Можно сделать круче и намного безопаснее без всяких сертификатов прикрученных к винде и прочее:
1. Поднимаем свой openacess vpn сервер на любом облачном VDS сервере, или другом ресурсе. Кстати можно поднять vpn на этом же сервере к которому планируется доступ через RDP (главное чтобы ip адрес был внешний и к нему был доступ из большого интернета)
2. Запоминаем ip адрес этого сервера, в случае с all in one решением, запоминаем внутренний локальный адрес, который каждый раз будет выдаваться нам при подключении к vpn
3. На роутере делаем проброс портов для RDP, в качестве локального порта указываем 3389, в качестве порта торчащего наружу, любой кроме дефолтного. Протолол - TCP IP либо both , адресом источника указываем ip адрес того openvpn сервера. (пункт2)
4. Таким образом, достучаться к Вашему удаленному рабочему столу можно будет только подключившись через vpn, остальные соединения с любых других адресов будут отбрасываться.