Anda dapat mengatur mesin host ini untuk menggunakan dan menyajikan sertifikat SSL Anda (yang sudah ada, dibeli) yang diverifikasi secara eksternal sehingga (instruksi mungkin juga berfungsi untuk Windows 8 & 8.1, mungkin atau mungkin tidak berfungsi untuk Windows 7) (bagian dari ini berdasarkan pada Microsoft KB 2001849 ):
Pertama, Anda harus membeli sertifikat ssl asli yang diverifikasi.
Jika Anda memiliki sertifikat ini dalam file format pkcs12 (mis. Ekstensi pfx), Anda dapat melihat sidik jari SHA1 menggunakan Linux atau Cygwin dengan demikian (Anda akan memerlukannya di bawah):
openssl pkcs12 -in mysite.pfx -nodes|openssl x509 -noout -fingerprint
Atau jika Anda memiliki file sertifikat individual di server Linux Anda di / etc / ssl (/etc/ssl/certs/mysite.crt, /etc/ssl/mysite.ca-bundle dan /etc/ssl/private/mysite.key ) Anda dapat membuat file pfx dan mendapatkan sidik jari SHA1 sebagai berikut:
Buat file pfx untuk sertifikat Anda, jika Anda belum memilikinya (di sini: mysite.pfx) - setel kata sandi yang baik ketika diminta:
sudo openssl pkcs12 -export -out mysite.pfx -inkey /etc/ssl/private/mysite.pem -in /etc/ssl/certs/mysite.crt -certfile /etc/ssl/mysite.ca-bundle
Pindahkan atau salin file pfx ini sesuai kebutuhan sehingga dapat diakses oleh mesin host Windows Anda.
- Lihat sidik jari kunci SHA1 (Anda akan membutuhkan ini di bawah):
openssl x509 -in /etc/ssl/certs/mysite.crt -noout -fingerprint
Impor file format pkcs12 (mis. Pfx) ke toko sertifikat pribadi mesin host Windows:
- Mulai> Jalankan> mmc
- File> Tambah Hapus Snap-in> Certficates> Tambah> Akun Komputer> Komputer Lokal> OK
- Di jendela kiri klik kanan pada Certificates (Computer Lokal) Personal, pilih All Tasks / Import…
- Temukan file pfx dan impor, saya sarankan agar alasan keamanan Anda tidak membuatnya dapat diekspor.
- Memperluas Pribadi / Sertifikat Anda sekarang Anda akan melihat 3 sertifikat, salah satunya adalah sertifikat situs Anda (mis. Mysite.com). Klik kanan pada sertifikat situs ini dan klik kanan, pilih Semua Tugas / Kelola Kunci Pribadi ...
- Tambahkan pengguna 'LAYANAN JARINGAN' hanya dengan izin Baca (bukan Kontrol Penuh), lalu Terapkan
- Tutup mmc
Gunakan regedit untuk menambahkan Nilai Biner baru yang disebut SSLCertificateSHA1Hash di HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp
. Nilai yang dibutuhkan adalah sidik jari SHA1 dari sertifikat yang diperoleh di atas: klik kanan pada nilai baru, pilih Modify dan kemudian ketik kode hex secara berurutan (tanpa titik dua atau spasi atau koma, huruf tidak peka terhadap huruf besar-kecil) - ada 20 heks pasangan dalam semua (40 karakter).
Anda mungkin perlu me-reboot mesin host, atau me-restart Layanan Desktop Jarak Jauh (dari Services.msc) sebelum akan bekerja.
Sekarang, setelah membuat koneksi desktop jarak jauh ke host ini menggunakan nama situs yang benar (misalnya mysite.com), Anda akan melihat gembok terkunci di sisi kiri bilah koneksi atas: mengklik ini menunjukkan bahwa identitas remote komputer telah diverifikasi. Port yang terbuka dari internet melalui host ini sekarang harus lulus pengujian hostname PCI-DSS 3.1.