Замените самоподписанный сертификат RDP на сертификат, подписанный CA

Несколько серверов обнаруживаются при сканировании безопасности со следующим сообщением:

Следующий сертификат находился в верхней части цепочки сертификатов, отправленной удаленным хостом, но он подписан неизвестным центром сертификации. | Тема : CN=serverabc.local | Эмитент: CN=serverabc.local

Порт, указанный в скане, является портом 3389 (RDP). Сертификаты RDP по умолчанию на каждом сервере (в хранилище сертификатов удаленного рабочего стола) самоподписанный и все еще действительный.

Я думаю, что проблема сводится к тому, что сертификат является самоподписанным, а не подписанным ЦС.

Помогут ли следующие шаги решить эту проблему?

1. Создайте внутренний Центр сертификации
2. Создать новый CSR для уязвимых серверов
3. Подпишите вновь созданные CSR с указанным CA
4. Замените текущие (существующие) самоподписанные сертификаты RDP в хранилище сертификатов удаленного рабочего стола сертификатами, подписанными центром сертификации, на каждом уязвимом сервере.

Есть ли потенциальная проблема / проблемас заменой существующего сертификата сертификатом, подписанным ЦС?

Я был бы признателен за любую помощь/рекомендации по решению этой проблемы, спасибо.

Сертификатам, выданным внутренним ЦС, будут доверять только те клиенты, у которых есть сертификат в их хранилище сертификатов (члены вашего домена и другая инфраструктура, в которой вы устанавливаете сертификат), чего наверняка не будет у сканера безопасности.

Чтобы использовать сертификат, которому будет доверять сканер безопасности, вам обязательно нужно приобрести коммерческий сертификат.