Zertifikatkonfigurationen für Remotedesktoplistener

In diesem Artikel werden die Methoden zum Konfigurieren von Listenerzertifikaten auf einem Windows Server beschrieben, der nicht Teil einer RdS-Bereitstellung (Remote Desktop Services) ist.

Ursprüngliche KB-Nummer: 3042780

Informationen zur Verfügbarkeit des Remotedesktopserverlisteners

Die Listenerkomponente wird auf dem Remotedesktopserver ausgeführt und ist für das Überwachen und Akzeptieren neuer RDP-Clientverbindungen (Remote Desktop Protocol) verantwortlich. Auf diese Weise können Benutzer neue Remotesitzungen auf dem Remotedesktopserver einrichten. Es gibt einen Listener für jede jeweilige Verbindung der Remote Desktop-Dienste, die auf dem Remotedesktopserver besteht. Verbindungen können mithilfe des Remotedesktopdienste-Konfigurationstools erstellt und konfiguriert werden.

Konfigurieren Sie das Listener-Zertifikat für den Remotedesktopserver.

WMI

Die Konfigurationsdaten für den RDS-Listener werden in der Klasse in der Win32_TSGeneralSetting Windows-Verwaltungsinstrumentation (WMI) unter dem Root\CimV2\TerminalServices Namespace gespeichert.

Auf das Zertifikat für den RDS-Listener wird über den Fingerabdruckwert dieses Zertifikats in einer SSLCertificateSHA1Hash-Eigenschaft verwiesen. Der Fingerabdruckwert ist für jedes Zertifikat eindeutig.

Notiz

Bevor Sie die Befehle ausführen, muss das Zertifikat, das Sie verwenden möchten, in den persönlichen Zertifikatspeicher für das Computerkonto (über certlm.msc) importiert werden. Wenn Sie das Zertifikat nicht importieren, wird ein Fehler "Ungültiger Parameter " angezeigt.

Führen Sie die folgenden Schritte aus, um ein Zertifikat mithilfe von WMI zu konfigurieren:

1. Öffnen Sie das Dialogfeld "Eigenschaften" für Ihr Zertifikat, und wählen Sie die Registerkarte "Details " aus.

2. Scrollen Sie nach unten zum Fingerabdruckfeld und kopieren Sie die durch Leerzeichen getrennte hexadezimale Zeichenfolge in einen Editor wie Notepad.

   Der folgende Screenshot zeigt ein Beispiel für den Zertifikatfingerabdruck in den Zertifikateigenschaften :

   

   Wenn Sie die Zeichenfolge in Editor kopieren, sollte sie dem folgenden Screenshot ähneln:

   

   Nachdem Sie die Leerzeichen in der Zeichenfolge entfernt haben, enthält sie weiterhin das unsichtbare ASCII-Zeichen, das nur an der Eingabeaufforderung sichtbar ist. Der folgende Screenshot ist ein Beispiel:

   

   Stellen Sie sicher, dass dieses ASCII-Zeichen entfernt wird, bevor Sie den Befehl ausführen, um das Zertifikat zu importieren.

3. Entfernen Sie alle Leerzeichen aus der Zeichenfolge. Es kann ein unsichtbares ACSII-Zeichen geben, das ebenfalls kopiert wird. Dieses Zeichen ist in Notepad nicht sichtbar. Um die Zeichenfolge zu überprüfen, kopieren Sie die Zeichenfolge direkt in das Eingabeaufforderungsfenster.

4. Führen Sie an der Eingabeaufforderung den folgenden wmic Befehl zusammen mit dem In Schritt 3 abgerufenen Fingerabdruckwert aus:

   wmic /namespace:\\root\cimv2\TerminalServices PATH Win32_TSGeneralSetting Set SSLCertificateSHA1Hash="THUMBPRINT"
   

   Der folgende Screenshot zeigt ein erfolgreiches Beispiel:

   

2. Scrollen Sie nach unten zum Fingerabdruckfeld und kopieren Sie die durch Leerzeichen getrennte hexadezimale Zeichenfolge in einen Text-Editor wie Editor.

   Der folgende Screenshot zeigt ein Beispiel für den Zertifikatfingerabdruck in den Zertifikateigenschaften :

   

   Wenn Sie die Zeichenfolge in den Editor Notepad kopieren, sollte sie wie das folgende Screenshot aussehen.

   

   Nachdem Sie die Leerzeichen in der Zeichenfolge entfernt haben, enthält sie weiterhin ein unsichtbares ASCII-Zeichen, das nur an der Eingabeaufforderung sichtbar ist. Im folgenden Screenshot wird ein Beispiel gezeigt:

   

   Stellen Sie sicher, dass dieses ASCII-Zeichen entfernt wird, bevor Sie den Befehl ausführen, um das Zertifikat zu importieren.

3. Entfernen Sie alle Leerzeichen aus der Zeichenfolge. Möglicherweise gibt es ein unsichtbares ACSII-Zeichen, das ebenfalls kopiert wird. Dieses Zeichen ist in Notepad nicht sichtbar. Um die Zeichenfolge zu überprüfen, kopieren Sie die Zeichenfolge direkt in das Eingabeaufforderungsfenster.

4. Führen Sie an der Eingabeaufforderung den folgenden wmic Befehl zusammen mit dem In Schritt 3 abgerufenen Fingerabdruckwert aus:

   wmic /namespace:\\root\cimv2\TerminalServices PATH Win32_TSGeneralSetting Set SSLCertificateSHA1Hash="THUMBPRINT"
   

   Der folgende Screenshot zeigt ein erfolgreiches Beispiel:

   

2. Scrollen Sie nach unten zum Fingerabdruckfeld , und kopieren Sie es. Der folgende Screenshot ist ein Beispiel für den Zertifikatfingerabdruck in den Zertifikateigenschaften :

   

3. Führen Sie an der Eingabeaufforderung den folgenden PowerShell-Befehl zusammen mit dem In Schritt 2 abgerufenen Fingerabdruckwert aus:

   Get-WmiObject -class "Win32_TSGeneralSetting" -Namespace root\cimv2\terminalservices | Set-WmiInstance -Arguments @{SSLCertificateSHA1Hash="THUMBPRINT"}
   

   Der folgende Screenshot zeigt ein erfolgreiches Beispiel:

   

Registrierung

Wichtig

Folgen Sie den Schritten in diesem Abschnitt sorgfältig. Wird die Registrierung falsch angepasst, können schwerwiegende Probleme auftreten. Bevor Sie sie ändern, wird erläutert, wie Sie die Registrierung in Windows sichern und wiederherstellen, falls Probleme auftreten.

Führen Sie die folgenden Schritte aus, um ein Zertifikat mithilfe des Registrierungs-Editors zu konfigurieren:

1. Installieren Sie ein Serverauthentifizierungszertifikat mithilfe eines Computerkontos im persönlichen Zertifikatspeicher.

2. Erstellen Sie den folgenden Registrierungswert, der den SHA1-Hash des Zertifikats enthält, damit Sie dieses benutzerdefinierte Zertifikat so konfigurieren können, dass TLS unterstützt wird, anstatt das standardmäßige selbstsignierte Zertifikat zu verwenden.

   • Registrierungspfad: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp
   • Wertname: SSLCertificateSHA1Hash
   • Werttyp: REG_BINARY
   • Wertdaten: Zertifikatfingerabdruck

   Der Wert sollte der Fingerabdruck des Zertifikats sein und durch Komma (,) ohne leere Leerzeichen getrennt werden. Wenn Sie beispielsweise diesen Registrierungsschlüssel exportieren würden, würde der WERT SSLCertificateSHA1Hash wie folgt lauten:

   Windows Registry Editor Version 5.00
   
   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp]
   "SSLCertificateSHA1Hash"=hex:42,49,e1,6e,0a,f0,a0,2e,63,c4,5c,93,fd,52,ad,09,27,82,1b,01
   

3. Die Remotedesktophostdienste werden unter dem NETZWERKDIENST-Konto ausgeführt. Daher müssen Sie die Systemzugriffssteuerungsliste (SACL) der Schlüsseldatei festlegen, die von RDS verwendet wird, um NETZWERKDIENST zusammen mit den Leseberechtigungen einzuschließen.

   Führen Sie zum Ändern der Berechtigungen die folgenden Schritte im Zertifikat-Snap-In für den lokalen Computer aus:

   1. Wählen Sie "Start" aus, wählen Sie "Ausführen", geben Sie "mmc" ein, und wählen Sie dann "OK" aus.
   2. Wählen Sie im Datei-Menü Snap-In hinzufügen/entfernen aus.
   3. Wählen Sie im Dialogfeld "Snap-Ins hinzufügen oder entfernen " in der Liste "Verfügbare Snap-Ins " die Option "Zertifikate" und dann "Hinzufügen" aus.
   4. Wählen Sie im Dialogfeld Zertifikate die Option Computerkonto aus und klicken Sie dann auf Weiter.
   5. Wählen Sie im Dialogfeld "Computer auswählen" die Option "Lokaler Computer" aus : (der Computer, auf dem diese Konsole ausgeführt wird), und wählen Sie dann "Fertig stellen" aus.
   6. Klicken Sie im Dialogfeld Snap-Ins hinzufügen oder entfernen auf OK.
   7. Erweitern Sie im Snap-In "Zertifikate" in der Konsolenstruktur Zertifikate (lokaler Computer), erweitern Sie "Persönlich", und wählen Sie dann das SSL-Zertifikat aus, das Sie verwenden möchten.
   8. Klicken Sie mit der rechten Maustaste auf das Zertifikat, wählen Sie Alle Aufgaben und klicken Sie auf Privatschlüssel verwalten.
   9. Wählen Sie im Dialogfeld "Berechtigungen" die Option "Hinzufügen" aus, geben Sie "NETZWERKDIENST" ein, wählen Sie "OK" aus, aktivieren Sie unter dem Kontrollkästchen "Zulassen" die Option "Lesen", und wählen Sie dann "OK" aus.

MMC

Mit dem Microsoft Management Console(MMC)-Snap-In (Remote Desktop Configuration Manager) können Sie direkt auf den RDP-Listener zugreifen. Im Snap-In können Sie ein Zertifikat an den Listener binden und wiederum SSL-Sicherheit für die RDP-Sitzungen erzwingen.

Die Microsoft Management Console (MMC)-Methode ist ab Windows Server 2012 oder Windows Server 2012 R2 nicht verfügbar. Sie können den RDP-Listener jedoch immer mithilfe von WMI oder der Registrierung konfigurieren.

Die Microsoft Management Console (MMC)-Methode ist ab Windows Server 2012 oder Windows Server 2012 R2 nicht verfügbar. Sie können den RDP-Listener jedoch immer mithilfe von WMI oder der Registrierung konfigurieren.