Настройка подписи RDP файла

Включение подписи RDP файла

Чтобы включить подпись RDP-файла, требуется отредактировать раздел Rdp файла конфигурации Core, который находится по пути:

C:\inetpub\wwwroot\core — для Windows

 "Rdp": {
    "UseRemoteApp": false,
    "SignRdpFile": true,
    "Certificate": "16c214ba7dec702a7ce5e4ac727502b0c0d448e2",
    "Password": ""
  },

/etc/indeed/indeed-pam/core — для Linux

 "Rdp": {
    "UseRemoteApp": false,
    "SignRdpFile": true,
    "Certificate": "/etc/",
    "Password": "1234"
  },

Секция Rdp

• SignRdpFile — включение подписи RDP-файла.
• Certificate — отпечаток сертификата или путь до самого сертификата.
• Password — пароль сертификата. Заполняется, если в параметре Certificate был указан путь до сертификата.

После редактирования файла конфигурации требуется перезапустить компонент Core.

Windows

Перезапустить IIS

Linux

Перейти в папку /etc/indeed/indeed-pam:

cd /etc/indeed/indeed-pam

Перезапустить компонент Indeed PAM Core:

sudo docker compose -f docker-compose.management-server.yml up -d core --force-recreate

или

sudo docker-compose -f docker-compose.management-server.yml up -d core --force-recreate

Настройка сертификата

Для включения подписи RDP-файла требуется сертификат, выданный удостоверяющим центром сертификации.

note

Все действия, описанные ниже, проходят на сервере управления с установленным компонентом Core.

Windows с отпечатком

1. Добавьте сертификат в личное хранилище компьютера.
2. Откройте меню сертификата Все задачи (All Tasks) → Управление закрытыми ключами (Manage Private Keys...).
3. Нажмите Добавить... (Add...). В открывшемся окне нажмите Размещение... (Locations...), выберите локальный компьютер → ОК.
4. В поле введите имя IIS_IUSRS → ОК.
   
5. Отредактируйте файл конфигурации, указав отпечаток сертификата без пароля.

Linux с импортированием ключа формате PFX

1. Импортируйте в папку /etc/indeed/indeed-pam/keys/rdp-sign.pfx сертификат в формате PFX с приватным ключом и паролем.
2. Отредактируйте файл конфигурации, указав путь к сертификату и пароль.
3. Отредактируйте файл /etc/indeed/indeed-pam/docker-compose.management-server.yml добавив строчку
   ./keys/rdp-sign.pfx:/etc/indeed/indeed-pam/keys/rdp-sign.pfx в разделе core → volumes для проброса сертификата в контейнер:

   volumes:
     - ./core/events:/var/lib/indeed/indeed-pam/events
     - ./core/appsettings.json:/app/appsettings.json:ro
     - ./keys/shared/protector:/etc/indeed/indeed-pam/keys/shared/protector:ro
     - ./keys/core:/etc/indeed/indeed-pam/keys/core:ro
     - ./ca-certificates:/usr/local/share/ca-certificates:ro
     - ./logs/core:/app/logs
     - ./keys/rdp-sign.pfx:/etc/indeed/indeed-pam/keys/rdp-sign.pfx