rdp新补丁真的搞笑

ccf

iks 发表于 2026-4-26 19:53
rdp 签名不看 eku，clientAuth 也能签

deepseek 说 ClientAuth 正在被逐步收紧，这意味着普通证书以后也不行了吧？

1. 关于证书类型
我上一轮说的“普通网站证书能用”在技术层面是对的，但2025年下半年开始，各大CA陆续停止在DV SSL证书中包含Client Authentication扩展密钥用途。这意味着新签发的纯网站证书，可能被Windows识别为“不可用于此目的”。如果条件允许，优先使用代码签名证书是最稳妥的选择。

iks

ccf 发表于 2026-4-26 20:17
deepseek 说 ClientAuth 正在被逐步收紧，这意味着普通证书以后也不行了吧？

...

实际测试，使用 rdpsign.exe 对 *.rdp 的签名的实施不检查 eku

仅 serverAuth 也可以签名。


rdp 还有一个专用 eku 叫 Remote Desktop Authentication (1.3.6.1.4.1.311.54.1.2)

HOH

iks 发表于 2026-4-27 10:22
实际测试，使用 rdpsign.exe 对 *.rdp 的签名的实施不检查 eku

仅 serverAuth 也可以签名。

闻到味道来卖证书了是吧

iks

HOH 发表于 2026-4-27 10:25
闻到味道来卖证书了是吧

闻着味来不懂装懂了是吧

ccf

iks 发表于 2026-4-27 10:22
实际测试，使用 rdpsign.exe 对 *.rdp 的签名的实施不检查 eku

仅 serverAuth 也可以签名。

普通证书签倒是可以签，问题是测试过签完还弹窗么

iks

ccf 发表于 2026-4-27 12:21
普通证书签倒是可以签，问题是测试过签完还弹窗么

弹，这个更新的目的是提醒所有用户在第一次连接从未连接过的 rdp 应当注意的重定向的内容，rdp 文件具有有效签名与否只是决定弹窗提醒时显示的是未知发布者还是签名者而已

ccf

iks 发表于 2026-4-27 13:14
弹，这个更新的目的是提醒所有用户在第一次连接从未连接过的 rdp 应当注意的重定向的内容，rdp 文件具有 ...

那就意义不大了，现在只要是RDP文件，每次都弹这个确认，挺烦人的

deepseek 说RDP签名+注册表证书白名单可以不弹，我没试过