Bonjour à tous,
 
Nous avons monté une infra RDS composée comme suit:
 
- 1 Gateway
- 1 Broker
- 2 serveurs RemoteApp
- 2 serveurs bureau à distance.
 
le tout ronronne parfaitement.
 
La gateway est donc accessible en HTTPS et elle a un certificat signé.
Le broker à un certificat délivré par l'autorité de certification racine d'un de nos DC.
En interne, avec les PC du domaine, nous n'avons pas les Warnings liés au fait que le certificat du broker n’est pas signé.
par contre, depuis un pc hors-domaine et depuis l'extérieur, nous avons ce warning.
 
je me dis donc que je dois y mettre un certificat signé.
j'imagine que ce certificat devra renvoyer vers une adresse https://nom_broker.nom_domaine.local ?
Via la console d'admin, pour les rôles Broker, je ne peux y mettre que des .PFX.
 
C'est là que je suis pas sûr de mon coup, je m'y perd un peu avec tous ces types/formats de certificats.
Que feriez-vous pour que je n'ai plus ces warnings?
 
merci de vos éclaircissements!

De mémoire, tu as des certificats au niveau https et RDP.
- Pour la partie https, c'est tout simplement le nom DNS avec lequel tu appelera ton site,  
- Pour la partie RDP, c'est le nom DNS de la farm, tel que défini pour renvoyer vers tes session hosts.
 
Pour les formats de certificats, ca reste généralement possible de convertir les formats, tant que tu as bien les infos nécessaires dedans : un *.cer / *.crt / *.pem ne contiendra par exemple pas la clef privée. Un *.pfx incluera le certificat, la clef privée, et la chaine de certification. Tu peux fusionner un .cer+.chn+.key pour en faire un .pfx :
https://blogs.technet.microsoft.com [...] h-openssl/

merci de ta réponse.
 
bon j'ai pas mal cherché d'infos depuis ton post et je bloque sur un point.
 
je souhaiterai donc un certificat pour la partie RDP.
le nom de la ferme RDS sera effectivement utilisé.
par contre celle-ci est sous la forme "broker.domain.local".
 
je vois mal contacter Globalsign ou verisign en leur demandant du "broker.domain.local"?
 
Je suis pas à l'aise avec les certifs, c’est un peu ma bête noire  

en effet c'est plus possible

pour ceux que ca intéresse:
 
éléments de réponse / infos ici:
 
https://ryanmangansitblog.com/2013/ [...] s-and-sso/
 
une piste de soluce là:
 
https://gallery.technet.microsoft.c [...] r-2a029b80

Effectivement, si tu n'as pas ta PKI en interne qui peut te les délivrer ca peut être problématique. Une solution peut être de faire un "local.domain.com" qui n'est pas résolu sur internet, mais seulement sur tes dns internes.

retour sur le sujet:
 
- certificat en .fr mis sur le broker
- entrée broker.domain.fr mis sur DNS interne
 
tout fonctionne nickel.