Bundan önceki makalelerimizde Windows Server 2019 üzerinde RDS rolümüzü kurup temel yapılandırmaları gerçekleştirmiştik. Makalemin bir önceki bölümüne aşağıdaki link üzerinden ulaşabilirsiniz
https://www.cozumpark.com/server-2019-remote-desktop-services-bolum3-remoteapp-yapilandirmasi/
Bu makalemizde kurulumu tamamlanmış olan RDS sunucu üzerinde sertifika yapılandırmasını ele alıyor olacağız. İlk kurulum anında RDS kendi sertifikasını kullanır. Bu sertifika hali hazırda Domain tarafından güvenilen bir sertifika değildir. İçeride oluşturabileceğimiz bir sertifikayı domain yapımız üzerine dağıtıp nu şekilde bir kullanım sağlayabileceğimiz gibi, global bir sertifika sağlayıcıdan alacağımız bir sertifikayı da kullanabiliriz. Tabi global bir sertifika üreticiden alınacak olan sertifika iyi olacaktır ancak bunun maliyetine katlanılmak istenmiyor, sadece çalışanlar vpn üzerinden güvenli bir ağ ile sistemlerinize bağlanıyor ise kendi sertifikanızı kullanmanızda bir handikap oluşturmayacaktır.
Biz makalemize konu olan sertifika adımlarını kendi oluşturacağımız sertifika üzerinden gerçekleştireceğiz. İşlemlerimize başlayalım. RdWeb konsolumuza girdiğimizde karşımıza gelen sertifikanın güvensiz olduğunu görebiliyoruz.
Sertifika detayına baktığımızda varsayılan olarak üretilen sertifikamız 6 ay için üretilmiş durumda.
Kendi sertifikamızı oluşturmak için Server Manager Konsolunda RDSàCollections tabında Task butonuna tıklayarak açılan ekrandan Edit Deployment Properties menüsüne tıklayalım.
Açılan ekranda Certificates tabına gelelim. Bu ekranda bir RD Web Access için sertifika oluşturacağımızdan dolayı bu seçimi yapalım. Hali hazırda bir sertifikamız olsaydı bunu Select existing certificate… butonuna tıklayarak gösterebilirdik. Biz yeni bir sertifika oluşturacağımız için Create new certificate… butonuna tıklayalım.
Certificate name alanına hangi FQDN için sertifika oluşturmak istiyorsak onun bilgisini girelim. Password alanına bir parola tanımlayalım. Sertifikanın kaydedileceği yolu seçelim. Bu sertifikanın sunucumuz üzerinde Güvenilen kök sertifikalara eklenmesini istiyorsak, ki istiyoruz “Allow the certificate to be added to the Trusted Root Certification Authorites certificate store on the destination computers” seçimini yapalım ve OK butonuna tıklayalım.
Girdiğimiz bilgilere göre sertifika oluşturulmaya hazır durumda. Apply butonuna tıklayarak sertifika oluşturma adımını tamamlayalım.
Sertifikamız başarı ile oluşmuş durumda. View Detailes linkine tıklayarak sertifika detaylarını görebiliriz.
Oluşturulmuş olan sertifikamızın bilgilerini aşağıda olduğu gibi görebiliyoruz. OK ile kapatabiliriz.
Sertifikamızı masaüstümüze kayıt ermiştik. Biraz sonra kullanmak üzere burada bırakıyoruz.
IIS konsolu üzerinde sertifikamızı görebiliyoruz.
Üzerine tıklayıp açtığımızda detayları görebiliyoruz.
Sertifikanın oluşum anında güvenilen sertifikalar altına eklemiştik. Şimdi bu sertifikayı manuel olarak aynı ağ üzerindeki bir kullanıcı bilgisayarı üzerinde güvenilen sertifikalara ekleyelim. Local Machine seçimini yaparak Next ile sonraki adıma geçelim.
Sertifikamızı seçelim ve Next ile sonraki adıma geçelim.
Sertifikamızı oluştururken tanımladığımız parolayı girelim ve Next ile sonraki adıma ilerleyelim.
Place all certificates in the following store seçimini yapalım ve sonrasında Browse… butonuna tıklayarak sertifikanın kaydedileceği kök dizini seçelim.
Trusted Root Certification Authorities dizinini seçerek OK butonuna tıklayalım.
Bu işlemden sonra Next ile bir sonraki adıma geçelim.
Yapılacak olan işlemlerin bir özeti geldi. Finish ile işlemi tamamlayalım.
Sertifikamız başarı ile güvenilen kök sertifikalar içerisine import edildi. OK ile mesajı kapatalım.
Şimdi kullanıcı bilgisayarımızdan tekrardan RdWeb konsolumuza giriş yapalım. Bu sefer güvenilen sertifikaya sahip olduğumuz için sertifika uyarısı almadan konsol erişimi sağladık.
Sertifika detayına baktığımızda bizim oluşturduğumuz sertifikayı görmekteyiz.
Şimdi ise bu sertifikayı tekil olarak değil de Group Policy üzerinden tüm kullanıcılarımıza yollama işlemini ele alalım. Bunun için GPO konsolumuzu açalım. Ben yeni bir organization Unit tanımlamadan ve kullanıcılarımı buraya taşımadan test ortamında olduğumuz için, ayarların tüm kullanıcılarda etkin olması adına Default Domain Policy üzerinden bu işlemi yapacağım. Default Domain Policy üzerinde sağ tıklayarak açılan menüden Edit’i tıklayalım.
Policy’den Etkilenecek olan bilgisayarlara Policy dağıtmak için Computer ConfigurationàPoliciesàPublic Key PoliciesàTrusted Root Certification Authorities tabına gelelim.
Gelen ekranda sağ tuşu tıklayarak Import…’a tıklayalım.
Açılan ekranda Next ile sonraki adıma ilerleyelim.
Policy’den etkilenecek bilgisayarlara dağıtılacak olan sertifikamızı seçerek Next ile sonraki adıma geçelim.
Sertifikamızın parolasını girerek Next ile sonraki adıma ilerleyelim.
Sertifikanın depolanacağı alan olarak Trusted Root Certification Authorities konteynerini seçelim ve Next ile ilerleyelim.
Yapılacak olan işlemlerin bir özeti geldi Finish ile işlemlerimizi tamamlayalım.
Sertifikamız başarı ile Policy mimarisine import edildi. OK ile mesajı kapatalım.
Policy ekranımızı kapatabiliriz.
Bir kullanıcı üzerinde gpupdate /force komutu ile sertifikanın gpo üzerinden çekilmesi işlemini sağlayalım.
Sonrasında ise MMC konsol üzerinden sertifika durumunu kontrol edelim. Kontrol sırasında GPO ile kullanıcının otomatik olarak Güvenilen Kök Sertifikalar altına sertifikayı çektiğini görebiliyoruz.
Çift tıklayıp sertifikamızı görebiliriz.
Kullanıcımız üzerinde RdWeb konsolumuza bağlanmak istediğimizde sertifika uyarısı almıyoruz.
Sertifikamızı kontrol ettiğimizde GPO üzerinden dağıtılan sertifikanın kullanıldığını görebiliyoruz.
Bu makalemizin de sonuna geldik. Yararlı olması dileğiyle.
Makalemin bir sonraki bölümüne aşağıdaki link üzerinden ulaşabilirsiniz;