Incepand cu Vista, Microsoft a inventat pentru conexiunile de tip Remote Desktop (RDP) o noua metoda de autentificare numita Network Level Authentication (NLA).
Daca ai servere Windows si un CA de la Microsoft in acelasi domeniu Active Directory, atunci se intampla o chestie misto: toate computerele primesc automat un certificat de la CA-ul din domeniu.
Eh, cand te conectezi folosind RDP de pe o statie din domeniu la un server din domeniu, intra NLA-ul in functiune care face autentificare folosind Kerberos.
Cand te conectezi folosind un computer din afara domeniului sau un alt client de RDP care nu stie de NLA, atunci se face fallback si se foloseste un certificat digital pentru autentificarea serverului.
Cum de curand am trecut la Mac, am importat Root CA certificate in Keychain. Cand m-am conectat la serverele din domeniu a trebuit sa dau accept la toate certificatele prezentate de server (ca MS Remote Desktop de Mac nu stie de NLA). Atunci am dat click-click repede pe accept ca am zis ca nu stiu io sa umblu cu Keychain-ul de la Mac si ca de aia nu se valideaza certificatele.
Acu vreo cateva saptamani m-am apucat sa ma conecteze la niste servere si am fost iar bazait sa dau Trust sau nu la certificate. Si am intrat la banuieli, ca poate s-a futut CA-ul. Numai ca nu stiam de ce, ca nu dadea erori, totul era OK.
Azi m-a dus capul ca inainte sa incerc sa repar CA-ul sa intreb si Internetul ce parere are de asta. Si m-am dumirit. Si am injurat.
Chiar daca serverul are un certificat emis de CA-ul din domeniu, pentru RDP foloseste un certificat self-signed cu validitate de 6 luni la care isi face renewal periodic.
Ca sa faci un server sa foloseasca un certificat semnat de CA pentru RDP, trebuie facut template dedicat in CA, creat un GPO care sa zica la servere sa foloseasca template-ul ala si tot asa.
Microsoft style: de ce sa fie simplu cand poate sa fie complicat.