我们的团队最近决定重新配置旧的
Windows Server 2012服务器/网络组,以便将其设置为生产用途.我们最近为所有服务器重命名了旧域,将每个服务器重新连接到域,并为环境购买和上载/配置了新的通配符证书.我们遇到的一个问题是在不同的地方引用旧域名.我们不得不多次分离和重新连接服务器以获得更新域名的预期结果(在大多数情况下这是一个问题).我们似乎在这方面取得了成功.
我无法解决的当前问题是与名称不匹配和证书警告相关的问题.在我的情况下,我通过VPN专用IP地址RDP连接到服务器,但是当我连接时,“请求的远程计算机”名称是服务器的私有IP地址(例如10.20.30.20).它应该是服务器的FQDN(例如computername.blahblah.com).由于它只是看到服务器的IP地址,因此“来自远程计算机的证书中的名称”不匹配(证书中的SAN使用computername.blahblah.com引用).
请注意,此不匹配仅发生在组中的一台服务器上.所有其他服务器的行为与预期的一样,具有与证书中列出的SAN匹配的正确计算机名称.
解决方法
嗯,这样做的简单方法可能是通过主机名而不是IP连接到服务器,这样您就不会看到该警告.
或者,忽略它.您可以忽略它并连接,在这种情况下不会带来安全风险,因为您知道您认为要连接的服务器是您尝试连接的服务器,而不是某种MITM(man在中间)攻击.
当然,正确的方法是重新颁发机器上的证书. You can include the short name and IP address in the SAN (subject alternate name) field on the certificate,以便服务器使用与您连接到它的任何方式匹配证书的名称来标识自己.