উইন্ডোজ 10 এর সাথে রিমোট ডেস্কটপ (আরডিপি) সংযোগের জন্য কীভাবে একটি যাচাই করা সার্ভার শংসাপত্র সরবরাহ করবেন

আমাদের অফিসে একটি উইন্ডোজ 10 প্রো মেশিন রয়েছে যা আগত দূরবর্তী ডেস্কটপ সংযোগগুলির জন্য একটি "ইন্টারনেট" খোলা পোর্ট রয়েছে (একটি 'হোস্ট')। এটি জটিল পাসওয়ার্ড এবং অনুমতিপ্রাপ্ত প্রচেষ্টার সীমিত সংখ্যার দ্বারা কেবল সুরক্ষিত এবং কেবলমাত্র টিএলএস 1.1 বা তার বেশি, তবে এটি কোনও বাহ্যিক-যাচাই করা SSL শংসাপত্র উপস্থাপন করে না, কেবলমাত্র স্ব-উত্পন্ন স্ব-স্বাক্ষরিত একটি যা দূরবর্তী ডেস্কটপ পরিষেবাদি সরবরাহ করে এবং এটি আমাদের দুটি সমস্যা দেয়:

1. দূর থেকে সংযোগ করার সময় আমরা পুরোপুরি আত্মবিশ্বাসী হতে পারি না আমরা সত্যিই এই মেশিনে সংযোগ করছি এবং কিছু ছিনতাই হওয়া সংযোগ নয়।
2. আমাদের সাইট পিসিআই-ডিএসএস 3.1 সম্মতি চেক ব্যর্থ করে (প্রয়োজনীয় কারণ আমরা সেখানে একটি পয়েন্ট-অফ-বিক্রয় ডেবিট / ক্রেডিট কার্ড মেশিন ব্যবহার করি যা ইন্টারনেটের মাধ্যমে সংযোগ করে)। চেকটি এই ইন্টারনেট-মুখী দূরবর্তী ডেস্কটপ পোর্টে মারাত্মক ত্রুটির প্রতিবেদন করে: 'এসএসএল স্ব-স্বাক্ষরিত শংসাপত্র' এবং 'ভুল হোস্টনামের সাথে এসএসএল শংসাপত্র'।

রিমোট ডেস্কটপ যাচাইয়ের জন্য একটি সঠিক এসএসএল শংসাপত্র উপস্থাপনের জন্য সার্ভার / হোস্ট হিসাবে অভিনয় করা একটি উইন্ডোজ 10 প্রো (বা উইন্ডোজ 7/8 / 8.1 প্রো) মেশিনটি কীভাবে পাব?

আপনি এই হোস্ট মেশিনটি আপনার (বিদ্যমান, কেনা) বাহ্যিকভাবে যাচাইকৃত এসএসএল শংসাপত্রটি ব্যবহার এবং উপস্থাপনের জন্য সেট করতে পারেন (নির্দেশাবলী সম্ভবত উইন্ডোজ 8 এবং 8.1 এর জন্যও কাজ করে, উইন্ডোজ 7 এর জন্য কাজ করতে পারে বা নাও করতে পারে) ( মাইক্রোসফ্টের উপর ভিত্তি করে এর অংশগুলি কেবি 2001849 ):

প্রথমত, আপনার একটি খাঁটি যাচাই করা এসএসএল শংসাপত্র কেনা উচিত।

আপনার যদি pkcs12 ফর্ম্যাট ফাইলটিতে এই শংসাপত্র থাকে (যেমন পিএফএক্স এক্সটেনশান) আপনি লিনাক্স বা সাইগউইন ব্যবহার করে SHA1 ফিঙ্গারপ্রিন্টটি দেখতে পারেন (আপনার নীচে এটির প্রয়োজন হবে):

openssl pkcs12 -in mysite.pfx -nodes|openssl x509 -noout -fingerprint

বিকল্প হিসাবে যদি আপনার লিনাক্স সার্ভারে / etc / ssl (/etc/ssl/certs/mysite.crt, /etc/ssl/mysite.ca-bundle এবং /etc/ssl/private/mysite.key এ স্বতন্ত্র শংসাপত্র ফাইল থাকে) ) আপনি পিএফএক্স ফাইল তৈরি করতে পারেন এবং এইভাবে SHA1 ফিঙ্গারপ্রিন্ট পেতে পারেন:

1. আপনার শংসাপত্রের জন্য পিএফএক্স ফাইল তৈরি করুন, যদি আপনার কাছে ইতিমধ্যে একটি না থাকে (এখানে: mysite.pfx) - অনুরোধ করার সময় একটি ভাল পাসওয়ার্ড সেট করুন:

   sudo openssl pkcs12  -export -out mysite.pfx -inkey /etc/ssl/private/mysite.pem -in /etc/ssl/certs/mysite.crt -certfile /etc/ssl/mysite.ca-bundle
   

2. প্রয়োজনীয় হিসাবে এই পিএফএক্স ফাইলটি সরান বা অনুলিপি করুন যাতে এটি আপনার উইন্ডোজ হোস্ট মেশিন দ্বারা অ্যাক্সেসযোগ্য হয়।

3. কীটির SHA1 ফিঙ্গারপ্রিন্ট দেখুন (আপনার নীচে এটি প্রয়োজন হবে):

openssl x509 -in /etc/ssl/certs/mysite.crt -noout -fingerprint

উইন্ডোজ হোস্ট মেশিনের ব্যক্তিগত শংসাপত্রের দোকানে pkcs12 ফর্ম্যাট (যেমন পিএফএক্স) ফাইলটি আমদানি করুন:

1. শুরু> রান> মিমি
2. ফাইল> স্ন্যাপ-ইন সরান যুক্ত করুন> শংসাপত্রগুলি> অ্যাড> কম্পিউটার অ্যাকাউন্ট> স্থানীয় কম্পিউটার> ওকে
3. বাম-হাতের উইন্ডোতে শংসাপত্রগুলি (স্থানীয় কম্পিউটার) ব্যক্তিগত উপর ডান ক্লিক করুন, সমস্ত কার্য / আমদানি চয়ন করুন ...
4. পিএফএক্স ফাইলটি সন্ধান করুন এবং এটি আমদানি করুন, আমি পরামর্শ দিচ্ছি যে সুরক্ষার কারণে আপনি এটিকে রফতানিযোগ্য করবেন না।
5. আপনার ব্যক্তিগত / শংসাপত্রগুলি প্রসারণ করা আপনার এখন 3 টি শংসাপত্র দেখতে হবে, যার মধ্যে একটি হ'ল আপনার সাইটের শংসাপত্র (যেমন: mysite.com)। এই সাইটের শংসাপত্রটিতে ডান ক্লিক করুন এবং ডান-ক্লিক করুন, সমস্ত কার্য চয়ন করুন / ব্যক্তিগত কীগুলি পরিচালনা করুন…
6. কেবল 'পড়ার অনুমতি (সম্পূর্ণ নিয়ন্ত্রণ নয়) দিয়ে ব্যবহারকারী' নেটওয়র্ক সার্ভিস 'যুক্ত করুন, তারপরে আবেদন করুন
7. বন্ধ

এসএসএল সার্টিফিকেট এসএইচ 1 হ্যাশ নামে একটি নতুন বাইনারি মান যুক্ত করতে রিজেডিট ব্যবহার করুন HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp। এটির যে মানটি প্রয়োজন তা হ'ল উপরের প্রাপ্ত শংসাপত্রের SHA1 ফিঙ্গারপ্রিন্ট: নতুন মানটিতে ডান ক্লিক করুন, পরিবর্তন নির্বাচন করুন এবং তারপরে ধারাবাহিকভাবে হেক্স কোড টাইপ করুন (কলোন বা স্পেস বা কমা ছাড়াই অক্ষর অক্ষরগুলি সংবেদনশীল নয়) - রয়েছে সব মিলিয়ে 20 টি হেক্স জোড়া (40 টি অক্ষর)।

আপনার হোস্ট মেশিনটি পুনরায় বুট করতে হবে বা এটি কাজ করার আগে রিমোট ডেস্কটপ পরিষেবাগুলি (Services.msc থেকে) পুনরায় চালু করতে হবে।

এখন, এই হোস্টের সাথে সঠিক সাইটের নাম (যেমন mysite.com) ব্যবহার করে একটি রিমোট ডেস্কটপ সংযোগ তৈরি করার পরে উপরের সংযোগ বারের বাম দিকে একটি লক প্যাডলকটি দেখতে হবে: এটিতে ক্লিক করা দূরবর্তীটির পরিচয় দেখায় কম্পিউটার যাচাই করা হয়েছিল। ইন্টারনেট থেকে এই হোস্টের জন্য খোলা একটি পোর্টের এখন পিসিআই-ডিএসএস 3.1 হোস্টনাম পরীক্ষা করা উচিত।

আমি ব্যবহার করি এমন বেসিক পদক্ষেপগুলি এখানে:

হোস্টের জন্য একটি বৈধ শংসাপত্র পান (এটি কোনও বাহ্যিক CA থেকে আসতে হবে না, তবে আপনার সমস্ত মেশিনই এটি বিশ্বাস করতে হবে)। এটির সঠিক হোস্টনাম রয়েছে কিনা তা নিশ্চিত করুন, ওয়াইল্ডকার্ড শংসাপত্র নিয়ে আমার সমস্যা ছিল।

হোস্টে শংসাপত্র ইনস্টল করুন, যেমন:

certutil.exe -p myPassword -importPFX c:\mycert.pfx noExport

ইউআই বা পাওয়ারশেলের মধ্যে শংসাপত্রের থাম্বপ্রিন্টটি সন্ধান করুন:

$tp = (ls Cert:\LocalMachine\my | WHERE {$_.Subject -match "something unique in your certs subject field" } | Select -First 1).Thumbprint

এই শংসাপত্রটি ব্যবহার করতে এখন দূরবর্তী ডেস্কটপকে বলুন:

& wmic /namespace:\\root\CIMV2\TerminalServices PATH Win32_TSGeneralSetting Set SSLCertificateSHA1Hash="$tp" 

কোন রিবুট প্রয়োজন

আমার যা নিশ্চিতভাবে ঘটবে 2 প্রয়োজন ফাইলগুলির সাথে আসে, domain.crt& domain.ca-bundle& তারপর আমি আমার আছে domain.keyঅনুরোধ উৎপাদিত থেকে।

শংসাপত্রগুলি একত্রিত করার জন্য এবং হোস্টটি সেটআপ করার জন্য ফিঙ্গারপ্রিন্ট এবং উইন্ডোজ সিএমডি উত্পন্ন করার জন্য আমি লিনাক্স ভিএম ব্যবহার করে এটি সেট আপ করেছি। এটি সেটআপের সম্পূর্ণ স্ক্রিপ্টিংকে অনুমতি দেয়।

আমার এবং @ গোগৌড উত্তরের মধ্যে সবচেয়ে বড় পার্থক্যগুলি হ'ল:

• আমি রেজিস্ট্রি সম্পাদনা করি না আমি চেষ্টা করেছিলাম এবং এটি কার্যকর হয়নি, আমি wmic /namespace:সিএমডি প্রম্পটের মাধ্যমে ব্যবহার করি ।
• আমি লিনাক্স ভিএম-এ "ফিঙ্গারপ্রিন্ট" লাইনটি থাম্বপ্রিন্টের সমস্ত অপ্রয়োজনীয় অংশগুলি কেটে ফেলার জন্য এবং উইন্ডোজ যে বিন্যাসে চাইবে সে ফর্ম্যাটে রেখেছি tail (IE: কোনও কলোন নেই, কোনও শব্দ নেই, কেবল ফিঙ্গারপ্রিন্ট ডাব্লু / লোয়ার কেস লেটার)।
• NETWORK SERVICEঅনুমতিগুলি যুক্ত করার জন্য আমি স্ক্রিপ্টও করেছি ।

এতে কাজ করার জন্য একটি ডিরেক্টরি তৈরি করুন এবং এতে 3 টি ফাইল সরান:

domain.ca-bundle  domain.crt  domain.key 

পিএফএক্স ফর্ম্যাট কী তৈরি করুন:

sudo openssl pkcs12  -export -out domain.pfx -inkey *.key -in *.crt -certfile *.ca-bundle

এসএসএল সার্টিফিকেট এসএ 1 হ্যাশ / আঙুলের ছাপ টিএক্সটি ফাইলে রফতানি করুন:

sudo openssl x509 -in *.crt -noout -fingerprint | sed -e 's/SHA1 Fingerprint=//g' | sed -e 's/://g' | tr '[:upper:]' '[:lower:]' > SSLCertificateSHA1Hash.txt

উইন্ডোতে সার্ট আমদানি করুন (ওপেন এলভেটেড সিএমডি প্রম্পট):

• এটি "-p মাইপ্যাসওয়ার্ড" স্যুইচ এর মাধ্যমে আরও স্ক্রিপ্ট করা যায়

  certutil.exe -importpfx C:\domain.pfx
  

সিএমডি (এলিভেটেড সিএমডি প্রম্পট) এর মাধ্যমে আরডিপি-টিসিপিতে এসএসএল সার্টিফিটএসএইচ 1 হ্যাশ যুক্ত করুন:

set /p FingerPrint=<C:\SSLCertificateSHA1Hash.txt
wmic /namespace:\\root\CIMV2\TerminalServices PATH Win32_TSGeneralSetting Set SSLCertificateSHA1Hash="%FingerPrint%"

আপনাকে এখন "নেটওয়ার্ক পরিষেবা" ডাব্লু / "কেবল পঠন করুন" অনুমতিগুলি যুক্ত করতে হবে:

icacls.exe "C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys\*" /grant "NETWORK SERVICE":R

হোস্ট পুনরায় বুট করুন:

 shutdown /r /t 5