Servicios de Escritorio Remoto en grupo de trabajo, ¿es posible? (2ª parte)

En el anterior post tratamos la posibilidad de instalar y poner en marcha el rol de servicios de escritorio remoto en un servidor Windows Server 2016 sin pertenecer a un dominio de Active Directory, es decir, en grupo de trabajo.

Esto conlleva cierta configuración añadida. Sin embargo, una vez que lo dejamos listo para funcionar, nos damos cuenta de que siempre que un usuario se conecta con el cliente de escritorio remoto al servidor, aparece una advertencia. En ella se indica que el certificado digital no es confiable.

Esto se debe a que no puede verificar la autenticidad del certificado de servidor exhibido, ya que es es un certificado auto-firmado. La autenticidad del servidor la garantiza el propio servidor, como si fuera un certificado de una Autoridad Certificadora de tipo Raíz.

Si seguimos los pasos automáticamente tal y como nos indica, instalará el certificado en el almacén ‘personal’. Esto no nos soluciona el problema, ya que no es el almacén adecuado. Incluso si seleccionamos el almacén correcto, ‘Trusted Root Certification Authorities‘, nos seguiría dando error porque lo estamos haciendo desde la parte de usuario. Para que todo funcione correctamente, deberemos seguir los siguientes pasos:

• Instalar el certificado automáticamente.
• Exportar el certificado.
• Importar el certificado en el almacén correspondiente en la cuenta de equipo.

Vamos a ello.

1. Instalación del certificado de forma automática.

Para ello, y retomando el asistente que teníamos abierto, finalizamos la instalación.

2. Exportación del certificado.

Para ello crearemos una consola MMC y añadiremos el complement de certificado para el usuario actual.

Si expandimos Raíz de consola -> Certificados: usuario actual -> Entidades de certificación intermedias -> Certificados veremos donde está el certificado que hemos instalado.

Para exportar el certificado, pulsamos botón derecho sobre el certificado, escogemos ‘Todas las tareas’ y ‘Exportar’. Siguiendo el asistente, seleccionamos la primera opción DER

Seleccionamos el lugar donde queremos exportar el certificado y guardamos.

3. Ahora importaremos el certificado en el almacén correspondiente de la cuenta ‘mi equipo’. Necesitaremos iniciar sesión en nuestro equipo con un usuario con permisos de administrador local.

Abriremos de nuevo una consola MMC del mismo modo que el apartado anterior. Añadiremos el complemento para certificado, pero esta vez escogeremos el contenedor de máquina local.

Dejaremos las opciones de equipo por defecto (mi equipo local) y continuamos.

Ahora importaré el certificado, que había exportado anteriormente como usuario, pero ahora en ‘Entidades de certificación raíz de confianza‘ con la cuenta de equipo local. Pulsamos botón derecho sobre el almacén ‘Certificados’ dentro de ‘Entidades de certificación raíz de confianza’, escogemos ‘Todas las tareas’ e ‘Importar’.

Siguiendo el asistente, localizaremos el certificado exportado anteriormente para importarlo, como indico en las imágenes.

Si volvemos a iniciar sesión de escritorio remoto, observaremos que ya no aparece la advertencia por la confiabilidad del certificado.

Espero que os haya servido de ayuda.