Continuando con esta serie de notas, en esta ocasión vamos a comenzar a mejorar la seguridad, y además tratar de solucionar las advertencias sobre la misma que hace el sistema.
En primer lugar vamos a implementar una Autoridad Certificadora (Certificate Authority) que nos provea los certificados digitales necesarios, y luego veremos el tema de la otra advertencia sobre aplicaciones no firmadas
Seguimos con la misma infraestructura de máquinas que dejamos en la Parte 2 de esta serie.
Vamos a instalar la Autoridad Certificadora en DC1 para emitir los certificados digitales necesarios, específicamente para “rdwa.root.guillermod.com.ar”
Procedemos de la manera habitual para agregar funcionalidades como se muestra en las siguientes capturas
La instalaremos en DC1, así que lo seleccionaremos
Cuando seleccionemos Active Directory Certificate Services, debemos agregar los componentes adicionales
Ya nos deja un enlace para que configuremos la Autoridad Certificadora
Así que procederemos según el asistente a la configuración de la misma
Crearemos una autoridad tipo “Enterprise”
Y de tipo “Root” (se autofirma su certificado digital)
En mi caso he personalizado el nombre de la Autoridad Certificadora, como quieran
Ahora en RDWA1, creamos una consola (MMC:EXE) donde cargamos el Snap-in (Complemento) Certificates de Computer.
Podemos observar en Personal/Certificates que la máquina ya tiene un certificado autofirmado.Vamos a eliminar este certificado autofirmado, para reemplazarlo por uno expedido por nuestra Autoridad Certificadora
Y solicitaremos un nuevo certificado pero esta vez a nuestra Autoridad Certificadora siguiendo el asistente
Seleccionamos un certificado de “Computer”. Si, ya sé, es el único 🙂
Y lo obtenemos
Podemos verificar que ahora el certificado está emitido por nuestra Autoridad Certificadora
Debemos hacer que el sitio web que está utilizando RDWA utilice este certificado, así que en RDWA abrimos Internet Information Services (IIS) Manager, y abrimos sobre la izquierda ahsta que llegamos a “Default Web Site”, entonces sobre la derecha elegimos “Bindings”
Elegimos la entrada correspondiente a “https” y el botón “Edit”
Seleccionamos el correspóndiente certificado digital
Y cerramos
Volvamos a DC1, e ingresemos nuevamente a RDWA
Si todo lo hicimos bien, ya no nos avisará que el certificado presentado por el servidor no es confiable
¡Perfecto! 🙂
Con lo hecho hasta ahora hemos solucionado el problema de la advertencia de certificado no confiable, pero aún nos queda pendiente el tema de la advertencia de seguridad según puede verse al tratar de ejecutar una aplicación
Nos está informando que el “publisher” de la aplicación que queremos ejecutar no puede ser identificado
¿Será posible que la calculadora de Windows sea una aplicación no firmada o reconocida? Pues sí, si miramos las propiedades de CALC.EXE, o inclusive de MSPAINT.EXE veremos que no están firmadas digitalmente 🙁
Bueno, vamos a probar con una aplicación que sí sé que está firmada digitalmente por Microsoft; desde el sitio de descargas de Microsoft descargo XMLNotepad y procedo a instalarlo, tanto en RDSH1 como en RDSH2 (no muestro la instalación porque es sumamente básica)
Y vamos a publicar el XMLNotepad
La busco
Para que no queden dudas, muestro que está firmada por Microsoft
Y la selecciono
Ahora nos vamos a DC1, nos conectamos a RDWA y …
:-S ¿Y esto? :-S
Hay que buscar e investigar el tema, un buen buscador y encuentro el siguiente enlace: Respuesta Oficial (Un poco vieja pero…)
O si prefieren verla acá
Seguí buscando y encontré algunos enlaces que explican con más detalle el tema, o alguna “solución no recomendable”, se los dejo para que si desean investiguen más el tema.
Personalmente, por ahora, creo que lo mejor es aceptar la advertencia de seguridad, y hacer la conexión
http://blogs.technet.com/b/askperf/archive/2008/10/31/unknown-publisher-part-two.aspx
Seguiremos adelante con el resto de los componentes en la nota siguiente. Estoy pensando en el tema de Remote Desktop Licensing
