黄色の警告画面
Windowsサーバーにリモートデスクトップ接続を行うと、ほとんどと言っていいほど必ず黄色の警告画面が表示される。
私の場合、速攻で「このコンピューターへの接続について今後確認しない」をチェックして二度と表示されないようにするのであるが、意外と多くの人が毎回「はい」を押しているようだ。特に実害のない警告画面であるが、本当はどうするのが「正しいあり方」なのか、ずっと気になってきた。
なぜ警告画面が出るのか
「この証明書は信頼された認証機関からのものではありません」とある通り、証明書が原因のようだ。それでは証明書を見てみよう。「証明書の表示」ボタンを押すと証明書が表示される。
発行先と発行者が同一なことから「自己署名証明書」であることが分かる。(まあ普通はエラーになりますよね。)
一方、「このCAルート証明書は信頼されていません。...」というメッセージにある通り、それでは、信頼されたルート証明機関に設定しまえばOKなのだろうか。
信頼されたルート証明機関のストアにインストールしてみる
素直に「証明書のインストール」ボタンを押して証明書をインストールしてみる。
「現在のユーザー」ではなく「ローカルコンピューター」を選択することが必要。(リモートデスクトップ接続クライアントは、ローカルコンピューター証明書しか見てくれない。)
証明書ストアとして「信頼されたルート証明機関」を選択して、証明書のインストールを完了させる。
再度リモートデスクトップ接続
再度接続してみると、やっぱり警告画面が!
しかし、よく見るとエラーメッセージが異なっている。証明書の名前がサーバー名となっているのに、IPアドレスで接続していることが原因らしい。
そこで、サーバー名を名前解決できるようにして(今回はhostsに登録)、改めてサーバー名で接続すると警告画面は表示されなくなった。めでたし、めでたし。
とりあえず結論
以下の2点を満たせば、リモートデスクトップ接続時の警告画面は出なくなることが分かった。
- リモートデスクトップ先のサーバー証明書を、クライアントの「信頼されたルート証明機関」にインストールしておくこと
- (IPアドレスではなく)サーバー名で接続すること(名前解決ができることが前提)
しかしこの方法では、接続するサーバーが増えるたびに、いちいちクライアントに証明書をインストール必要がある。しかも利用している証明書が「自己署名証明書」だ。本来ならば、証明機関(CA)を立てて、きちんと証明書を発行すべきだと思うが、実際どうすれば...
「正しいあり方」
検索すれば、あっという間に見つかった。
AD CS(Active Directory証明書サービス)とGPOを用いて、サーバーに証明書を自動で発行するという方法。これぞ「正しいあり方」ですね。
(余談)こんな方法もあるよ
余談だが、そもそも警告を出さないようにする、という手段もある。
リモートデスクトップ接続の「オプション」-「詳細設定」において、サーバー認証が失敗した場合「接続し、警告メッセージは表示しない」を選択すれば、警告画面は二度と出てこない。しかし、これはやっぱり乱暴ですね。