced options’ -> Create custom Request’

ca00

Een melding verschijnt met voorwaarden, klik op Next…

gw02De Enrollment Policy scherm blijft ook standaard, dus Next…
gw03Als Template gebruiken we de ‘Workstation Authentication‘, Next…
gw04In het volgende scherm moeten we naar de eigenschappen van het certificaat, hier kom je door op ‘Details‘ te klikken en vervolgens op ‘Properties
gw05Als ‘Common Name‘ dient de FQDN naam ingevuld te worden waarmee de server bereikt gaat worden vanaf Internet. Zorg er dus voor dat dit record bekend is in de DNS-server van het externe domain. In dit geval gebruiken we ‘rds.digitalinfo.nl’
gw06Selecteer nu het tabblad ‘Private Key‘ en open de ‘Key options‘. Selecteer de optie ‘Make private key exportable‘, vervolgens OK…
gw07De request-file wordt opgeslagen en de wizard is gereed. Finish…
gw08aDe inhoud van het request ziet er (ongeveer) zo uit:
ca01En deze tekst hebben we nodig om een certificaat aan te vragen bij CACert.org
Log in op deze site (maak een account) en registreer de domain waarvoor het certificaat aangevraagd moet gaan worden. Als dat eenmaal geregeld is, kan een server-certificaat gemaakt worden.
ca02Na inloggen kan een server-certificaat gemaakt worden.
ca03Plak dan de inhoud van het request bestand in de aanvraag:
ca04Na versturen verschijnt het certificaat in beeld en deze wordt ook nog een per mail gestuurd. Kopieer de gehele inhoud van het certificaat naar een bestand, bv. domeinnaam.cer

Dit certificaat gaan we dan op de server importeren. Start de MMC met de Certificaat module, ga naar Persoonlijk -> Certificaten en met de rechtermuisknop kan de actie ‘Import…‘ gekozen worden.
ca05a
ca06Kies het bestand waarin het certificaat is opgeslagen.
ca07en sla deze op in de Persoonlijke Certificaten.
ca08

Dubbelklik nu op het certificaat en zoek het serienummer op in de Details tab. Start nu een Command Prompt (met administrator rechten) en geef het volgende commando:

certutil -repairstore my "SerialNumber"

waarbij het serialnumber het nummer is dat zojuist gevonden is. (zonder spaties) Ververs hierna de Certificates pagina.(refresh)

Klik nu met de rechtermuisknop op het certificaat en kies voor All tasks->Export

ca10
ca11Kies ervoor om de Private Key ook te exporteren
.
ca12en maak dan een .pfx bestand*
ca13Geef een wachtwoord op
ca14en bewaar het bestand als een .pfx
ca15Dit .pfx bestand gaan we later gebruiken in de RD Gateway als certificaat voor de RDS.

Indien het exporteren naar een .pfx bestand is uitgeschakeld (indien er geen key bestand is) dan kan dit hersteld worden met een commando. Hier voor is echter het serienummer van het certificaat nodig. Zoek deze op in de details van het certificaat:

serial

Het commando is dan:

certutil -repairstore my [serienummer], dus met bovenstaand serienummer wordt dat:

certutil -repairstore my 117583

Hierna lukt het waarschijnlijk wel om een PFX-bestand te kiezen als export. Eventueel de MMS opnieuw starten.