Continuando con la serie de notas sobre Remote Desktop / Escritorio Remoto veremos en esta nota cómo habilitar la autenticación mediante certificados digitales de las conexiones RDP.
Para este fin deberemos instalar y configurar una Autoridad Certificadora (Certificate Authority) que usaremos para otorgar certificados digitales a las máquinas.
Estos certificados, los aprovecharemos en las futuras demostraciones, por ejemplo para Remote Desktop Web Access y Remote Desktop Gateway entre otras.
Para esto deberemos crear y configurar una Autoridad Certificadora de tipo Enterprise que utilizaremos para otorgar certificados digitales a todas las máquinas del Dominio.
Utilizaremos el procedimiento descripto en Demostración Obtención Automática de Certificados Digitales de Usuario y Máquina en Ambiente de Prueba
El procedimiento es igual al descripto en la nota anterior, sólo que para este caso solamente necesitaremos certificados de máquina, y no de usuario; y automatizaremos la asignación de certificados digitales a través de una GPO enlazada a nivel de Dominio.
Por supuesto deberemos adaptar los nombres y direcciones IP a este escenario 😉
IMPORTANTE:
Esta modificación la he hecho y descubierto recién hoy cuando estaba escribiendo la parte 10 de la serie, y me ha dado bastante trabajo investigar el problema y resolverlo.
Aunque no se pueda creer: TMG-2010 NO SOPORTA CERTIFICADOS v3
Por lo tanto cuando creemos la plantilla para los certificados de máquina deberemos indicar que son para Windows 2003
Luego de instalar, configurar y enlazar la GPO que asigna los certificados a las máquinas, para evitar inconvenientes más adelante, verifiquemos que en todos los equipos esté instalado su correspondiente certificado digital.
¿Recuerdan? MMC / Certificates (Local Computer) / Personal / Certificates
Una vez hecho lo anterior, vamos a RD1 y abrimos Remote Desktop Session Host Configuration, con botón derecho sobre RDP-Tcp elegimos Propiedades y en la ficha general con el botón Select elegimos el certificados que obtuvo el equipo, y marcamos la opción para que sólo permita conexiones desde clientes que usen Network Level Authentication
Luego vamos a CL1 y en las propiedades de la conexión seleccionamos que exigiremos autenticación del servidor
Si nos conectamos desde CL1 por RDP a RD1.GuillermoD.local podremos observar que además de por Kerberos, el servidor fue autenticado por certificado digital. Y además el servidor autenticó al usuario antes de crear la sesión
En la próxima nota veremos Remote Desktop Web Access, que aunque su nombre parece indicar que es para acceso a través de Internet, no es así 😉
