2015-03-17 17:38:22時点のリビジョン2

メッセージを消す

Locked History Actions

ノート/TLS接続

目次

  1. 対象バージョン
  2. 対象環境
  3. 設定方法
    1. TLS 証明書の作成
    2. TLS 証明書の配置
    3. セキュリティレイヤの設定

このページでは、TLS 接続を有効にした xrdp をセットアップする方法について解説します。

対象バージョン

2015年3月現在、TLS 対応バージョンの xrdp は正式にリリースはされていませんが、開発版では TLS が既にサポートされています。 2014年11月21日以降の開発版で TLS が安定して動作するようになっています。 また、近日中に TLS 対応の 0.8.1 をリリースすると、開発者の Jay Sorg が発言しています

インストールされている xrdp のバージョンがわからない場合は /etc/xrdp/xrdp.ini に以下のような記述があるか確認することでも、TLS 対応しているかの目安になります。 

# security layer can be 'tls', 'rdp' or 'negotiate'
# for client compatible layer
security_layer=rdp
# X.509 certificate and private key
# openssl req -x509 -newkey rsa:2048 -nodes -keyout key.pem -out cert.pem -days 365
certificate=
key_file=

対象環境

本ページの内容は以下の環境でテストしましたが、他の環境でもほぼ同様です。

  • Ubuntu 14.04.1 LTS

  • xrdp master 20150108版 (ee89984)

設定方法

TLS 証明書の作成

まず最初に xrdp で使用する秘密鍵と証明書を作成する必要があります。正式な認証局に署名してもらった証明書がある場合は、それを使用しても構いません。 正式な証明書を使用しない場合は、自己署名証明書(オレオレ証明書)を作成して使用することになります。

詳しい作成方法は本ページでは説明しないので、以下のページなどを参照して作成してください。

とりあえずお手軽に作成したい場合は、以下のコマンドで作成することができます。 

$ openssl req -x509 -newkey rsa:2048 -nodes -keyout key.pem -out cert.pem -days 365

下のように途中でいくつか入力を求められますが、何も入力せずひたすら Enter でも OK です。 

Country Name (2 letter code) [AU]:
State or Province Name (full name) [Some-State]:
Locality Name (eg, city) []:
Organization Name (eg, company) [Internet Widgits Pty Ltd]:
Organizational Unit Name (eg, section) []:
Common Name (e.g. server FQDN or YOUR name) []:
Email Address []:

上手くいくと cert.pemkey.pem という2つのファイルができます。

TLS 証明書の配置

前のステップで作成した cert.pemkey.pem を /etc/xrdp に置きます。正式な証明書を持っている場合は、ファイル名は必ずしもこの通りになっていなくても大丈夫ですが、秘密鍵が key.pem 証明書が cert.pem というファイル名になっている前提で説明します。

コマンド実行例: 

$ sudo cp cert.pem key.pem /etc/xrdp

次に、配置した証明書の場所を xrdp.ini 内の certificate, key_file に設定します。sudoedit コマンドなどを使用して xrdp.ini を書き換えます。 

$ sudoedit /etc/xrdp/xrdp.ini

差分はこんな感じです。certificate, key_file のデフォルト値はそれぞれ /etc/xrdp/cert.pem, /etc/xrdp/key.pem なので空欄にしたままでも同じなのですが、説明のために明示的に書いています。証明書と秘密鍵のファイル名が異なる場合は、実際の環境に合ったものを指定してください。 

--- /etc/xrdp/xrdp.ini.orig     2015-03-18 02:19:39.004806000 +0900
+++ /etc/xrdp/xrdp.ini  2015-03-18 02:20:26.884806000 +0900
@@ -13,11 +13,11 @@
 crypt_level=high
 # security layer can be 'tls', 'rdp' or 'negotiate'
 # for client compatible layer
-security_layer=rdp
+security_layer=tls
 # X.509 certificate and private key
 # openssl req -x509 -newkey rsa:2048 -nodes -keyout key.pem -out cert.pem -days 365
-certificate=
-key_file=
+certificate=/etc/xrdp/cert.pem
+key_file=/etc/xrdp/key.pem

 # regulate if the listening socket use socket option tcp_nodelay
 # no buffering will be performed in the TCP stack

セキュリティレイヤの設定

一つ前の差分にも含まれていますが security_layer=rdp となっている部分を security_layer=tls と書き換えます。

これは RDP 接続の暗号化方法の指定で、rdp を指定した場合は従来の RC4 による暗号化、tls を指定した場合は TLS による暗号化、negociate を指定した場合は、クライアントが対応している方法を自動的に判別します。

今回はより安全な接続をセットアップするため、従来の RC4 を使用せず TLS のみを使用するよう security_layer=tls としておきます。