このページでは、TLS 接続を有効にした xrdp をセットアップする方法について解説します。
対象バージョン
2015年3月現在、TLS 対応バージョンの xrdp は正式にリリースはされていませんが、開発版では TLS が既にサポートされています。 2014年11月21日以降の開発版で TLS が安定して動作するようになっています。 また、近日中に TLS 対応の 0.8.1 をリリースすると、開発者の Jay Sorg が発言しています。
インストールされている xrdp のバージョンがわからない場合は /etc/xrdp/xrdp.ini に以下のような記述があるか確認することでも、TLS 対応しているかの目安になります。
# security layer can be 'tls', 'rdp' or 'negotiate' # for client compatible layer security_layer=rdp # X.509 certificate and private key # openssl req -x509 -newkey rsa:2048 -nodes -keyout key.pem -out cert.pem -days 365 certificate= key_file=
対象環境
本ページの内容は以下の環境でテストしましたが、他の環境でもほぼ同様です。
- Ubuntu 14.04.1 LTS
xrdp master 20150108版 (ee89984)
設定方法
TLS 証明書の作成
まず最初に xrdp で使用する秘密鍵と証明書を作成する必要があります。正式な認証局に署名してもらった証明書がある場合は、それを使用しても構いません。 正式な証明書を使用しない場合は、自己署名証明書(オレオレ証明書)を作成して使用することになります。
詳しい作成方法は本ページでは説明しないので、以下のページなどを参照して作成してください。
とりあえずお手軽に作成したい場合は、以下のコマンドで作成することができます。
$ openssl req -x509 -newkey rsa:2048 -nodes -keyout key.pem -out cert.pem -days 365
下のように途中でいくつか入力を求められますが、何も入力せずひたすら Enter でも OK です。
Country Name (2 letter code) [AU]: State or Province Name (full name) [Some-State]: Locality Name (eg, city) []: Organization Name (eg, company) [Internet Widgits Pty Ltd]: Organizational Unit Name (eg, section) []: Common Name (e.g. server FQDN or YOUR name) []: Email Address []:
上手くいくと cert.pem と key.pem という2つのファイルができます。
TLS 証明書の配置
前のステップで作成した cert.pem と key.pem を /etc/xrdp に置きます。正式な証明書を持っている場合は、ファイル名は必ずしもこの通りになっていなくても大丈夫ですが、秘密鍵が key.pem 証明書が cert.pem というファイル名になっている前提で説明します。
コマンド実行例:
$ sudo cp cert.pem key.pem /etc/xrdp
次に、配置した証明書の場所を xrdp.ini 内の certificate, key_file に設定します。sudoedit コマンドなどを使用して xrdp.ini を書き換えます。
$ sudoedit /etc/xrdp/xrdp.ini
差分はこんな感じです。certificate, key_file のデフォルト値はそれぞれ /etc/xrdp/cert.pem, /etc/xrdp/key.pem なので空欄にしたままでも同じなのですが、説明のために明示的に書いています。証明書と秘密鍵のファイル名が異なる場合は、実際の環境に合ったものを指定してください。
--- /etc/xrdp/xrdp.ini.orig 2015-03-18 02:19:39.004806000 +0900 +++ /etc/xrdp/xrdp.ini 2015-03-18 02:20:26.884806000 +0900 @@ -13,11 +13,11 @@ crypt_level=high # security layer can be 'tls', 'rdp' or 'negotiate' # for client compatible layer -security_layer=rdp +security_layer=tls # X.509 certificate and private key # openssl req -x509 -newkey rsa:2048 -nodes -keyout key.pem -out cert.pem -days 365 -certificate= -key_file= +certificate=/etc/xrdp/cert.pem +key_file=/etc/xrdp/key.pem # regulate if the listening socket use socket option tcp_nodelay # no buffering will be performed in the TCP stack
セキュリティレイヤの設定
一つ前の差分にも含まれていますが security_layer=rdp となっている部分を security_layer=tls と書き換えます。
これは RDP 接続の暗号化方法の指定で、rdp を指定した場合は従来の RC4 による暗号化、tls を指定した場合は TLS による暗号化、negociate を指定した場合は、クライアントが対応している方法を自動的に判別します。
今回はより安全な接続をセットアップするため、従来の RC4 を使用せず TLS のみを使用するよう security_layer=tls としておきます。