Zertifikatkonfigurationen für Remotedesktoplistener
In diesem Artikel werden die Methoden zum Konfigurieren von Listenerzertifikaten auf einem Windows Server 2012- oder Windows Server 2012-basierten Server beschrieben, der nicht Teil einer RDS-Bereitstellung (Remotedesktopdienste) ist.
Ursprüngliche KB-Nummer: 3042780
Informationen zur Verfügbarkeit des Remotedesktopserverlisteners
Die Listenerkomponente wird auf dem Remotedesktopserver ausgeführt und ist für das Lauschen und Akzeptieren neuer RDP-Clientverbindungen (Remotedesktopprotokoll) verantwortlich. Dadurch können Benutzer neue Remotesitzungen auf dem Remotedesktopserver einrichten. Es gibt einen Listener für jede Remotedesktopdienste-Verbindung, die auf dem Remotedesktopserver vorhanden ist. Verbindungen können mithilfe des Remotedesktopdienste-Konfigurationstools erstellt und konfiguriert werden.
Methoden zum Konfigurieren des Listenerzertifikats
In Windows Server 2003, Windows Server 2008 oder Windows Server 2008 R2 ermöglicht ihnen das MMC-Snap-In remotedesktopkonfigurations-Manager den direkten Zugriff auf den RDP-Listener. Im Snap-In können Sie ein Zertifikat an den Listener binden und wiederum SSL-Sicherheit für die RDP-Sitzungen erzwingen.
In Windows Server 2012 oder Windows Server 2012 R2 ist dieses MMC-Snap-In nicht vorhanden. Daher bietet das System keinen direkten Zugriff auf den RDP-Listener. Verwenden Sie zum Konfigurieren der Listenerzertifikate in Windows Server 2012 oder Windows Server 2012 R2 die folgenden Methoden.
Methode 1: Verwenden des WMI-Skripts (Windows-Verwaltungsinstrumentation)
Die Konfigurationsdaten für den RDS-Listener werden in der
Win32_TSGeneralSetting
-Klasse in WMI unter demRoot\CimV2\TerminalServices
-Namespace gespeichert.Auf das Zertifikat für den RDS-Listener wird über den Fingerabdruckwert dieses Zertifikats in einer SSLCertificateSHA1Hash-Eigenschaft verwiesen. Der Fingerabdruckwert ist für jedes Zertifikat eindeutig.
Hinweis
Bevor Sie die wmic-Befehle ausführen, muss das zertifikat, das Sie verwenden möchten, in den persönlichen Zertifikatspeicher für das Computerkonto importiert werden. Wenn Sie das Zertifikat nicht importieren, erhalten Sie den Fehler Ungültiger Parameter .
Führen Sie die folgenden Schritte aus, um ein Zertifikat mithilfe von WMI zu konfigurieren:
Öffnen Sie das Eigenschaftendialogfeld für Ihr Zertifikat, und wählen Sie die Registerkarte Details aus.
Scrollen Sie nach unten zum Feld Fingerabdruck , und kopieren Sie die durch Leerzeichen getrennte hexadezimale Zeichenfolge in einen Editor.
Der folgende Screenshot zeigt ein Beispiel für den Zertifikatfingerabdruck in den Zertifikateigenschaften :
Wenn Sie die Zeichenfolge in Editor kopieren, sollte sie dem folgenden Screenshot ähneln:
Nachdem Sie die Leerzeichen in der Zeichenfolge entfernt haben, enthält sie weiterhin das unsichtbare ASCII-Zeichen, das nur an der Eingabeaufforderung sichtbar ist. Der folgende Screenshot ist ein Beispiel:
Stellen Sie sicher, dass dieses ASCII-Zeichen entfernt wird, bevor Sie den Befehl zum Importieren des Zertifikats ausführen.
Entfernen Sie alle Leerzeichen aus der Zeichenfolge. Möglicherweise gibt es ein unsichtbares ACSII-Zeichen, das ebenfalls kopiert wird. Dies ist im Editor nicht sichtbar. Die einzige Möglichkeit zum Überprüfen besteht darin, direkt in das Eingabeaufforderungsfenster zu kopieren.
Führen Sie an der Eingabeaufforderung den folgenden wmic-Befehl zusammen mit dem Fingerabdruckwert aus, den Sie in Schritt 3 erhalten haben:
wmic /namespace:\\root\cimv2\TerminalServices PATH Win32_TSGeneralSetting Set SSLCertificateSHA1Hash="THUMBPRINT"
Der folgende Screenshot ist ein erfolgreiches Beispiel:
Methode 2: Verwenden des Registrierungs-Editors
Wichtig
Führen Sie die in diesem Abschnitt beschriebenen Schritte sorgfältig aus. Durch eine fehlerhafte Bearbeitung der Registrierung können schwerwiegende Probleme verursacht werden. Bevor Sie sie ändern, erfahren Sie, wie Sie die Registrierung in Windows sichern und wiederherstellen , falls Probleme auftreten.
Führen Sie die folgenden Schritte aus, um ein Zertifikat mithilfe des Registrierungs-Editors zu konfigurieren:
Installieren Sie mithilfe eines Computerkontos ein Serverauthentifizierungszertifikat im persönlichen Zertifikatspeicher.
Erstellen Sie den folgenden Registrierungswert, der den SHA1-Hash des Zertifikats enthält, damit Sie dieses benutzerdefinierte Zertifikat für die Unterstützung von TLS konfigurieren können, anstatt das selbstsignierte Standardzertifikat zu verwenden.
- Registrierungspfad:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp
- Wertname: SSLCertificateSHA1Hash
- Werttyp: REG_BINARY
- Wertdaten: Zertifikatfingerabdruck
Der Wert sollte der Fingerabdruck des Zertifikats sein und durch Komma (,) ohne Leerzeichen getrennt sein. Wenn Sie z. B. diesen Registrierungsschlüssel exportieren würden, würde der Wert SSLCertificateSHA1Hash wie folgt lauten:
SSLCertificateSHA1Hash=hex:42,49,e1,6e,0a,f0,a0,2e,63,c4,5c,93,fd,52,ad,09,27,82,1b,01
- Registrierungspfad:
Die Remotedesktophostdienste werden unter dem NETZWERKDIENST-Konto ausgeführt. Daher müssen Sie die Systemzugriffssteuerungsliste (SACL) der Schlüsseldatei festlegen, die von RDS verwendet wird, um NETWORK SERVICE zusammen mit den Leseberechtigungen einzuschließen.
Führen Sie die folgenden Schritte im Zertifikat-Snap-In für den lokalen Computer aus, um die Berechtigungen zu ändern:
- Klicken Sie auf Start und auf Ausführen. Geben Sie mmc ein, und klicken Sie dann auf OK.
- Klicken Sie im Menü Datei auf Snap-In hinzufügen/entfernen.
- Klicken Sie im Dialogfeld Snap-Ins hinzufügen oder entfernen in der Liste Verfügbare Snap-Ins auf Zertifikate und dann auf Hinzufügen.
- Klicken Sie im Dialogfeld Zertifikat-Snap-In auf Computerkonto und dann auf Weiter.
- Klicken Sie im Dialogfeld Computer auswählen auf Lokaler Computer: (der Computer, auf dem diese Konsole ausgeführt wird), und klicken Sie dann auf Fertig stellen.
- Klicken Sie im Dialogfeld Snap-Ins hinzufügen oder entfernen auf OK.
- Erweitern Sie im Zertifikat-Snap-In in der Konsolenstruktur Zertifikate (lokaler Computer), erweitern Sie Persönlich, und wählen Sie dann das SSL-Zertifikat aus, das Sie verwenden möchten.
- Klicken Sie mit der rechten Maustaste auf das Zertifikat, wählen Sie Alle Aufgaben und dann Private Schlüssel verwalten aus.
- Klicken Sie im Dialogfeld Berechtigungen auf Hinzufügen, geben Sie NETZWERKDIENST ein, klicken Sie auf OK, wählen Sie lesen unter dem Kontrollkästchen Zulassen aus, und klicken Sie dann auf OK.
Feedback
https://aka.ms/ContentUserFeedback.
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unterFeedback senden und anzeigen für