Thay thế chứng chỉ RDP tự ký bằng chứng chỉ CA đã ký

Một số máy chủ đang được quét bảo mật với thông báo sau:

Chứng chỉ sau nằm ở đầu chuỗi chứng chỉ do máy chủ từ xa gửi, nhưng chứng chỉ này được ký bởi một tổ chức phát hành chứng chỉ không xác định. | Chủ đề : CN=serverabc.local | Đơn vị phát hành: CN=serverabc.local

Cổng được tham chiếu trong quá trình quét là cổng 3389 (RDP). Chứng chỉ RDP mặc định trên mỗi máy chủ (trong cửa hàng chứng chỉ Máy tính Từ xa) là tự ký và vẫn còn hiệu lực.

Tôi nghĩ rằng vấn đề bắt nguồn từ việc chứng chỉ được ký tự và không được ký bởi CA.

Các bước sau đây sẽ giải quyết vấn đề này?

1. Tạo nội bộ Cơ quan cấp chứng chỉ
2. Tạo mới CSR của cho các máy chủ dễ bị tấn công
3. Ký CSR mới được tạo với CA đã đề cập
4. Thay thế các chứng chỉ RDP tự ký hiện tại (hiện có) trong kho lưu trữ chứng chỉ Máy tính Từ xa bằng các chứng chỉ đã ký CA trên mỗi máy chủ dễ bị tấn công

có cái nào không vấn đề/vấn đề tiềm ẩns với việc hoán đổi chứng chỉ hiện có bằng chứng chỉ có chữ ký của CA?

Tôi đánh giá cao bất kỳ trợ giúp/hướng dẫn nào để giải quyết vấn đề này, cảm ơn.

Chứng chỉ do CA nội bộ cấp sẽ chỉ được tin cậy bởi các máy khách có chứng chỉ trong kho lưu trữ chứng chỉ của họ (các thành viên miền của bạn và cơ sở hạ tầng khác nơi bạn cài đặt chứng chỉ), điều mà trình quét bảo mật chắc chắn sẽ không có.

Để sử dụng chứng chỉ sẽ được máy quét bảo mật tin cậy, chắc chắn bạn sẽ cần mua chứng chỉ thương mại.