Compartir a través de


Uso de certificados en Servicios de Escritorio remoto

Puede usar certificados para proteger las conexiones a la implementación de Servicios de Escritorio remoto (RDS) y entre los roles de servidor de RDS. RDS utiliza Secure Socket Layer (SSL) o Transport Layer Security (TLS) para cifrar las conexiones a los servicios de rol de Web, Connection Broker y Gateway de RDS.

Los certificados impiden ataques man-in-the-middle, donde un actor incorrecto intercepta el tráfico entre el servidor del Protocolo de escritorio remoto (RDP) y el cliente para robar información confidencial o denegar el acceso a las credenciales, comprobando que el servidor que envía información al cliente es auténtico. Cuando se configura esta relación de confianza, el cliente considera la seguridad de la conexión y puede aceptar datos que van y proceden del servidor.

Requisitos previos

Los siguientes son necesarios para usar certificados en RDS:

  • Uno o varios equipos en los que se configura el rol RDS. Para obtener más información, consulte Instalación o desinstalación de roles, servicios de rol o características.

  • Una cuenta con derechos de administrador o equivalente a uno o varios servidores RDS.

  • Un certificado de servidor que cumpla los siguientes requisitos:

    • Emitido para la autenticación del servidor (EKU 1.3.6.1.5.5.7.3.1).

    • Emitido para el uso mejorado de claves (OID 2.5.29.37).

    • Emitido para el uso de claves (OID 2.5.29.15).

    • Emitido por una autoridad de certificación en la que confían uno o varios servidores y clientes de RDS.

    • Emitido con una clave privada exportable.

    • Exportación del certificado con la clave privada correspondiente en formato .pfx. Para obtener más información sobre cómo exportar la clave privada, consulte Exportación de un certificado con su clave privada.

Nota:

Si usa Servicios de certificados de Active Directory (AD CS) para emitir certificados, también puede crear una plantilla de certificado o duplicar la plantilla de certificado de servidor web. Para obtener más información sobre la creación de plantillas de certificado, consulte Creación de una nueva plantilla de certificado.

Configuración de Escritorio remoto para usar certificados

Ahora que ha creado los certificados y entiende su contenido, debe configurar Escritorio remoto para que use esos certificados.

Para configurar Escritorio remoto para usar certificados específicos:

  1. En el Administrador de servidores, en el panel izquierdo, seleccione Servicios de Escritorio remoto.

  2. En la pestaña Información general, en Información general de implementación, seleccione TAREAS y, a continuación, Editar propiedades de implementación.

  3. En la ventana Configurar la implementación, seleccione Certificados.

  4. Elija Seleccionar certificado existente, seleccione Examinar, busque el archivo de certificado en formato .pfx y, a continuación, seleccione Abrir.

  5. En el campo Contraseña, escriba la contraseña del certificado que creó y, a continuación, seleccione Aceptar.

  6. Marque la casilla Permitir que el certificado se agregue al almacén de certificados de las entidades de certificación raíz de confianza en los equipos de destino y, a continuación, seleccione Aceptar.

  7. Seleccione Aceptar para finalizar la implementación.

Nota:

Incluso si tiene varios servidores en la implementación, el Administrador de servidores importa el certificado a todos los servidores. El Administrador de servidores coloca el certificado en la raíz de confianza para cada servidor y, a continuación, enlaza el certificado a sus respectivos roles.

Es posible que quiera usar certificados para el host de sesión de RDS junto con los certificados que configuró en el Administrador de servidores. Para obtener más información sobre los certificados de host de sesión de RDS, consulte Configuraciones de certificados del agente de escucha de Escritorio remoto.