Hvorfor du bør installere CA rot sertifikatet på PC-er og Servere
Når vi skal kommunisere over internett står vi ovenfor et problem. Hvordan kan vi verifisere at vi faktisk kommuniserer med vår egen server? I denne sammenheng kommer PKI inn. Public-key infrastructures (PKIs) benyttes i økende grad og beskriver en teknologi basert på sertifikater med en kjent og en hemmelig nøkkel for kryptering og gjenkjenning. PKI systemene kan administrere, utstede og tilbakekalle sertifikater, og i bunnen av dette systemet ligger rot sertifikatet til den utstedende CAen.
Når MS Certificate Services (CA) installeres utstedes det et rot sertifikat for denne. Dette rot sertifikatet danner utgangspunktet for gjenkjenning og godkjenning av alle sertifikater som utstedes av CAen. Når vi benytter den installerte CAen til å utstede et sertifikat til RDP lytteren, kan dette gjenkjennes av vår CAs rot sertifikat. På denne måten dannes en kjede (certification path). I så måte blir sertifikatet til vår RDP lytter underordnet vår CAs rot sertifikat. Dette forholdet kan vi bruke til å verifisere at sertifikatet er korrekt og at vi derfor kommuniserer med vår egen RDP lytter over internett.
 Figur 12 – Jeg har her brukt View Certificate funksjonen under etableringen av en RDP sesjon. Av figuren (hvis du leser teksten på disse) kan vi se at RDP klienten aksepterer det underordnede sertifikatet. Årsaken til dette er at rot sertifikatet til den utstedende CA er installert på den PC-en. På denne måten bekrefter RDP klienten av den faktisk snakker med vår RDP lytter og server.
ADVARSEL!
Jeg nøyer meg med følgende sitat: “Microsoft confirmed the above problem and fixed the new versions of Remote Desktop Clients. Recent clients (mstsc.exe), including the one of version XPSP2 5.1.2600.2180, now check the Terminal Server identity verifying its public key. They solved the problem ? No, man-in-the-middle attacks are still possible and can be really invisible for users.” http://www.oxid.it/downloads/rdp-gbu.pdf
Når vi skal opprette en forbindelse med RDP klienten (Remote Desktop Client) til en RDP lytter (Remote Desktop Provider) kan RDP klienten stilles inn til å verifisere sertifikatet på RDP lytteren. Forutsetningen for å få dette til er at rot sertifikatet til den utstedene CA, hvis underordnede sertifikat benyttes av RDP lytteren, er installert på den serveren eller PC-en som RDP klienten benyttes fra. Vi må derfor sørge for å installere rot sertifikatet fra vår CA på de servere og PC-er som skal kommunisere med RDP lytteren over internett, og for den saks skyll også internt i vårt Lan. Likeledes må vi stille inn RDP lytteren og RDP klienten på en slik måte at denne verifisering finner sted. I de etterfølgende prosedyrer vil vi foreta disse innstillingene.
 Figur 13 – Jeg har her brukt View Certificate funksjonen under etableringen av en RDP sesjon. Av figuren (hvis du leser teksten på disse) kan vi se at RDP klienten ikke aksepterer det underordnede sertifikatet. Årsaken til dette er at rot sertifikatet til den utstedende CA ikke er installert på dene PC-en. Identiteten på RDP lytteren og serveren kan derfor ikke bekreftes.
Tips
Det er ikke lurt å publisere RDP mot internett. Men hvis du først må gjøre dette vil, man-in-the-middle attacks bli noe vanskeligere dersom du bruker sertifikat. Det forholdet at MITMA er mulig betyr ikke at vi publiserer RDP uten kryptering. Det er tross alt bedre å ta de forhåndregler vi kan, men det beste er selvfølgelig å ikke publisere RDP. |