Microsoft Windows Server 2008 R2: Los certificados impulsan la seguridad de RDS: Parte dos

El uso de los certificados es una parte importante de la protección de las comunicaciones para los Servicios de Escritorio remoto. Aquí está el resto de la historia sobre cómo instalar en cada uno de los servidores.

Kristin Griffin

Certificados desempeñan un papel importante en las implementaciones de servicios de escritorio remoto (RDS). Ayudan a comunicaciones seguras entre cliente y servidor. Confirman la identidad del servidor o del sitio Web al que está conectando. También firmar archivos de protocolo de escritorio remoto (RDP) para asegurarles son de un origen de confianza.

Debe utilizar certificados con cada servicio de rol RDS. Aquí es lo que necesita saber para instalar certificados en cada servidor de función utilizando herramientas locales o Directiva de grupo. En primer lugar, configurar los Host de sesión de escritorio remoto por servidor seguridad configuración de conexión de la ficha General de la proto­cuadro de diálogo de propiedades de agente de escucha de col de la herramienta de configuración de RD. Para llegar allí, vaya a herramientas administrativas | Servicios de escritorio remoto | Configuración de escritorio remoto sesión Host. Haga doble clic en RDP-Tcp en la sección conexiones del panel central. Esto es también donde agregar el certificado del servidor SSL.

Puede configurar estas opciones en una base por servidor. También puede configurar estas opciones mediante Directiva de grupo, aplicando el siguiente conjunto de configuración del objeto de directiva de grupo (GPO) para la unidad organizativa del servidor Host de sesión de escritorio remoto (OU) de configuración del equipo | Directivas | Plantillas administrativas | Componentes de Windows | Servicios de escritorio remoto | Host de sesión de escritorio remoto | Seguridad:

• Nivel de cifrado de conexión de cliente
• Requieren del uso de la capa de seguridad específicos para conexiones de remoto (RDP)
• Plantilla de certificado de autenticación de servidor
• Requieren autenticación de usuario para conexiones remotas mediante el uso de autenticación de nivel de red (NLA)

Autenticación a nivel de red

NLA no es requerido por defecto. Para requerir el uso de NLA para conectar con el servidor Host de sesión de escritorio remoto, seleccione la appropri­comió la casilla de verificación. Hacerlo evitará que los clientes que no admiten NLA (cualquier cliente RDC anteriores a la versión 6.x y cualquier sistema operativo que no admite el proveedor de apoyo de seguridad de credenciales o CredSSP) conectando con el servidor. Sólo los clientes que ejecutan Windows 7, Windows Vista y Windows XP SP3 admiten CredSSP.

Autenticación de servidor

Configurar al servidor de autenticación desde la sección de la capa de seguridad. El valor predeterminado es Nego­tiate, que significa que el cliente y el servidor serán tanto utilizar Transport Layer Security (TLS) para la autenticación de servidor, si es superior­portado.

Puede modificar esta configuración para forzar la autenticación de servidor utilizando TLS. Si no se puede autenticar el servidor, puede establecer el comportamiento del cliente de la configuración en la ficha Avanzadas del cliente de escritorio remoto:

• No conecte si falla la autenticación
• Avisarme si falla la autenticación
• Conecte siempre, incluso si falla la autenticación

Puede elegir el certificado que el servidor debe usar para autenticarse a sí mismo haciendo clic en Seleccione cerca de la parte inferior de la pantalla. Si hace clic en seleccionar, puede obtener más detalles acerca del certificado, incluyendo lo que se utiliza, el nombre de la autoridad de certificación (CA), y cuándo caduca.

El certificado debe contener el nombre DNS del servidor Host de sesión de escritorio remoto. Esto será algo como rdsh1.domain.local, por ejemplo. Si ha implementado un conjunto de servidores, el certificado debe contener el nombre DNS de la granja de servidores Host de sesión de escritorio remoto — por ejemplo, farm.domain.local.

El servidor Host de sesión de escritorio remoto está configurado para utilizar un certificado autofirmado, de forma predeterminada. Este certificado no está destinado a utilizarse en entornos de producción por tres razones:

• El autenticidad de certificado no está vetado en todos.
• El certificado no es de confianza clientes porque no está firmado por una entidad de confianza (como una CA pública o solución de infraestructura de clave pública interna de la empresa).
• Si está implementando una granja, el nombre del certificado predeterminado no coinciden el nombre granja de servidor de host de sesión RD, para verificar la identidad del servidor se producirá un error.

Firma VMs agrupadas y personales

Usted puede haber agrupado y personales máquinas virtuales (VMs) firmado por instalar un certificado SSL en el agente de conexión RD mediante el administrador de conexión de RD (se figura 1).

Figura 1 puede utilizar RD Connection Manager para firmar VMs agrupadas o sola.

Firma RemoteApps

Firmar RemoteApps utilizando el certificado instalado en RemoteApp Manager en el servidor Host de sesión de escritorio remoto (véase figura 2).

Figura 2 también puede firmar RemoteApps; utilizar el certificado en RemoteApp Manager.

Si configura un conjunto de servidores Host de sesión de escritorio remoto, asegúrese de instalar el certificado mismo exacto en todos los servidores Host de sesión de escritorio remoto en la granja y en otras granjas de que desplegar. Esa manera Web single sign-on (SSO) funcionará a través de todos los miembros de la granja y de todas las explotaciones.

Para ello, exporte el certificado, incluyendo la clave privada, desde un servidor. Importar a otro servidor mediante el complemento certificados en Microsoft Management Console (MMC), agregar la cuenta de equipo, no en la cuenta de usuario.

Si está implementando SSO Web con RD Web Access y está utilizando el agente de conexión a Escritorio remoto como el origen de RD Web Access, entonces debe instalar el mismo certificado en el corredor de conexión RD como haces en todos los servidores Host de sesión de escritorio remoto (el mismo certificado se utiliza para firmar RemoteApps). Esto puede resultar confuso por dos razones:

1. La sección donde instalar el certificado de agente de conexión a Escritorio remoto se llama "escritorios virtuales: Recursos y configuración,"que es engañoso. El certificado instalado aquí no sólo se utiliza para la firma de VMs de infraestructura de escritorio virtual (VDI), también se utiliza en el proceso de SSO Web para la firma RemoteApps cuando se trata de agente de conexión a Escritorio remoto. Deben coincidir con los firmas los certificados de agente de conexión a Escritorio remoto y Host de sesión de escritorio remoto servidor RemoteApp Manager o SSO Web fallará.
2. Cuando se inicia un RemoteApp y el certificado instalado en agente de conexión a Escritorio remoto es diferente del instalado en los servidores Host de sesión de escritorio remoto, SSO Web no funcionará. No hay indicios, sin embargo, el certificado es realmente diferente de agente de conexión a Escritorio remoto. La ventana emergente muestra sólo el certificado en RemoteApp Manager, por lo que es difícil decir que hay un problema de certificado.

Compruebe el blog de "introducir Web Single Sign-On para RemoteApp y conexiones a escritorio" para obtener más información sobre cómo configurar Web SSO.

Asegurar el sitio de acceso Web de RD

Proteger un sitio Web no es específico de RDS. Para proteger el sitio Web de RD Web Access, agregar un certificado con el nombre DNS del sitio Web en IIS (véase figura 3).

Figura 3 Agregar un certificado con el nombre DNS puede proteger un sitio de acceso Web de RD.

Certificados instalados en ordenador Personal tienda del servidor que tengan la clave privada que incluye aparecerán como opciones en el cuadro de lista desplegable correspondiente en el menú edición.

Configuración de puerta de enlace de escritorio remoto con un certificado

La instalación de puerta de enlace de escritorio remoto requiere un certificado para cifrar las comunicaciones entre cliente y servidor, especialmente a través de Internet. El certificado debe contener el nombre DNS del servidor puerta de enlace de escritorio remoto que pueden resolver los usuarios externos (nombre DNS externo, por ejemplo: rdgateway.Domain.com).

Instalar el certificado de puerta de enlace de escritorio remoto a través de la ficha de certificado SSL en las propiedades del administrador de puerta de enlace de RD (véase figura 4). Ver más información sobre Gateway RD certificados en la biblioteca TechNet.

Figura 4 instalar el certificado de Gateway RD.

Puede configurar certificados en su implementación de RDS para comunicaciones seguras y autenticar el cliente y el servidor. Existen requisitos de certificado específico para cada servicio de rol. Esto debería ayudar a entender por qué necesita certificados en implementaciones de RDS y cómo y dónde implementar certificados con cada servicio de rol RDS.

Kristin Griffin es un MVP de servicios de escritorio remoto. Ella modera un foro de Microsoft dedicado a ayudar a la comunidad informática basada en servidor (servicios de escritorio remoto) y mantiene un blog RDS en blog.kristinlgriffin.com. Ella es colaborador "Mastering Windows Server 2008" de Mark Minasi (Sybex, 2008) y "Mastering Windows Server 2008 R2" (Sybex, 2010). También fue coautora "Microsoft Windows Server 2008 Terminal Services Resource Kit" (Microsoft Press, 2008) y "Microsoft Windows Server 2008 R2 Remote Desktop Services Resource Kit" (Microsoft Press, 2010) con Christa Anderson.

Contenido relacionado

• Microsoft Windows Server 2008 R2: Los certificados impulsan la seguridad de RDS
• Windows Server 2008 R2: Servicios de escritorio remoto - Manual del propietario
• Microsoft Windows Server 2008 R2: Comprender al agente de conexión de RD

Uso de certificados con RDS Q & A

**P:**¿Cómo agregar certificados a mi servidor lo puedo usarlos en mis servicios de rol de servicios de escritorio remoto (RDS)?

**R:**Situado en el almacén de Personal de cuentas de equipo del servidor de certificados estarán disponibles para agregar a las implementaciones de RDS. Para agregar certificados al equipo de almacén de cuentas personales:

1. Crear un complemento Microsoft Management Console (MMC) (escriba MMC en el cuadro de búsqueda o ejecutar)
2. Agregar el complemento Certificados (archivo, agregar o quitar complementos)
3. Seleccione cuenta de equipo, agregar, a continuación, haga clic en Aceptar
4. Desplácese a la carpeta Personal y, a continuación, en la carpeta de certificados
5. Con el botón derecho y elija Importar para importar el certificado recibido de su CA

Administrador de puerta de enlace de RD en este sentido es más fácil porque le da un botón Importar en la interfaz para no tener que crear manualmente un complemento MMC.

**P:**¿Cómo suprimir los mensajes de advertencia cuando un usuario inicia un archivo de protocolo de escritorio remoto (RDP) firmado?

**R:**Habilitar a la configuración de directiva. Especificar impresiones de algoritmo de Hash seguro (SHA1) de certificados de confianza .rdp editores. Cuando se habilita esta Directiva, está especificando los certificados que el cliente verá como de confianza. Cuando dices el cliente confía en un certificado, cualquier archivo RDP firmado por dicho certificado es de confianza. Por lo tanto, no recibirá ningún emergentes de advertencia le solicita que compruebe que confía en el editor. Compruebe aquí para obtener más información sobre esta opción.

P: tengo los certificados correctos en lugar de mis servidores Host de sesión de escritorio remoto, pero todavía estoy teniendo problemas para conectarse.

**R:**Hay algunos problemas conocidos en relación con los certificados y las implementaciones de RDS:

1. Uso de certificados de criptografía activada por servidor (SGC) parece causar problemas. Asegúrese de que los certificados no son certificados SGC. Para obtener más información, consulte los hilos del Foro de RDS aquí y aquí.
2. Si sus clientes conexión obtiene el error, "el certificado no es válido para este uso," la cadena de certificados para el certificado en el servidor Host de sesión de escritorio remoto puede ser demasiado larga. Ver este hilo del Foro de RDS para obtener más información.

**P:**¿Puedo utilizar un certificado de comodín o una red de área de almacenamiento (SAN) con mi aplicación RDS?

**R:**Sí, puede. Un certificado de SAN es un certificado que tenga más de un nombre de host. Puesto que un certificado de SAN contiene varios nombres de objeto, puede utilizar un certificado en varios lugares que requieren de un certificado. Un ejemplo de un certificado de SAN puede ser uno que contiene la puerta de enlace de escritorio remoto y los nombres DNS de RD Web Access, así como el nombre que va a utilizar para firmar los archivos RemoteApp:

• rdgateway.Domain.com
• rdweb.Domain.com
• Sign.Domain.com

Mediante un certificado de comodín, necesita tan poco como dos certificados para aplicar una implementación típica pequeña granja. La granja de Host de sesión de escritorio remoto todavía es necesario hacer referencia al nombre DNS de la granja, y este nombre suele ser un nombre DNS interno (domain.local). No es lo mismo que su zona DNS externa (dominio.com), por lo que necesitará tener un certificado independiente para ello.

**P:**Tengo varios servicios de rol, instalados en un servidor. ¿necesito instalar certificados en todos los servicios de rol que he utilizado?

**R:**Sí. Cada servicio de rol utiliza certificados para fines específicos. A pesar de que los servicios de rol pueden combinarse en un servidor, pensar en ellos como entidades separadas al implementar certificados.

— K.G.