Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Dieser Artikel enthält eine Lösung für ein Problem, bei dem automatisch ein selbstsigniertes Serverauthentifizierungszertifikat generiert wird, um Transport Layer Security (TLS) zu unterstützen, wenn Sie eine Remotedesktopdienste (RDS)-Verbindung mit einem Windows 7-Computer herstellen.
Gilt für: Windows 7 Service Pack 1
Ursprüngliche KB-Nummer: 2001849
Problembeschreibung
Beim Herstellen einer RDS-Verbindung mit einem Windows 7-Computer wird automatisch ein selbstsigniertes Serverauthentifizierungszertifikat generiert, um TLS zu unterstützen. Auf diese Weise können die Daten zwischen Computern verschlüsselt werden. Daten werden nur verschlüsselt, wenn die folgende Gruppenrichtlinieneinstellung auf dem Zielcomputer aktiviert und auf SSL (TLS 1.0) festgelegt ist:
Computer Configuration\Administrative Templates\Windows Components\Remote Desktop Services\Remote Desktop Session Host\Security:Require use of specific security layer for remote (RDP) connections
Ursache
Die Generierung von selbstsignierten Zertifikaten für TLS über eine RDS-Verbindung ist im Design in Windows Vista und Windows 7 aktiviert.
Lösung
Serverauthentifizierungszertifikate werden in Windows Vista und Windows 7 unterstützt. Führen Sie die folgenden Schritte aus, um ein benutzerdefiniertes Zertifikat für RDS zu verwenden:
Installieren Sie ein Serverauthentifizierungszertifikat von einer Zertifizierungsstelle.
Erstellen Sie den folgenden Registrierungswert, der den SHA1-Hash des Zertifikats enthält, um dieses benutzerdefinierte Zertifikat so zu konfigurieren, dass TLS unterstützt wird, anstatt das selbstsignierte Standardzertifikat zu verwenden.
- Ort:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp - Wertname: SSLCertificateSHA1Hash
- Werttyp: REG_BINARY
- Wertdaten: <Zertifikatfingerabdruck>
Der Wert sollte der Fingerabdruck des Zertifikats durch Kommas (,) und keine leeren Leerzeichen getrennt sein. Wenn Sie beispielsweise diesen Registrierungsschlüssel exportieren würden, würde der SSLCertificateSHA1Hash-Wert wie folgt aussehen:
SSLCertificateSHA1Hash=hex:42,49,e1,6e,0a,f0,a0,2e,63,c4,5c,93,fd,52,ad,09,27,82,1b,01
Es ist erforderlich, die Registrierung direkt zu bearbeiten, da auf Windows-Client-SKUs keine Benutzeroberfläche zum Konfigurieren eines Serverzertifikats vorhanden ist.
- Ort:
Der Remotedesktophostdienst wird unter dem NETZWERKDIENST-Konto ausgeführt. Daher ist es erforderlich, die ACL der von RDS verwendeten Schlüsseldatei (referenziert durch das Zertifikat im SSLCertificateSHA1Hash-Registrierungswert) festzulegen, um NETWORK SERVICE mit Leseberechtigungen einzuschließen. Führen Sie die folgenden Schritte aus, um die Berechtigungen zu ändern:
Öffnen Sie das Zertifikat-Snap-In für den lokalen Computer:
- Klicken Sie auf "Start", klicken Sie auf "Ausführen", geben Sie "mmc" ein, und klicken Sie auf "OK".
- Klicken Sie im Menü Datei auf Snap-In hinzufügen/entfernen.
- Klicken Sie im Dialogfeld "Snap-Ins hinzufügen oder entfernen" in der Liste "Verfügbare Snap-Ins " auf "Zertifikate", und klicken Sie auf " Hinzufügen".
- Klicken Sie im Snap-In "Zertifikate " auf "Computerkonto", und klicken Sie dann auf "Weiter".
- Klicken Sie im Dialogfeld "Computer auswählen" auf "Lokaler Computer": (der Computer, auf dem diese Konsole ausgeführt wird) und klicken Sie auf " Fertig stellen".
- Klicken Sie im Dialogfeld "Snap-Ins hinzufügen oder entfernen" auf "OK".
- Erweitern Sie im Snap-In "Zertifikate" in der Konsolenstruktur Zertifikate (lokaler Computer), erweitern Sie "Persönlich", und navigieren Sie zu dem SSL-Zertifikat, das Sie verwenden möchten.
- Klicken Sie mit der rechten Maustaste auf das Zertifikat, wählen Sie "Alle Aufgaben" aus, und wählen Sie "Private Schlüssel verwalten" aus.
- Klicken Sie im Dialogfeld "Berechtigungen" auf "Hinzufügen", geben Sie "NETZWERKDIENST" ein, klicken Sie auf "OK", aktivieren Sie unter dem Kontrollkästchen "Zulassen" die Option "Lesen", und klicken Sie dann auf "OK".
Weitere Informationen
Weitere Informationen zum programmgesteuerten Konfigurieren der RDP-Verschlüsselungseinstellungen finden Sie unter Win32_TSGeneralSetting Klasse.