Windows Server

Remote Desktop Services Yüksek Erişilebilirlik Çözümleri Bölüm 5 RDS Farmı Sertifika Oluşturulması

Remote Desktop Services Yüksek Erişilebilirlik Çözümleri makale serimizin bu bölümünde RD Web Access, RD Connection Broker ve RD Gateway Sunucumuz için ihtiyaç duyulan sertifikanın oluşturulması ve yapılandırılmasını gerçekleştireceğiz.

Makale içindeki resimler ve anlatımlar RD Web Access Rolü için hazırlanmıştır. RD Gateway ve RD Connection Broker rolü içinde yapılandırmalar benzerlik taşımaktadır ve bu sebepten ötürü, bu roller için ayrı bir makale yayınlanmayacaktır. RD Gateway ve RD Connection Broker rollerinin sertifika oluşturma işlemleri için bu makaleyi referans alabilirsiniz.

clip_image002

Sertifika oluşturma ve yapılandırma işlemlerini yapmazsak alacağımız hatayı sizlerle paylaşmak istiyorum. Kullanıcılarımız RD Web Access sunucumuza web tarayıcısı üzerinden bağlantı yaptıkları zaman sertifikanın güvenilmediğini gösteren uyarı ile karşılaşacaklardır ve bu uyarıyı onayladıktan sonra RD Web Access erişimlerine başlaya bileceklerdir.

clip_image004

RD Web Access rolü için bu uyarının geçilmesi mümkün olsa bile RD Gateway için durum aynı değildir. RD Gateway ile yapılan bağlantılarda, sertifika güvenilmeyen bir otoriteden temin edildiyse ve sertifikaya güvenilmezse bağlantı gerçekleşmeyecektir, kullanıcılarımız RDS farmına ve yayınlamış olduğumuz uygulamalara erişim sağlayamayacakladır.

clip_image006

RDS farmını oluşturduğumuz zaman RD Web Access sunucumuz üzerinde RDS Farm kurulumu sırasında oluşturulan sertifikayı görebilmektesiniz. Issued to bölümünde görüldüğü gibi bu sertifika RDWEB01.live. local isimli sunucumuz tarafından oluşturulmuştur ve kullanıcılarımız bu sunucumuzun oluşturmuş oldukları sertifikaya güvenmeyecekleri için hata ile karşılaşacaklardır.

clip_image008

İlk olarak yapacak olduğumuz işlem RDWEB01 isimli sunucumuz üzerinde MMC konsolunu açıyoruz ve Certificates \ Personel \ Certificates yoluna gidiyoruz ve RDS farmının kurulumu sırasında oluşturulan sertifikayı siliyoruz.

Bu işlemin aynısını RDWEB02 sunucumuz üzerinde ayrıca yapmamız gerekmektedir.

clip_image010

RDWEB01 sunucumuz üzerinde IIS Manager açılıyor ve Server Certificates bölümünde Create Certificate Request sihirbazı çalıştırılıyor.

clip_image012

Sertifikamızın bilgilerini giriyoruz. Bu bölümde Common name bölümüne RDWEB00.live.local ismini giriyoruz. Bu isim RD Web Access sunucularımızın sahip olduğu ortak isimdir. Eğer RDWEB01 sunucumuz için RDWEB01.live.local ve RDWEB02 Sunucumuz için RDWEB02.live.local isminde ayrı ayrı sertifika alırsak hata ile karşılaşırız. Sunucularımızı NLB ile nasıl birleştirdiysek NLB kümesinin ismini veriyoruz. Çünkü kullanıcılarımız RD Web Access sunucularımıza bağımsız olarak bağlantı sağlamayacaklar, NLB kümesi üzerinden NLB’ nin ismi ile bağlantı sağlayacaklardır.

clip_image014

Oluşturacak olduğumuz sertifikanın şifreleme türünü belirliyoruz ve ilerliyoruz.

clip_image016

Oluşturmuş olduğumuz request yani talep dosyamızın oluşturulacağı dizini belirtiyoruz ve işlemi tamamlıyoruz.

clip_image018

Oluşturmuş olduğumuz talep dosyası yukarıda görülmektedir.

clip_image020

Domainimiz içinde bulunan Certificate Sunucumuza bağlantı yapıyoruz ve Request a certificate işlemi ile sertifika talebimizi tamamlamaya başlıyoruz.

clip_image022

Advanced certificate request işlemini seçiyoruz.

clip_image024

Submit a certificate request… işlemi ile devam ediyoruz.

clip_image026

Talep dosyamız Notepad aracı ile açıyoruz ve içinde yazılı olan bilgileri Base-64-encoded certificate request bölümü içine yapıştırıyoruz.  Certificate Template olarak Web Server seçimini gerçekleştiriyoruz ve Submitbutonu ile sertikamızı oluşturuyoruz.

clip_image028

clip_image030

clip_image032

Sertifikamız başarılı bir şekilde oluşturuldu ve bu sertifikayı RDWEB01 sunucumuzun masa üstüne indiriyoruz.

clip_image034

RDWEB01 sunucumuz üzerinde tekrar IIS Manager açıyoruz ve bu sefer Complete Certificate Request sihirbazını başlatıyoruz.

clip_image036

RDWEB01 sunucumuzun masaüstüne indirmiş olduğumuz ve oluşturduğumuz p7b dosyasını gösteriyoruz ve işlemi onaylıyoruz.

clip_image038

Sertifikamız IIS Manager üzerinden başarılı bir şekilde görülmektedir. RDWEB01 sunucumuz üzerine tanımlamış sertifikanın işlemlerini RDWEB02 için yapmamıza gerek bulunmamaktadır. Her iki sunucumuzda ortak sertifika kullanacakları için RDWEB01 üzerinde oluşturulan sertifikayı IIS Manager üzerinden export ediyoruz.

clip_image040

Export işlemini RDWEB01 üzerinde masaüstüne gerçekleştiriyoruz.

clip_image042

Export etmiş olduğumuz sertfika pfx uzantısındadır ve parola belirliyoruz.

clip_image044

RDS Farmımızı açıyoruz ve Deployment Owerview ekranında Configure the Deployment ekranını açıyoruz ve Certificates bölümüne geliyoruz. RD Web Access bölümünü seçiyoruz ve Select existing certificate bölümünü açıyoruz.

clip_image046

IIS Manager üzerinden export etmiş olduğumuz pfx uzantılı sertifikanın yolunu ve belirlemiş olduğumuz parolayı giriyoruz.

Alt bölümde bulunan Allow the certificate to be added to the Trsuted Root Certification Authorities certificate store on the destination computers kutusunu işaretliyoruz. Bu özellik ile bu sertifikanın bütün RD Web Sunucularımız üzerinde güvenilir sertifika bölümüne eklenmesini sağlıyoruz.

clip_image048

İşlemleri onaylıyoruz ve RD Web Access rolümüz için sertifika oluşturma işlemlerini tamamlamış duruma geldik.

clip_image050

Oluşturulan sertifika her iki RD Web Access sunucumuzun Certificates \ Personel \ Certificates bölümüne eklendiğini görebiliyoruz.

clip_image052

Web Arayüzünden RDWEB00.live.local adresine gittiğimiz zaman Web tarayıcımızın herhangi bir hata, uyarı vermeden açıldığını görebilmekteyiz.

clip_image054

Oluşturulan sertifikamızı kontrol ettiğimiz zaman domain ortamı içinde bulunan local CA sunucusu tarafından yayınlandığı bilgisi bulunmaktadır. Bu sertifika, Domain üyesi bilgisayarlar tarafından bir problem oluşturmayacak fakat public lokasyon erişimleri, domain üyesi olmayan bilgisayarlardan ve 3Party işletim sistemleri (Android, iOS ) üzerinden erişim sağlandığı zaman bu makale içinde anlatılan işlemler geçersiz olacaktır. Local CA kullanımı isteniliyorsa eğer, oluşturmuş olduğumuz bu sertifikanın ve Local CA’ in Root sertifikasının bu tipteki bilgisayarlara tanıtılması gerekmektedir. Önerilen, problem yaşamayacağımız sertifika çözümü, güvenilen bir otorite tarafından satın alınan ve içinde SAN bilgileri bulunan sertifika çözümüdür. San bilgisi içinde olması gerekli olan kayıtlar, internal network erişim bilgisi (local vb..) ve external erişim bilgisi (com, net vb..) kayıtlardır. Bu tip sertifikalar çoklu Subject Alternate Name bilgisine sahip oldukları için RD Gateway, RD Web Access ve RD Connection Broker sunucularımızın internal ve external isimlerini tek bir sertifika içinde birleştirebiliriz ve en az çaba ve en güvenilen yöntem ile çözüme kavuşabiliriz. Elbette bu sertifikanın kurumumuza bir ek getirisi olacaktır.

İlgili Makaleler

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Başa dön tuşu