Certifikat pro RDP

Vygenerovat zadost

• vygenerovat konfigurak pro openssl https://tcs.cesnet.cz/rcf/
• stahnout a spustit openssl req -new -keyout serverkey.pem -out serverreq.pem -config odin.cfg kde odin.cfg je ten vygenerovany konfigurak, zadat heslo, ktere bude potreba si chvili pamatovat
• obsah vygenerovaneho serverreq.pem nacpat do zadosti na https://tcs.cesnet.cz/req
• po vsech schvalenich stahnout PEM - pouze certifikát (Base64 kódovaný formát DER)

Vygenerovat pfx

• spustit openssl pkcs12 -inkey serverkey.pem -in odin.w3k.zcu.cz-1435054644.pem -export -out odin_pfx.pfx kde
• serverkey.pem je privatni klic vygenerovany pri prvnim volani openssl
• odin.w3k.zcu.cz-1435054644.pem je stazeny certifikat z tcs.cesnet.cz
• odin_pfx.pfx je vysledek
• bude potreba zadat heslo k privatnimu klici v bode 1)

Naimportovat pfx certifikat do Osobnich certifikatu pro Tento pocitac (nikoliv pro aktualniho uzivatele)

• klik pravym na soubor certifikatu, nainstalovat, pro tento pocitac, osobni certifikaty

Donutit Terminal services aby certifikat pouzivaly

• http://blogs.technet.com/b/askperf/archive/2014/05/28/listener-certificate-configurations-in-windows-server-2012-2012-r2.aspx zkracene:
• vykopirovat Thumbprint (cesky Miniatura) z certifikatu
• vytvorit v registrech HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp Binarni hodnotu (REG_BINARY) "SSLCertificateSHA1Hash"
• zkopirovat nebo prepsat do ni Thumbprint
• nastavit prava k certifikatu pro NETWORK SERVICE pro cteni - pravym kliknout na certifikat, vsechny akce, spravovat privatni klice, pridat NETWORK SERVICE, nastavit Cteni, zrusit Uplny pristup

A je to, vzdalena plocha nyni ve fullscreenu ukazuje zamecek, po rozkliknuti je videt, ze pripojeni je zabezpecene a je i videt, jakym certifikatem.