Freigeben über


Verwenden von Zertifikaten in Remotedesktopdiensten

Sie können Zertifikate verwenden, um Verbindungen mit Ihrer RDS-Bereitstellung (Remotedesktopdienste) und zwischen RDS-Serverrollen zu schützen. RDS verwendet Secure Socket Layer (SSL) oder Transport Layer Security (TLS), um Verbindungen mit den Rollendiensten RDS Web, Connection Broker und Gateway zu verschlüsseln.

Zertifikate verhindern Man-in-the-Middle-Angriffe, bei denen ein böswilliger Akteur Datenverkehr zwischen dem RDP-Server (Remotedesktopprotokoll) und dem Client abfangen kann, um vertrauliche Informationen zu stehlen oder den Zugriff auf Anmeldeinformationen zu verweigern. Dazu überprüfen die Zertifikate die Authentizität des Servers, der Informationen an den Client sendet. Wenn diese Vertrauensstellung eingerichtet ist, betrachtet der Client die Verbindung als sicher und kann Daten annehmen, die an den Server und vom Server gesendet werden.

Voraussetzungen

Für die Verwendung von Zertifikaten in RDS sind folgende Voraussetzungen erforderlich:

  • Ein Computer oder mehrere Computer, auf denen die RDS-Rolle konfiguriert ist. Weitere Informationen finden Sie unter Installieren oder Deinstallieren von Rollen, Rollendiensten oder Features.

  • Ein Konto mit Administratorrechten oder gleichwertig mit einem oder mehreren RDS-Servern.

  • Ein Serverzertifikat, das die folgenden Anforderungen erfüllt:

    • Ausgestellt zur Serverauthentifizierung (EKU 1.3.6.1.5.5.7.3.1)

    • Ausgestellt für die erweiterte Schlüsselverwendung (OID 2.5.29.37)

    • Ausgestellt für die Schlüsselverwendung (OID 2.5.29.15)

    • Ausgestellt von einer Zertifizierungsstelle, die von einem oder mehreren RDS-Servern und -Clients als vertrauenswürdig eingestuft wird.

    • Ausgestellt mit einem exportierbaren privaten Schlüssel

    • Ein Export des Zertifikats mit dem entsprechenden privaten Schlüssel im .pfx-Format. Weitere Informationen zum Exportieren des privaten Schlüssels finden Sie unter Exportieren eines Zertifikats mit seinem privaten Schlüssel.

Hinweis

Wenn Sie Active Directory-Zertifikatdienste (Active Directory Certificate Services, AD CS) zum Ausstellen von Zertifikaten verwenden, können Sie auch eine Zertifikatvorlage erstellen oder die Webserver-Zertifikatvorlage duplizieren. Weitere Informationen zum Erstellen von Zertifikatvorlagen finden Sie unter Erstellen einer neuen Zertifikatvorlage.

Konfigurieren von Remotedesktop für die Verwendung von Zertifikaten

Nachdem Sie Ihre Zertifikate erstellt und deren Inhalte verstanden haben, müssen Sie Remotedesktop für die Verwendung dieser Zertifikate konfigurieren.

So konfigurieren Sie Remotedesktop für die Verwendung bestimmter Zertifikate

  1. Wählen Sie in Server-Manager im linken Bereich die Option Remotedesktopdienste aus.

  2. Wählen Sie auf der Registerkarte Übersicht unter Bereitstellungsübersicht die Option AUFGABEN und dann Bereitstellungseigenschaften bearbeiten aus.

  3. Wählen Sie im Fenster Bereitstellung konfigurieren die Option Zertifikate aus.

  4. Wählen Sie Vorhandenes Zertifikat auswählen und dann Durchsuchen aus, suchen Sie Ihre Zertifikatdatei im .pfx-Format, und wählen Sie dann Öffnen aus.

  5. Geben Sie im Feld Kennwort das Kennwort für das von Ihnen erstellte Zertifikat ein, und wählen Sie dann OK aus.

  6. Aktivieren Sie das Kontrollkästchen Hinzufügen des Zertifikats zum Zertifikatsspeicher der vertrauenswürdigen Stammzertifizierungsstellen auf den Zielcomputern zulassen, und wählen Sie dann OK aus.

  7. Wählen Sie OK aus, um die Bereitstellung abzuschließen.

Hinweis

Selbst wenn Sie über mehrere Server in der Bereitstellung verfügen, importiert Server-Manager das Zertifikat auf alle Server. Server-Manager platziert das Zertifikat im vertrauenswürdigen Stamm für jeden Server und bindet das Zertifikat dann an die jeweiligen Rollen.

Möglicherweise möchten Sie Zertifikate für den RDS-Sitzungshost zusammen mit den Zertifikaten verwenden, die Sie in Server-Manager konfiguriert haben. Weitere Informationen zu RDS-Sitzungshostzertifikaten finden Sie unter Remotedesktop-Listener-Zertifikatskonfigurationen.