Înlocuiți certificatul RDP semnat cu certificatul semnat CA

Câteva servere sunt preluate de scanările de securitate cu următorul mesaj:

Următorul certificat a fost în partea de sus a lanțului de certificate trimis de gazda la distanță, dar este semnat de o autoritate de certificare necunoscută. | Subiect : CN=serverabc.local | Emitent: CN=serverabc.local

Portul la care se face referire în scanare este portul 3389 (RDP). Certificatele RDP implicite de pe fiecare server (în magazinul de certificate Remote Desktop) sunt autosemnat și încă valabil.

Cred că problema se reduce la faptul că certificatul este autosemnat și nu este semnat de un CA.

Următorii pași ar rezolva această problemă?

1. Creați un intern Autoritate certificată
2. Generați noi CSR-uri pentru serverele vulnerabile
3. Semnează CSR-uri nou create cu CA menționată
4. Înlocuiți certificatele RDP actuale (existente) autosemnate în magazinul de certificate Remote Desktop cu certificatele semnate CA pe fiecare server vulnerabil

Există vreunul potenţială problemă/problemaeste cu schimbarea certificatului existent cu un certificat semnat CA?

Aș aprecia orice ajutor/îndrumare pentru rezolvarea acestei probleme, mulțumesc.

Certificatele emise de CA intern vor fi de încredere doar de clienții care au certificatul în depozitul lor de certificate (membrii domeniului dvs. și altă infrastructură în care instalați certificatul), pe care cu siguranță scanerul de securitate nu îl va avea.

Pentru a utiliza un certificat care va fi de încredere de către scanerul de securitate, cu siguranță va trebui să achiziționați un certificat comercial.