Esse método permite que você instale certificados de Área de Trabalho Remota em vários computadores no seu domínio, mas exige que seu domínio tenha uma infraestrutura de chave pública funcional (PKI). Este artigo tem os passos de criação, porém se quiser assistir a demonstração, também está disponível pelo YouTube.
Criação de um modelo (template) de certificado:
1. Vá até o servidor que possui a Autoridade de Certificação da empresa instalada, inicie o MMC;
2. Clique em File, depois em Add or remove Snap-in;
3. Adicione o "Modelos de Certificado" ou Certificate Templates;
4. Clique com o botão direito em Computer e em seguida em Duplicate Template;
5. Pela guia Compatibility mude a Compatibility Settings da seguinte forma:
5.1. Certification Authority - Windows Server 2008 R2 (use o que achar mais viável)
5.2. Certificate recipient - Windows Server 2008 R2 (use o que achar mais viável)
Obs.: Será apresentado uma janela chamada Resulting Changes com resultados efetivos dessa configuração.
Pressione o OK para confirmar a configuração.
6. Clique agora na guia General e faça as seguintes configurações:
6.1. Em Template display name, adicione um nome a esse certificado (eu adicionei como RDS-Teste);
6.2. Em Validity period, adicione período de expiração do certificado (eu deixei 10 anos);
7. Clique na guia Extensions e selecione Application Policies. Clique no botão Edit;
Obs.: Depois que o template é criado, chega a hora de configurar através de diretiva de grupo a utilização desse certificado para autenticação da área de trabalho remota. Precisamos agora efetuar a implementação do certificado.
7.1. Remova tanto o item "Autenticação de cliente" quanto o item "Autenticação de servidor". Neste ponto não precisaremos deles;
Obs.: Caso queira, pode remover a diretiva "Autenticação de cliente" deixando a diretiva "Autenticação de servidor" pode usar a política especial "Autenticação de área de trabalho remota". Ao fazer isso, os certificados baseados neste modelo serão impedidos de serem usados para qualquer finalidade diferente da autenticação do Ambiente de Trabalho Remoto.
8. Selecione Client Authentication e clique em Add;
9. Clique em New... e digite os seguintes itens:
9.1. Em Name: Remote Desktop Authentication
9.2. Em Object identifier: 1.3.6.1.4.1.311.54.1.2
9.3. Pressione o OK até retornar a janela de edição de aplicações (Edit Application Policies Extension). Ali deve ficar apenas a opção de Remote Desktop Authentication que criamos;
9.4. Pressione Ok novamente para retornarmos a janela de propriedades do template;
10. Selecione a pasta Cryptography para escolhermos o detalhamento da criptografia;
10.1. Em provider Category, mude para Key Storage Provider;
10.2. Em Request hash, mude para SHA256 ou superior (eu coloquei como SHA512);
11. Clique na guia Security e deixe os usuários autenticados (Authenticated Users) com permissão de leitura apenas;
12. Clique no Apply e então no OK para finalizar a criação do template;
Implementação do certificado através de GPO
1. Vá até seu controlador de domínio e através do Server Manager, em Ferramentas, abra o Group Policy Management;
2. Crie uma nova GPO para vincularmos ao domínio (a minha vai se chamar RDP-SHA512);
3. Edite a GPO e navegue da seguinte forma:
3.1. Computer Configuration -> Policies -> Administrative Templates -> Windows Components -> Remote Desktop Services -> Remote Desktop Session Host -> Security
3.2. De um duplo clique em Server Authentication Certificate Template;
3.3. Habilite a opção Enable e em seguida digite em Certificate Template Name o nome do modelo que criamos (no meu caso será o RDS-Teste). E pressione o Ok;
3.4. Habilite e vincule a política a uma determinada OU ou ao domínio;
3.5. Clique com o botão direito do mouse e acione a opção Enforced;
3.6. Feche todas as janelas e execute o gpupdate /force no controlador de domínio e no servidor que fará o acesso;
Obs.: Assim que a diretiva for propagada para todos os computadores da OU ou do domínio, todas as conexões de Área de Trabalho Remota solicitarão automaticamente um certificado digital baseado no modelo que criamos do servidor de autoridade de certificação e irá usá-lo para autenticar clientes de Área de Trabalho Remota.
Importante:
Garanta que todas as aplicações de seu ambiente sejam compatíveis com essa configuração antes de aplica-la em sua estrutura de redes. Outro ponto importante é o fato de certificados de área de trabalho remota exigirem requisitos básicos específicos para seu funcionamento, como por exemplo, o certificado deve ser instalado no armazenamento de certificados "Pessoal" do computador. O certificado terá uma chave privada correspondente e a extensão "Enhanced Key Usage" tem um valor de "Autenticação de Servidor" ou "Autenticação de Área de Trabalho Remota" (1.3.6.1.4.1.311.54.1.2). Certificados sem extensão "Enhanced Key Usage" podem ser usados também. Para que um certificado seja usado para conexões de Área de Trabalho Remota, primeiro você precisa obter a impressão digital do certificado.
Ref. complementar:
0. https://www.sysadmins.lv/blog-en/how-to-register-custom-object-identifier.aspx
1. http://www.petenetlive.com/KB/Article/0000944
2. https://www.darkoperator.com/blog/2015/3/26/rdp-tls-certificate-deployment-using-gpo
Ref. complementar:
0. https://www.sysadmins.lv/blog-en/how-to-register-custom-object-identifier.aspx
1. http://www.petenetlive.com/KB/Article/0000944
2. https://www.darkoperator.com/blog/2015/3/26/rdp-tls-certificate-deployment-using-gpo