Configuraciones de certificados del agente de escucha de Escritorio remoto

En este artículo se describen los métodos para configurar certificados de agente de escucha en un servidor de Windows Server que no forma parte de una implementación de Servicios de Escritorio remoto (RDS).

Número de KB original: 3042780

Acerca de la disponibilidad del agente de escucha del servidor de Escritorio remoto

El componente de escucha se ejecuta en el servidor de Escritorio remoto y es responsable de escuchar y aceptar nuevas conexiones de cliente de Protocolo de escritorio remoto (RDP). Esto permite a los usuarios establecer nuevas sesiones remotas en el servidor de Escritorio remoto. Hay un agente de escucha para cada conexión de Servicios de Escritorio Remoto que existe en el servidor de Escritorio Remoto. Las conexiones se pueden crear y configurar mediante la herramienta de configuración de servicios de Escritorio remoto.

Configuración del certificado del agente de escucha del servidor de Escritorio remoto

WMI

Los datos de configuración del agente de escucha de RDS se almacenan en la Win32_TSGeneralSetting clase en Instrumentación de Administración de Windows (WMI) bajo el Root\CimV2\TerminalServices espacio de nombres.

El certificado para el agente de escucha de RDS se hace referencia a través del valor de huella digital de ese certificado en una propiedad SSLCertificateSHA1Hash . El valor de huella digital es único para cada certificado.

Nota:

Antes de ejecutar los comandos, el certificado que desea usar debe importarse al almacén de certificados personal para la cuenta de equipo (a través de certlm.msc). Si no importa el certificado, recibirá un error de parámetro no válido .

Para configurar un certificado mediante WMI, siga estos pasos:

1. Abra el cuadro de diálogo de propiedades del certificado y seleccione la pestaña Detalles .

2. Desplácese hacia abajo hasta el campo Huella digital y copie la cadena hexadecimal delimitada por el espacio en algo parecido al Bloc de notas.

   En la captura de pantalla siguiente se muestra un ejemplo de la huella digital del certificado en las propiedades Certificado :

   

   Si copia la cadena en el Bloc de notas, debe ser similar a la siguiente captura de pantalla:

   

   Después de quitar los espacios de la cadena, todavía contiene el carácter ASCII invisible que solo está visible en el símbolo del sistema. La captura de pantalla siguiente es un ejemplo:

   

   Asegúrese de que este carácter ASCII se quita antes de ejecutar el comando para importar el certificado.

3. Quite todos los espacios de la cadena. Puede haber un carácter ACSII invisible que también se copie. Este carácter no está visible en el Bloc de notas. Para validar la cadena, copie la cadena directamente en la ventana del símbolo del sistema.

4. En el indicador de comandos, ejecute el siguiente comando wmic junto con el valor de huella digital obtenido en el paso 3:

   wmic /namespace:\\root\cimv2\TerminalServices PATH Win32_TSGeneralSetting Set SSLCertificateSHA1Hash="THUMBPRINT"
   

   En la captura de pantalla siguiente se muestra un ejemplo correcto:

   

2. Desplácese hacia abajo hasta el campo Huella digital y copie la cadena hexadecimal delimitada por el espacio en un editor de texto como el Bloc de notas.

   En la captura de pantalla siguiente se muestra un ejemplo de la huella digital del certificado en las propiedades Certificado :

   

   Al copiar la cadena en el Bloc de notas, debería ser similar a la siguiente captura de pantalla:

   

   Después de quitar los espacios de la cadena, todavía contiene un carácter ASCII no visible que solo es perceptible en el indicador de comandos. En la siguiente captura de pantalla se muestra un ejemplo:

   

   Asegúrese de que este carácter ASCII se quita antes de ejecutar el comando para importar el certificado.

3. Quite todos los espacios de la cadena. Puede haber un carácter ASCII invisible que también se copie. Este carácter no está visible en el Bloc de notas. Para validar la cadena, copie la cadena directamente en la ventana del símbolo del sistema.

4. En el símbolo del sistema, ejecute el comando wmic siguiente junto con el valor de huella digital que obtiene en el paso 3:

   wmic /namespace:\\root\cimv2\TerminalServices PATH Win32_TSGeneralSetting Set SSLCertificateSHA1Hash="THUMBPRINT"
   

   En la captura de pantalla siguiente se muestra un ejemplo correcto:

   

2. Desplácese hacia abajo hasta el campo Huella digital y cópielo . La captura de pantalla siguiente es un ejemplo de la huella digital del certificado en las propiedades Certificado :

   

3. En el indicador del sistema, ejecute el siguiente comando de PowerShell junto con el valor de la huella digital que obtiene en el paso 2:

   Get-WmiObject -class "Win32_TSGeneralSetting" -Namespace root\cimv2\terminalservices | Set-WmiInstance -Arguments @{SSLCertificateSHA1Hash="THUMBPRINT"}
   

   En la captura de pantalla siguiente se muestra un ejemplo correcto:

   

Registro

Importante

Sigue meticulosamente los pasos que se describen en esta sección. Pueden producirse problemas graves si modifica el Registro de manera incorrecta. Antes de modificarlo, cómo realizar una copia de seguridad y restaurar el registro en Windows en caso de que se produzcan problemas.

Para configurar un certificado mediante el editor del Registro, siga estos pasos:

1. Instale un certificado de autenticación de servidor en el almacén de certificados personal mediante una cuenta de equipo.

2. Cree el siguiente valor del Registro que contiene el hash SHA1 del certificado para que pueda configurar este certificado personalizado para admitir TLS en lugar de usar el certificado autofirmado predeterminado.

   • Ruta de acceso del registro: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp
   • Nombre del valor: SSLCertificateSHA1Hash
   • Tipo de valor: REG_BINARY
   • Datos de valor: huella digital del certificado

   El valor debe ser la huella digital del certificado y estar separados por coma (,) sin espacios vacíos. Por ejemplo, si fuera a exportar esa clave del Registro, el valor SSLCertificateSHA1Hash sería el siguiente:

   Windows Registry Editor Version 5.00
   
   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp]
   "SSLCertificateSHA1Hash"=hex:42,49,e1,6e,0a,f0,a0,2e,63,c4,5c,93,fd,52,ad,09,27,82,1b,01
   

3. Los servicios host de Escritorio remoto se ejecutan en la cuenta DE SERVICIO DE RED. Por lo tanto, debe establecer la lista de control de acceso del sistema (SACL) del archivo de clave que usa RDS para incluir NETWORK SERVICE junto con los permisos de lectura .

   Para cambiar los permisos, siga estos pasos en el complemento Certificados para el equipo local:

   1. Seleccione Inicio, Seleccione Ejecutar, escriba mmc y, a continuación, seleccione Aceptar.
   2. En el menú Archivo, seleccione Agregar o quitar complemento.
   3. En el cuadro de diálogo Agregar o quitar complementos , en la lista Complementos disponibles , seleccione Certificados y, a continuación, seleccione Agregar.
   4. En el cuadro de diálogo de complemento Certificados, seleccione Cuenta de equipo y, a continuación, seleccione Siguiente.
   5. En el cuadro de diálogo Seleccionar equipo , seleccione Equipo local: (el equipo en el que se ejecuta esta consola) y, a continuación, seleccione Finalizar.
   6. En el cuadro de diálogo Agregar o quitar complementos, seleccione Aceptar.
   7. En el complemento Certificados , en el árbol de consola, expanda Certificados (equipo local), expanda Personal y, a continuación, seleccione el certificado SSL que desea usar.
   8. Haga clic con el botón derecho en el certificado, seleccione Todas las tareas y, luego, seleccione Administrar claves privadas.
   9. En el cuadro de diálogo Permisos , seleccione Agregar, escriba NETWORK SERVICE, seleccione Aceptar, seleccione Leer en la casilla Permitir y, a continuación, seleccione Aceptar.

MMC

El complemento de Microsoft Management Console (MMC) del Administrador de Configuración de Escritorio Remoto le permite el acceso directo al escucha RDP. En el complemento, puede enlazar un certificado al agente de escucha y, a su vez, aplicar la seguridad SSL para las sesiones rdP.

El método Microsoft Management Console (MMC) no está disponible a partir de Windows Server 2012 o Windows Server 2012 R2. Sin embargo, siempre puede configurar el agente de escucha RDP mediante WMI o el registro.

El método Microsoft Management Console (MMC) no está disponible a partir de Windows Server 2012 o Windows Server 2012 R2. Sin embargo, siempre puede configurar el agente de escucha RDP mediante WMI o el registro.