Настройка подписи RDP файла
Включение подписи RDP файла
Для того, чтобы включить подпись RDP файла необходимо отредактировать раздел Rdp файла конфигурации Core, находящийся по пути:
C:\inetpub\wwwroot\pam\core — для Windows
"Rdp": {
"UseRemoteApp": false,
"SignRdpFile": true,
"Certificate": "16c214ba7dec702a7ce5e4ac727502b0c0d448e2",
"Password": ""
},
/etc/indeed/indeed-pam/core — для Linux
"Rdp": {
"UseRemoteApp": false,
"SignRdpFile": true,
"Certificate": "/etc/",
"Password": "1234"
},
Секция Rdp
- SignRdpFile — включение подписи RDP файла.
- Certificate — отпечаток сертификата или путь до самого сертификата.
- Password — пароль сертификата. Пишется если в параметре Certificate был указан путь до сертификата.
После редактирования файла конфигурации необходимо перезапустить компонент Core.
Windows
Перезапустить IIS.
Linux
Перейти в папку /etc/indeed/indeed-pam.
cd /etc/indeed/indeed-pam
Перезапустить компонент Indeed PAM Core:
sudo docker compose -f docker-compose.management-server.yml up -d core --force-recreate
или
sudo docker-compose -f docker-compose.management-server.yml up -d core --force-recreate
Настройка сертификата
Для включения подписи RDP файла необходим сертификат, выданный удостоверяющим центром сертификации
примечание
Все действия, описанные ниже, проходят на сервере управления с установленным компонентом Core.
Windows с отпечатком
- Добавить сертификат в личное хранилище компьютера.
- Открыть меню сертификата Все задачи (All Tasks) → Управление закрытыми ключами (Manage Private Keys...).
- Нажать Добавить... (Add...) в открывшемся окне нажать Размещение... (Locations...), выбрать локальный компьютер → ОК.
- В поле ввести имя IIS_IUSRS → ОК.
- Отредактировать файл конфигурации, указав отпечаток сертификата без пароля.
Linux с импортированием ключа формате PFX
- Импортировать в папку /etc/indeed/indeed-pam/keys/rdp-sign.pfx сертификат в формате PFX с приватным ключом и паролем.
- Отредактировать файл конфигурации, указав путь к сертификату и пароль.
- Отредактировать файл /etc/indeed/indeed-pam/docker-compose.management-server.yml добавив строчку
./keys/rdp-sign.pfx:/etc/indeed/indeed-pam/keys/rdp-sign.pfx
в разделеcore
→volumes
для проброса сертификата в контейнер:volumes:
- ./core/events:/var/lib/indeed/indeed-pam/events
- ./core/appsettings.json:/app/appsettings.json:ro
- ./keys/shared/protector:/etc/indeed/indeed-pam/keys/shared/protector:ro
- ./keys/core:/etc/indeed/indeed-pam/keys/core:ro
- ./ca-certificates:/usr/local/share/ca-certificates:ro
- ./logs/core:/app/logs
- ./keys/rdp-sign.pfx:/etc/indeed/indeed-pam/keys/rdp-sign.pfx