Me encontré con un caso donde se estaba asegurando la conexión a través de RDP con SSL, para ello se utilizó un certificado emitido por una CA interna, el certificado estaba configurado con “Object Identifier” “1.3.6.1.4.1.311.54.1.2” con propósito para ser utilizado solamente en conexiones RDP, el certificado fue desplegado utilizando la directiva de grupo, sin embargo, en los servidores con sistema operativo Windows Server 2008 R2 el certificado no estaba siendo desplegado, y el error que se podía observar en el visor de eventos era el siguiente:
Este es el texto del mensaje:
The terminal server cannot install a new template based certificate to be used for Transport Security (TLS) 1.0\Secure Sockets Layer (SSL) authentication and encryption. The following error ocurred: The requested certificate template is not supported by this CA.
Lo curioso del asunto, es que los servidores con sistema operativo Windows Server 2012 no presentan el problema, solamente se presentó en Windows Server 2008 R2, a continuación la imagen del certificado en el sistema Windows Server 2012, se puede apreciar claramente que el certificado está basado en una plantilla llamada RDP Secure
Al observar con detenimiento las propiedades de la plantilla del certificado, observé una diferencia que a simple vista de pronto no es fácil de notar.
Si observan con detenimiento Los campos Template display name y Template name aunque dicen lo mismo tienen una diferencia (un espacio en blanco entre las palabras RDP y Secure)
Resulta que en Windows Server 2008 la información de estos dos campos debe ser idéntica, esto ya no funciona así a partir de Windows Server 2012, esta es la razón por la cual si funcionaba en la versión más reciente de Windows Server, me tomó un buen tiempo darme cuenta de esto, y por eso lo plasmo en este blog por si en algún momento alguien experimenta lo mismo.
Así que decidí hacer lo obvio, quitar el certificado de lista de plantillas de certificados a emitir, cambiar el nombre en la plantilla y volver a importar el certificado en la CA con base en la nueva plantilla.
Así que veamos los pasos, eliminé
Luego en la consola de plantillas de certificados (certtmpl.msc), seleccioné la plantilla RDP Secure clic derecho y elegir Change names
Este es el cuadro de diálogo antes del cambio (nótese la diferencia en ambos campos)
Ahora realizo el cambio en el campo Template display Name voy a dejar el nombre sin espacio, aunque al final significó más trabajo para mi ya verán porqué.
Imagen después del cambio, al terminar hacer clic en OK
Al intentar cargar la nueva plantilla para emitir, veo que sigue apareciendo el nombre anterior (con espacios), por ello mencioné lo del trabajo adicional, sin embargo pensé que con reiniciar el servicio bastaría per no fue así, seguia mostrando tal como en la siguiente imagen:
Fui a revisar las propiedades de la plantilla y me encuentro que en la pestaña Extensions en Certificate Template Information es donde sigue apareciendo el anterior nombre. (no tomé el pantallazo antes, así que la imagen alcanza a mostrar el nombre ya corregido)
Después de averiguar en algunos KB de Microsoft encontré que al ya haber emitido certificados con esta plantilla, después de cambiar el nombre era necesario el reinicio de la CA, así que procedí con el reinicio.
Tras reiniciar, vuelvo al contenedor de plantillas de certificados y sigo el proceso para cargar una nueva plantilla de certificado para emitir.
Vemos que ahora si me ofrece la plantilla con el cambio de nombre.
Ahora, el resultado como lo esperaba.
Pero al final recordé que había que cambiar algo en otro lugar (la directiva de grupo!) y adivinen cual nombre de plantilla tenía :-( así que no me quedó más opción que hacer el cambio también en la GPO.
La GPO antes
Y después del cambio:
Después de estos cambios, voy a los servidores con Windows Server 2008 R2, hago un gpupdate /force lo primero que noté es que el evento 1064 ya no apareció tras el gpudate, una excelente noticia, luego a revisar en el almacén personal de certificados del servidor, y me encuentro la grata sorpresa de encontrar el certificado basado en la plantilla tal como se muestra en la siguiente imagen:
Bien, y esto es todo, espero a alguien le pueda ser útil esta información.
Gracias y hasta la próxima!
.jpg)
No hay comentarios:
Publicar un comentario