Verwenden von Zertifikaten in Remotedesktopdiensten

Sie können Zertifikate verwenden, um Verbindungen mit Ihrer RDS-Bereitstellung (Remotedesktopdienste) und zwischen RDS-Serverrollen zu schützen. RDS verwendet Secure Socket Layer (SSL) oder Transport Layer Security (TLS), um Verbindungen mit den Rollendiensten RDS Web, Connection Broker und Gateway zu verschlüsseln.

Zertifikate verhindern Man-in-the-Middle-Angriffe, bei denen ein böswilliger Akteur Datenverkehr zwischen dem RDP-Server (Remotedesktopprotokoll) und dem Client abfangen kann, um vertrauliche Informationen zu stehlen oder den Zugriff auf Anmeldeinformationen zu verweigern. Dazu überprüfen die Zertifikate die Authentizität des Servers, der Informationen an den Client sendet. Wenn diese Vertrauensstellung eingerichtet ist, betrachtet der Client die Verbindung als sicher und kann Daten annehmen, die an den Server und vom Server gesendet werden.

Voraussetzungen

Für die Verwendung von Zertifikaten in RDS sind folgende Voraussetzungen erforderlich:

• Ein Computer oder mehrere Computer, auf denen die RDS-Rolle konfiguriert ist. Weitere Informationen finden Sie unter Installieren oder Deinstallieren von Rollen, Rollendiensten oder Features.

• Ein Konto mit Administratorrechten oder gleichwertig mit einem oder mehreren RDS-Servern.

• Ein Serverzertifikat, das die folgenden Anforderungen erfüllt:

  • Ausgestellt zur Serverauthentifizierung (EKU 1.3.6.1.5.5.7.3.1)

  • Ausgestellt für die erweiterte Schlüsselverwendung (OID 2.5.29.37)

  • Ausgestellt für die Schlüsselverwendung (OID 2.5.29.15)

  • Ausgestellt von einer Zertifizierungsstelle, die von einem oder mehreren RDS-Servern und -Clients als vertrauenswürdig eingestuft wird.

  • Ausgestellt mit einem exportierbaren privaten Schlüssel

  • Ein Export des Zertifikats mit dem entsprechenden privaten Schlüssel im .pfx-Format. Weitere Informationen zum Exportieren des privaten Schlüssels finden Sie unter Exportieren eines Zertifikats mit seinem privaten Schlüssel.

Hinweis

Wenn Sie Active Directory-Zertifikatdienste (Active Directory Certificate Services, AD CS) zum Ausstellen von Zertifikaten verwenden, können Sie auch eine Zertifikatvorlage erstellen oder die Webserver-Zertifikatvorlage duplizieren. Weitere Informationen zum Erstellen von Zertifikatvorlagen finden Sie unter Erstellen einer neuen Zertifikatvorlage.

Konfigurieren von Remotedesktop für die Verwendung von Zertifikaten

Nachdem Sie Ihre Zertifikate erstellt und deren Inhalte verstanden haben, müssen Sie Remotedesktop für die Verwendung dieser Zertifikate konfigurieren.

So konfigurieren Sie Remotedesktop für die Verwendung bestimmter Zertifikate

GUI

1. Wählen Sie in Server-Manager im linken Bereich die Option Remotedesktopdienste aus.

2. Wählen Sie auf der Registerkarte Übersicht unter Bereitstellungsübersicht die Option AUFGABEN und dann Bereitstellungseigenschaften bearbeiten aus.

3. Wählen Sie im Fenster Bereitstellung konfigurieren die Option Zertifikate aus.

4. Wählen Sie Vorhandenes Zertifikat auswählen und dann Durchsuchen aus, suchen Sie Ihre Zertifikatdatei im .pfx-Format, und wählen Sie dann Öffnen aus.

5. Geben Sie im Feld Kennwort das Kennwort für das von Ihnen erstellte Zertifikat ein, und wählen Sie dann OK aus.

6. Aktivieren Sie das Kontrollkästchen Hinzufügen des Zertifikats zum Zertifikatsspeicher der vertrauenswürdigen Stammzertifizierungsstellen auf den Zielcomputern zulassen, und wählen Sie dann OK aus.

7. Wählen Sie OK aus, um die Bereitstellung abzuschließen.

Hinweis

Selbst wenn Sie über mehrere Server in der Bereitstellung verfügen, importiert Server-Manager das Zertifikat auf alle Server. Server-Manager platziert das Zertifikat im vertrauenswürdigen Stamm für jeden Server und bindet das Zertifikat dann an die jeweiligen Rollen.

PowerShell

1. Melden Sie sich auf einem Computer an, auf dem die RSAT (Remoteserver-Verwaltungstools) von RDS installiert sind und die RD-Rolle vorhanden ist, die Sie konfigurieren möchten.

2. Öffnen Sie eine PowerShell-Sitzung mit erhöhten Rechten.

3. Führen Sie das folgende Skript für das RD-Zertifikat aus, das Sie für Ihre Sitzung verwenden möchten, in dem sie Sie zur Eingabe des Kennworts und des Speicherorts für das exportierte Zertifikat auffordert. Ersetzen Sie <PathToPFXFile> durch den vollständigen Dateipfad, einschließlich der .pfx-Datei.

$password = Read-Host -AsSecureString -Prompt "Enter Password"
$parameters = @{
  Role        = "RDWebAccess"
  Password    = $password
  ImportPath  = "PathToPFXFile"
}
Set-RDCertificate @parameters

Informationen zum Festlegen des Zertifikats basierend auf einem bestimmten Typ für -Role finden Sie unter Set-RDCertificate.

Führen Sie den folgenden Befehl aus, um alle konfigurierten RDS-Zertifikate anzuzeigen:

Get-RDCertificate

Möglicherweise möchten Sie Zertifikate für den RDS-Sitzungshost zusammen mit den Zertifikaten verwenden, die Sie in Server-Manager konfiguriert haben. Weitere Informationen zu RDS-Sitzungshostzertifikaten finden Sie unter Remotedesktop-Listener-Zertifikatskonfigurationen.

Zugehöriger Inhalt

• Remotedesktopdienste: Schützen von Datenspeicher mit Benutzerprofil-Datenträgern

• Remotedesktodienste – Mehrstufige Authentifizierung