Configuraciones de certificados de agente de escucha de Escritorio remoto

  • Artículo

En este artículo se describen los métodos para configurar certificados de agente de escucha en un servidor basado en Windows Server 2012 o Windows Server 2012 que no forma parte de una implementación de Servicios de Escritorio remoto (RDS).

Se aplica a: Windows Server 2012 R2
Número de KB original: 3042780

Acerca de la disponibilidad del agente de escucha del servidor de Escritorio remoto

El componente de escucha se ejecuta en el servidor de Escritorio remoto y es responsable de escuchar y aceptar nuevas conexiones de cliente del Protocolo de Escritorio remoto (RDP). Esto permite a los usuarios establecer nuevas sesiones remotas en el servidor de Escritorio remoto. Hay un agente de escucha para cada conexión de Servicios de Escritorio remoto que existe en el servidor de Escritorio remoto. Las conexiones se pueden crear y configurar mediante la herramienta de configuración de servicios de Escritorio remoto.

Métodos para configurar el certificado de agente de escucha

En Windows Server 2003, Windows Server 2008 o Windows Server 2008 R2, el complemento MMC de Escritorio remoto Configuration Manager le permite acceder directamente al agente de escucha RDP. En el complemento, puede enlazar un certificado al agente de escucha y, a su vez, aplicar la seguridad SSL para las sesiones RDP.

En Windows Server 2012 o Windows Server 2012 R2, este complemento MMC no existe. Por lo tanto, el sistema no proporciona acceso directo al agente de escucha RDP. Para configurar los certificados de agente de escucha en Windows Server 2012 o Windows Server 2012 R2, use los métodos siguientes.

  • Método 1: Usar script de Instrumental de administración de Windows (WMI)

    Los datos de configuración del agente de escucha de RDS se almacenan en la Win32_TSGeneralSetting clase en WMI en el Root\CimV2\TerminalServices espacio de nombres.

    Se hace referencia al certificado del agente de escucha de RDS a través del valor huella digital de ese certificado en una propiedad SSLCertificateSHA1Hash . El valor de huella digital es único para cada certificado.

    Nota:

    Antes de ejecutar los comandos wmic, el certificado que desea usar debe importarse al almacén de certificados personal de la cuenta de equipo. Si no importa el certificado, recibirá un error de parámetro no válido .

    Para configurar un certificado mediante WMI, siga estos pasos:

    1. Abra el cuadro de diálogo de propiedades del certificado y seleccione la pestaña Detalles .

    2. Desplácese hacia abajo hasta el campo Huella digital y copie la cadena hexadecimal delimitada por espacio en algo parecido al Bloc de notas.

      La captura de pantalla siguiente es un ejemplo de la huella digital del certificado en las propiedades del certificado :

      Ejemplo de la huella digital del certificado en las propiedades del certificado.

      Si copia la cadena en el Bloc de notas, debe ser similar a la siguiente captura de pantalla:

      Copie y pegue la cadena de huella digital en el Bloc de notas.

      Después de quitar los espacios de la cadena, todavía contiene el carácter ASCII invisible que solo está visible en el símbolo del sistema. La captura de pantalla siguiente es un ejemplo:

      Carácter ASCII invisible que solo se muestra en el símbolo del sistema.

      Asegúrese de que este carácter ASCII se quita antes de ejecutar el comando para importar el certificado.

    3. Quite todos los espacios de la cadena. Puede haber un carácter ACSII invisible que también se copia. Esto no está visible en el Bloc de notas. La única manera de validar es copiar directamente en la ventana del símbolo del sistema.

    4. En el símbolo del sistema, ejecute el siguiente comando wmic junto con el valor de huella digital que obtenga en el paso 3:

      wmic /namespace:\\root\cimv2\TerminalServices PATH Win32_TSGeneralSetting Set SSLCertificateSHA1Hash="THUMBPRINT"

      La captura de pantalla siguiente es un ejemplo correcto:

      Ejemplo correcto de ejecución del comando wmic junto con el valor de huella digital que se obtiene en el paso 3.

  • Método 2: Uso del editor del Registro

    Importante

    Siga atentamente los pasos de esta sección. La modificación incorrecta del Registro puede producir graves problemas. Antes de modificarlo, haga una copia de seguridad y restaure el Registro en Windows en caso de que se produzcan problemas.

    Para configurar un certificado mediante el editor del Registro, siga estos pasos:

    1. Instale un certificado de autenticación de servidor en el almacén de certificados personal mediante una cuenta de equipo.

    2. Cree el siguiente valor del Registro que contenga el hash SHA1 del certificado para que pueda configurar este certificado personalizado para admitir TLS en lugar de usar el certificado autofirmado predeterminado.

      • Ruta de acceso del Registro: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp
      • Nombre del valor: SSLCertificateSHA1Hash
      • Tipo de valor: REG_BINARY
      • Datos de valor: huella digital del certificado

      El valor debe ser la huella digital del certificado y separarse por coma (,) sin espacios vacíos. Por ejemplo, si exportara esa clave del Registro, el valor SSLCertificateSHA1Hash sería el siguiente:

      SSLCertificateSHA1Hash=hex:42,49,e1,6e,0a,f0,a0,2e,63,c4,5c,93,fd,52,ad,09,27,82,1b,01

    3. Los servicios host de Escritorio remoto se ejecutan en la cuenta DE SERVICIO DE RED. Por lo tanto, tiene que establecer la lista de control de acceso del sistema (SACL) del archivo de clave que usa RDS para incluir NETWORK SERVICE junto con los permisos de lectura .

      Para cambiar los permisos, siga estos pasos en el complemento Certificados del equipo local:

      1. Haga clic en Inicio, Ejecutar, escriba mmcy, a continuación, haga clic en Aceptar.
      2. En el menú Archivo, haga clic en Añadir o quitar complemento.
      3. En el cuadro de diálogo Agregar o quitar complementos , en la lista Complementos disponibles , haga clic en Certificadosy, a continuación, haga clic en Agregar.
      4. En el cuadro de diálogo Complemento Certificados , haga clic en Cuenta de equipoy, a continuación, haga clic en Siguiente.
      5. En el cuadro de diálogo Seleccionar equipo , haga clic en Equipo local: (el equipo en el que se ejecuta esta consola) y, a continuación, haga clic en Finalizar.
      6. En el cuadro de diálogo Agregar o quitar complementos , haga clic en Aceptar.
      7. En el complemento Certificados , en el árbol de consola, expanda Certificados (equipo local), expanda Personaly, a continuación, seleccione el certificado SSL que desea usar.
      8. Haga clic con el botón derecho en el certificado, seleccione Todas las tareas y, a continuación, seleccione Administrar claves privadas.
      9. En el cuadro de diálogo Permisos , haga clic en Agregar, escriba SERVICIO DE RED, haga clic en Aceptar, seleccione Leer en la casilla Permitir y, a continuación, haga clic en Aceptar.