KNOWLEDGE BASE

Knowledge Base
1Backup
Acronis
Antivirus
Email
Firewall
GFI Software
Mail
Monitoring
N-Able
Sicurezza
TSPlus
Diventa Autore per CoreTech | Scopri di più
× Non sei ancora nostro cliente TSplus? Diventa Partner CoreTech e visita il nostro configuratore prezzi

Aggiungere il proprio certificato SSL a TSplus Remote Access

Aggiungere il proprio certificato SSL a TSplus Remote Access

TSplus Remote Access richiede l’introduzione di un certificato SSL che può sia essere generato tramite uno specifico strumento correlato chiamato Let's Encrypt, sia essere già in vostro possesso e generato da un’autorità di certificazione (CA – Certification Authority).

Qui di seguito vediamo come introdurre un certificato secondo una procedura testata con sistemi operativi Windows 10 Professional e Windows 2008 R2, ma applicabile anche alle versioni più recenti dei sistemi operativi Windows per server. La procedura è completamente manuale; in verità vi sono due procedure, ossia una da svolgere nel caso si debba ricavare un certificato SSL mediante Let’s Encrypt ed una nella quale si parte da un certificato SSL firmato esistente.

Se non avete un certificato, potete generarlo gratuitamente mediante Let’s Encrypt utilizzando come esposto qui di seguito lo strumento SSL TSplus:

 

  1. aprite AdminTool, portatevi sul menu Security ed impartite il comando SSL Certificate Toolkit;
  2. cliccate su File > Open Keystore File > ***Remote Access_installation_folder***\Clients\webserver\cert.jks; la password predefinita è secret);
  3. fate clic con il pulsante destro del mouse su Private Key(jwts) e dal menù contestuale che si apre cliccate su Export > Private Key and Certificates > PKCS#12 > OK (la password predefinita è secret, mentre i successivi campi password dovrebbero essere lasciati vuoti);
  4. salvate il vostro file di certificato *.p12 da qualche parte sul Desktop per poterlo ritrovare rapidamente quando vi occorrerà.

A questo punto disponete del vostro certificato SSL. Il certificato gratuito è fornito da Let's Encrypt e richiede che la porta 80 sia aperta e disponibile per convalidare la proprietà del dominio.

Introdurre il certificato SSL

Vediamo ora la procedura per introdurre il certificato, la quale è valida sia che abbiate un certificato vostro, sia che ne abbiate ottenuto uno come appena descritto.

  1. Avviate la console MMC mediante Start>Run… quindi impartendo il comando mmc.exe;
  2. Nella console, fate clic sul menu File e da questo impartite il comando Add/Remove Snap-In, che apre una finestra di dialogo come quella proposta nell’immagine seguente, dove dovete fare doppio clic sulla voce Certificati nell’elenco che trovate nel riquadro di sinistra  e poi su Aggiungi. 

     

     

  3. Si apre così una finestra di dialogo riportante tre opzioni: cliccate sul pulsante accanto ad Account del computer e poi sul pulsante Fine, tornando così alla finestra di dialogo Aggiungi o rimuovi snap-in; qui ora, nel riquadro di destra apparirà la voce Computer locale (Local Computer) come mostrato nell'immagine seguente.

      

  4. Fate clic su OK e tornate alla Console MMC.
  5. Nel riquadro di sinistra della console MMC cliccate su Root console > Certificati - Computer locale, quindi, nel riquadro centrale, fate doppio clic sulla cartella Personal, quindi fate clic con il pulsante destro del mouse su Certificati, scegliete la voce di menu Tutte le attività e dal menu contestuale scegliete Importa;
  6. Vi si apre la finestra di dialogo Importazione guidata certificati, nella quale cliccate su Avanti e pois su Sfoglia.
  7. Nella finestra di dialogo che si apre, dal menu a tendina che si trova in basso a destra scegliete l'estensione "Personal Information Exchange" (*pfx *.p12) quindi nella casella accanto NOME FILE inserite il file del certificato (immagine seguente) e poi fate clic su Open e poi, nella finestra cui tornate, su Next.

        

  8. Arrivate così a una nuova finestra di dialogo dove dovete lasciare vuola ta casella password, o se la inserite, memorizzatela, quindi ponete la spunta sulla voce Mark this key as exportable e su "Include All Extended Properties" quindi fate clic su Next.
  9. Nella successiva finestra di dialogo cliccate su Seleziona automaticamente il certificato in base al tipo di certificato e poi su Next e su Finish. Premere F5 per aggiornare se la chiave ancora non viene visualizzata in Personale\Certificati.
  10. Fate clic con il pulsante destro del mouse sulla nuova voce chiave creata e, dal menù contestuale, cliccate su All Tasks > Manage Private Keys >Add "NETWORK SERVICE"  con diritti "READ" consentiti. Questo passaggio non è sempre necessario. In alcuni sistemi questa voce viene aggiunta automaticamente, ma in caso contrario la aggiunge manualmente.
  11. Fate doppio clic sulla chiave/certificato privato appena importato per il tuo dominio (di solito ha il nome del dominio firmato in "Rilasciato a").
  12. Fate clic su 4. Click on Details >> scroll down > Thumbprint > [example]: ab 42 96 33 fb 19 28 65 30 a7 e1 63 2d 3f d2 96 70 1c 50 67> NOTICE IT SOMEWHERE.
  13. Aprite Blocco Note e create un nuovo file, che salverete con il nome "myreg.reg" e salva il testo seguente in base all'esempio "Identificazione personale" sopra (ricordate che SSLCertificateSHA1Hash"=hex:ab,42,96,33***" è un esempio e dovete sostituire tale stringa con i vostri valori. Ad esempio 

REGEDIT4
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp]
"SSLCertificateSHA1Hash"=hex:ab,42,96,33,fb,19,28,65,30,a7,e1,63,2d,3f,d2,96,70,1c,50,67

Ora eseguite quel file "myreg.reg" e aggiungete così queste informazioni al registro; tale passaggio è fondamentale, perché se non lo eseguite, il passaggio successivo fallirà.

Avviate cmd.exe con i diritti di amministratore ed eseguite:

wmic /namespace:\\root\CIMV2\TerminalServices PATH Win32_TSGeneralSetting Set SSLCertificateSHA1Hash="ab429633fb19286530a7e1632d3fd296701c5067"

Dopo il completamento, un messaggio a video dovrebbe riportare > Aggiornamento proprietà riuscito); ricordate che SSLCertificateSHA1Hash="ab429633***" è un esempio e va sostituito con i vostri valori.

Bene, una volta che avete completato queste procedure, ogni volta che chiamerete mstsc.exe > tuo_dominio.com il nuovo certificato firmato verrà servito al client dal server A remoto.