日本 xrdp ユーザ会
このページでは、TLS 接続を有効にした xrdp をセットアップする方法について解説します。
対象バージョン
2015年3月現在、TLS 対応バージョンの xrdp は正式にリリースはされていませんが、開発版では TLS が既にサポートされています。 2014年11月21日以降の開発版で TLS が安定して動作するようになっています。 また、近日中に TLS 対応の 0.8.1 をリリースすると、開発者の Jay Sorg が発言しています。
インストールされている xrdp のバージョンがわからない場合は /etc/xrdp/xrdp.ini に以下のような記述があるか確認することでも、TLS 対応しているかの目安になります。
# security layer can be 'tls', 'rdp' or 'negotiate' # for client compatible layer security_layer=rdp # X.509 certificate and private key # openssl req -x509 -newkey rsa:2048 -nodes -keyout key.pem -out cert.pem -days 365 certificate= key_file=
対象環境
本ページの内容は以下の環境でテストしましたが、他の環境でもほぼ同様です。
- Ubuntu 14.04.1 LTS
xrdp master 20150108版 (ee89984)
設定方法
TLS 証明書の作成
まず最初に xrdp で使用する秘密鍵と証明書を作成する必要があります。正式な認証局に署名してもらった証明書がある場合は、それを使用しても構いません。 正式な証明書を使用しない場合は、自己署名証明書(オレオレ証明書)を作成して使用することになります。
詳しい作成方法は本ページでは説明しないので、以下のページなどを参照して作成してください。
とりあえずお手軽に作成したい場合は、以下のコマンドで作成することができます。
$ openssl req -x509 -newkey rsa:2048 -nodes -keyout key.pem -out cert.pem -days 365
下のように途中でいくつか入力を求められますが、何も入力せずひたすら Enter でも OK です。
Country Name (2 letter code) [AU]: State or Province Name (full name) [Some-State]: Locality Name (eg, city) []: Organization Name (eg, company) [Internet Widgits Pty Ltd]: Organizational Unit Name (eg, section) []: Common Name (e.g. server FQDN or YOUR name) []: Email Address []:
上手くいくと cert.pem と key.pem という2つのファイルができます。
TLS 証明書の配置
前のステップで作成した cert.pem と key.pem を /etc/xrdp に置きます。正式な証明書を持っている場合は、ファイル名は必ずしもこの通りになっていなくても大丈夫ですが、秘密鍵が key.pem 証明書が cert.pem というファイル名になっている前提で説明します。
コマンド実行例:
$ sudo cp cert.pem key.pem /etc/xrdp
次に、配置した証明書の場所を xrdp.ini 内の certificate, key_file に設定します。sudoedit コマンドなどを使用して xrdp.ini を書き換えます。
$ sudoedit /etc/xrdp/xrdp.ini
差分はこんな感じです。certificate, key_file のデフォルト値はそれぞれ /etc/xrdp/cert.pem, /etc/xrdp/key.pem なので空欄にしたままでも同じなのですが、説明のために明示的に書いています。証明書と秘密鍵のファイル名が異なる場合は、実際の環境に合ったものを指定してください。
--- /etc/xrdp/xrdp.ini.orig 2015-03-18 02:19:39.004806000 +0900 +++ /etc/xrdp/xrdp.ini 2015-03-18 02:20:26.884806000 +0900 @@ -13,11 +13,11 @@ crypt_level=high # security layer can be 'tls', 'rdp' or 'negotiate' # for client compatible layer -security_layer=rdp +security_layer=tls # X.509 certificate and private key # openssl req -x509 -newkey rsa:2048 -nodes -keyout key.pem -out cert.pem -days 365 -certificate= -key_file= +certificate=/etc/xrdp/cert.pem +key_file=/etc/xrdp/key.pem # regulate if the listening socket use socket option tcp_nodelay # no buffering will be performed in the TCP stack
セキュリティレイヤの設定
一つ前の差分にも含まれていますが security_layer=rdp となっている部分を security_layer=tls と書き換えます。
これは RDP 接続の暗号化方法の指定で、rdp を指定した場合は従来の RC4 による暗号化、tls を指定した場合は TLS による暗号化、negociate を指定した場合は、クライアントが対応している方法を自動的に判別します。
今回はより安全な接続をセットアップするため、従来の RC4 を使用せず TLS のみを使用するよう security_layer=tls としておきます。
動作確認
設定が終わったら、xrdp を再起動してクライアントから接続してみます。
$ sudo service xrdp restart
TLS 接続がうまく行っている場合 Windows のクライアントから接続すると、以下の様なエラーが出ます(自己署名証明書の場合)。
証明書の内容を確認して、問題なければ続行してください。
Linux などから rdesktop や FreeRDP で接続する場合は、以下の様にターミナルに表示され、TLS で接続されていることが確認できます。
FreeRDP は接続時に証明書の検証ができますが、rdesktop ではできないようです。
$ rdesktop 192.168.24.207 Connection established using SSL.
$ xfreerdp /v:192.168.24.207
connected to 192.168.24.207:3389
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@ WARNING: CERTIFICATE NAME MISMATCH! @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
The hostname used for this connection (192.168.24.207)
does not match the name given in the certificate:
Common Name (CN):
no CN found in certificate
A valid certificate for the wrong name should NOT be trusted!
Certificate details:
Subject: C = AU, ST = Some-State, O = Internet Widgits Pty Ltd
Issuer: C = AU, ST = Some-State, O = Internet Widgits Pty Ltd
Thumbprint: 6f:c9:80:9a:6b:d2:6c:44:cd:ff:d3:6c:e3:c8:bb:a3:10:cf:cd:71
The above X.509 certificate could not be verified, possibly because you do not have the CA certificate in your certificate store, or the certificate has expired. Please look at the documentation on how to create local certificate store for a private CA.
Do you trust the above certificate? (Y/N)以上の設定で、xrdp の暗号化に TLS を使用することができ、HTTPS などと同レベルのセキュリティを実現できました。
自己署名証明書を使用するリスクも HTTPS などと同じなので、必要に応じて認証局に署名された正式な証明書を使用することを検討してください。