xrdp远程桌面服务证书配置问题排查指南

问题背景

xrdp是一款开源的远程桌面协议(RDP)服务器软件，允许用户通过RDP协议远程连接Linux系统。在Ubuntu 22.04系统上，用户报告xrdp服务突然无法正常工作，表现为连接时出现"Permission denied"错误，无法读取私钥文件。

错误现象分析

从日志中可以观察到几个关键错误信息：

1. Cannot read private key file /etc/xrdp/key.pem: Permission denied - 表明xrdp服务进程没有权限读取私钥文件
2. EVP_PKEY_fromdata_init(ctx) failed - 表明客户端在验证证书时遇到问题
3. failed to update x509 from rdpCertInfo - 证书信息处理失败

根本原因

经过深入分析，发现问题的根源在于：

1. 系统自动生成的snakeoil证书有效期过长（10年），某些RDP客户端可能拒绝接受这种异常配置的证书
2. xrdp服务进程（运行在xrdp用户下）没有足够的权限访问私钥文件
3. 证书和私钥文件通过符号链接指向系统默认的ssl-cert-snakeoil文件，可能导致权限继承问题

解决方案

方法一：创建专用证书

推荐使用专为xrdp服务生成的证书，而非系统默认的snakeoil证书。以下是具体步骤：

1. 生成新的RSA密钥对和证书：

openssl req -x509 -newkey rsa:2048 -sha256 -nodes \
    -keyout key.pem -out cert.pem \
    -days 365 -subj /C=US/ST=CA/L=Sunnyvale/O=xrdp/CN=www.xrdp.org

2. 将生成的文件移动到xrdp配置目录并设置正确权限：

sudo mv key.pem cert.pem /etc/xrdp/
sudo chmod 640 /etc/xrdp/key.pem
sudo chown root:xrdp /etc/xrdp/key.pem
sudo chmod 644 /etc/xrdp/cert.pem

3. 重启xrdp服务使更改生效：

sudo systemctl restart xrdp

方法二：调整现有证书权限

如果希望继续使用系统默认证书，需要确保xrdp用户可以访问私钥：

1. 将xrdp用户添加到ssl-cert组：

sudo adduser xrdp ssl-cert

2. 验证私钥文件权限：

ls -l /etc/ssl/private/ssl-cert-snakeoil.key

确保组权限为ssl-cert且可读

3. 重启相关服务：

sudo systemctl restart xrdp

最佳实践建议

1. 证书管理：为xrdp服务创建专用证书，而非使用系统默认证书
2. 权限控制：确保私钥文件只能被必要服务读取，通常设置为640权限
3. 有效期：证书有效期建议设为1-2年，过长的有效期可能被安全策略拒绝
4. 日志监控：定期检查xrdp日志，及时发现连接问题
5. 客户端兼容性：测试不同RDP客户端（如Remmina、Windows远程桌面等）的连接情况

总结

xrdp服务的证书和权限配置是确保远程桌面连接正常工作的关键因素。通过创建专用证书并正确设置文件权限，可以解决大多数连接问题。系统管理员应当定期检查证书有效期和文件权限，确保服务持续稳定运行。对于生产环境，建议考虑使用正规CA签发的证书，而非自签名证书，以提高安全性和兼容性。