Remote Desktop Services Yüksek Erişilebilirlik Çözümleri Bölüm 5 RDS Farmı Sertifika Oluşturulması
Remote Desktop Services Yüksek Erişilebilirlik Çözümleri makale serimizin bu bölümünde RD Web Access, RD Connection Broker ve RD Gateway Sunucumuz için ihtiyaç duyulan sertifikanın oluşturulması ve yapılandırılmasını gerçekleştireceğiz.
Makale içindeki resimler ve anlatımlar RD Web Access Rolü için hazırlanmıştır. RD Gateway ve RD Connection Broker rolü içinde yapılandırmalar benzerlik taşımaktadır ve bu sebepten ötürü, bu roller için ayrı bir makale yayınlanmayacaktır. RD Gateway ve RD Connection Broker rollerinin sertifika oluşturma işlemleri için bu makaleyi referans alabilirsiniz.
Sertifika oluşturma ve yapılandırma işlemlerini yapmazsak alacağımız hatayı sizlerle paylaşmak istiyorum. Kullanıcılarımız RD Web Access sunucumuza web tarayıcısı üzerinden bağlantı yaptıkları zaman sertifikanın güvenilmediğini gösteren uyarı ile karşılaşacaklardır ve bu uyarıyı onayladıktan sonra RD Web Access erişimlerine başlaya bileceklerdir.
RD Web Access rolü için bu uyarının geçilmesi mümkün olsa bile RD Gateway için durum aynı değildir. RD Gateway ile yapılan bağlantılarda, sertifika güvenilmeyen bir otoriteden temin edildiyse ve sertifikaya güvenilmezse bağlantı gerçekleşmeyecektir, kullanıcılarımız RDS farmına ve yayınlamış olduğumuz uygulamalara erişim sağlayamayacakladır.
RDS farmını oluşturduğumuz zaman RD Web Access sunucumuz üzerinde RDS Farm kurulumu sırasında oluşturulan sertifikayı görebilmektesiniz. Issued to bölümünde görüldüğü gibi bu sertifika RDWEB01.live. local isimli sunucumuz tarafından oluşturulmuştur ve kullanıcılarımız bu sunucumuzun oluşturmuş oldukları sertifikaya güvenmeyecekleri için hata ile karşılaşacaklardır.
İlk olarak yapacak olduğumuz işlem RDWEB01 isimli sunucumuz üzerinde MMC konsolunu açıyoruz ve Certificates \ Personel \ Certificates yoluna gidiyoruz ve RDS farmının kurulumu sırasında oluşturulan sertifikayı siliyoruz.
Bu işlemin aynısını RDWEB02 sunucumuz üzerinde ayrıca yapmamız gerekmektedir.
RDWEB01 sunucumuz üzerinde IIS Manager açılıyor ve Server Certificates bölümünde Create Certificate Request sihirbazı çalıştırılıyor.
Sertifikamızın bilgilerini giriyoruz. Bu bölümde Common name bölümüne RDWEB00.live.local ismini giriyoruz. Bu isim RD Web Access sunucularımızın sahip olduğu ortak isimdir. Eğer RDWEB01 sunucumuz için RDWEB01.live.local ve RDWEB02 Sunucumuz için RDWEB02.live.local isminde ayrı ayrı sertifika alırsak hata ile karşılaşırız. Sunucularımızı NLB ile nasıl birleştirdiysek NLB kümesinin ismini veriyoruz. Çünkü kullanıcılarımız RD Web Access sunucularımıza bağımsız olarak bağlantı sağlamayacaklar, NLB kümesi üzerinden NLB’ nin ismi ile bağlantı sağlayacaklardır.
Oluşturacak olduğumuz sertifikanın şifreleme türünü belirliyoruz ve ilerliyoruz.
Oluşturmuş olduğumuz request yani talep dosyamızın oluşturulacağı dizini belirtiyoruz ve işlemi tamamlıyoruz.
Oluşturmuş olduğumuz talep dosyası yukarıda görülmektedir.
Domainimiz içinde bulunan Certificate Sunucumuza bağlantı yapıyoruz ve Request a certificate işlemi ile sertifika talebimizi tamamlamaya başlıyoruz.
Advanced certificate request işlemini seçiyoruz.
Submit a certificate request… işlemi ile devam ediyoruz.
Talep dosyamız Notepad aracı ile açıyoruz ve içinde yazılı olan bilgileri Base-64-encoded certificate request bölümü içine yapıştırıyoruz. Certificate Template olarak Web Server seçimini gerçekleştiriyoruz ve Submitbutonu ile sertikamızı oluşturuyoruz.
Sertifikamız başarılı bir şekilde oluşturuldu ve bu sertifikayı RDWEB01 sunucumuzun masa üstüne indiriyoruz.
RDWEB01 sunucumuz üzerinde tekrar IIS Manager açıyoruz ve bu sefer Complete Certificate Request sihirbazını başlatıyoruz.
RDWEB01 sunucumuzun masaüstüne indirmiş olduğumuz ve oluşturduğumuz p7b dosyasını gösteriyoruz ve işlemi onaylıyoruz.
Sertifikamız IIS Manager üzerinden başarılı bir şekilde görülmektedir. RDWEB01 sunucumuz üzerine tanımlamış sertifikanın işlemlerini RDWEB02 için yapmamıza gerek bulunmamaktadır. Her iki sunucumuzda ortak sertifika kullanacakları için RDWEB01 üzerinde oluşturulan sertifikayı IIS Manager üzerinden export ediyoruz.
Export işlemini RDWEB01 üzerinde masaüstüne gerçekleştiriyoruz.
Export etmiş olduğumuz sertfika pfx uzantısındadır ve parola belirliyoruz.
RDS Farmımızı açıyoruz ve Deployment Owerview ekranında Configure the Deployment ekranını açıyoruz ve Certificates bölümüne geliyoruz. RD Web Access bölümünü seçiyoruz ve Select existing certificate bölümünü açıyoruz.
IIS Manager üzerinden export etmiş olduğumuz pfx uzantılı sertifikanın yolunu ve belirlemiş olduğumuz parolayı giriyoruz.
Alt bölümde bulunan Allow the certificate to be added to the Trsuted Root Certification Authorities certificate store on the destination computers kutusunu işaretliyoruz. Bu özellik ile bu sertifikanın bütün RD Web Sunucularımız üzerinde güvenilir sertifika bölümüne eklenmesini sağlıyoruz.
İşlemleri onaylıyoruz ve RD Web Access rolümüz için sertifika oluşturma işlemlerini tamamlamış duruma geldik.
Oluşturulan sertifika her iki RD Web Access sunucumuzun Certificates \ Personel \ Certificates bölümüne eklendiğini görebiliyoruz.
Web Arayüzünden RDWEB00.live.local adresine gittiğimiz zaman Web tarayıcımızın herhangi bir hata, uyarı vermeden açıldığını görebilmekteyiz.
Oluşturulan sertifikamızı kontrol ettiğimiz zaman domain ortamı içinde bulunan local CA sunucusu tarafından yayınlandığı bilgisi bulunmaktadır. Bu sertifika, Domain üyesi bilgisayarlar tarafından bir problem oluşturmayacak fakat public lokasyon erişimleri, domain üyesi olmayan bilgisayarlardan ve 3Party işletim sistemleri (Android, iOS ) üzerinden erişim sağlandığı zaman bu makale içinde anlatılan işlemler geçersiz olacaktır. Local CA kullanımı isteniliyorsa eğer, oluşturmuş olduğumuz bu sertifikanın ve Local CA’ in Root sertifikasının bu tipteki bilgisayarlara tanıtılması gerekmektedir. Önerilen, problem yaşamayacağımız sertifika çözümü, güvenilen bir otorite tarafından satın alınan ve içinde SAN bilgileri bulunan sertifika çözümüdür. San bilgisi içinde olması gerekli olan kayıtlar, internal network erişim bilgisi (local vb..) ve external erişim bilgisi (com, net vb..) kayıtlardır. Bu tip sertifikalar çoklu Subject Alternate Name bilgisine sahip oldukları için RD Gateway, RD Web Access ve RD Connection Broker sunucularımızın internal ve external isimlerini tek bir sertifika içinde birleştirebiliriz ve en az çaba ve en güvenilen yöntem ile çözüme kavuşabiliriz. Elbette bu sertifikanın kurumumuza bir ek getirisi olacaktır.