Utiliser des certificats dans les services Bureau à distance

Vous pouvez utiliser des certificats pour sécuriser les connexions à votre déploiement des services Bureau à distance (RDS) et entre les rôles serveur RDS. RDS utilise SSL (Secure Socket Layer) ou TLS (Transport Layer Security) pour chiffrer les connexions aux services de rôle RdS Web, Connection Broker et Gateway.

En vérifiant que le serveur qui envoie des informations au client est authentique, les certificats empêchent les attaques de l'intercepteur, durant lesquelles un acteur malveillant intercepte le trafic entre le serveur RDP (Remote Desktop Protocol) et le client pour voler des informations confidentielles ou refuser l’accès aux informations d’identification. Lorsque cette relation de confiance est établie, le client considère que la connexion est sûre et peut accepter les données en provenance et à destination du serveur.

Prérequis

Les éléments suivants sont requis pour utiliser des certificats dans RDS :

• Ordinateur ou ordinateurs sur lesquels le rôle RDS est configuré. Pour en savoir plus, consultez Installer ou désinstaller des rôles, des services de rôle ou des fonctionnalités.

• Un compte disposant de droits d’administrateur ou équivalent à un ou plusieurs serveurs RDS.

• Un certificat de serveur qui respecte les exigences suivantes :

  • Délivré pour l’authentification du serveur (EKU 1.3.6.1.5.5.7.3.1).

  • Délivré pour une utilisation améliorée de la clé (OID 2.5.29.37).

  • Délivré pour l’utilisation de la clé (OID 2.5.29.15).

  • Émis par une autorité de certification approuvée par un ou plusieurs serveurs et clients RDS.

  • Délivré avec une clé privée exportable.

  • Une exportation du certificat avec la clé privée correspondante au format .pfx. Pour en savoir plus sur l’exportation de la clé privée, consultez Exporter un certificat avec sa clé privée.

Remarque

Si vous utilisez le service de certificats Active Directory (AD CS) pour délivrer des certificats, vous pouvez également créer un modèle de certificat ou dupliquer le modèle de certificat de serveur web. Pour en savoir plus sur la création de modèles de certificat, consultez Créer un modèle de certificat.

Configurer le Bureau à distance pour utiliser des certificats

Maintenant que vous avez créé vos certificats et compris leur contenu, vous devez configurer le Bureau à distance pour les utiliser.

Configurer le Bureau à distance pour utiliser des certificats spécifiques :

Interface graphique utilisateur

1. Dans le volet gauche du Gestionnaire de serveur, sélectionnez Services Bureau à distance.

2. Dans l'onglet Vue d'ensemble, sous Vue d’ensemble du déploiement, sélectionnez TÂCHES, puis Modifier les propriétés de déploiement.

3. Dans la fenêtre Configurer le déploiement, sélectionnez Certificats.

4. Choisissez Sélectionner un certificat existant, sélectionnez Parcourir, recherchez votre fichier de certificat au format .pfx, puis sélectionnez Ouvrir.

5. Dans le champ Mot de passe, saisissez le mot de passe du certificat que vous avez créé, puis sélectionnez OK.

6. Cochez la case Autoriser l’ajout du certificat au magasin de certificats Autorités de certification racines de confiance sur les ordinateurs de destination, puis cliquez sur OK.

7. Sélectionnez OK pour finaliser votre déploiement.

Remarque

Même si vous avez plusieurs serveurs dans le déploiement, le Gestionnaire de serveur importe le certificat sur tous les serveurs. Le Gestionnaire de serveur place le certificat dans la racine approuvée de chaque serveur, puis lie le certificat à ses rôles respectifs.

PowerShell

1. Connectez-vous à un ordinateur avec les Outils d’administration de serveur distant RDS installés et le rôle Bureau à distance que vous souhaitez configurer.

2. Ouvrez une session PowerShell avec élévation de privilèges.

3. Exécutez le script suivant pour le certificat RD que vous envisagez d'utiliser pour votre session, dans lequel il vous invite à entrer le mot de passe et l'emplacement pour le certificat exporté. Remplacez <PathToPFXFile> par le chemin d’accès complet au fichier, y compris le fichier .pfx.

$password = Read-Host -AsSecureString -Prompt "Enter Password"
$parameters = @{
  Role        = "RDWebAccess"
  Password    = $password
  ImportPath  = "PathToPFXFile"
}
Set-RDCertificate @parameters

Pour définir le certificat en fonction d’un type de Rôle spécifique, consultez Set-RDCertificate.

Pour afficher tous les certificats RDS configurés, exécutez la commande suivante :

Get-RDCertificate

Vous pouvez vouloir utiliser des certificats pour l'hôte de session RDS en même temps que les certificats que vous avez configurés dans le Gestionnaire de serveur. Pour en savoir plus sur les certificats pour l'hôte de session RDS, consultez Configurations de certificat de l’écouteur Bureau à distance.

Contenu connexe

• Services Bureau à distance - Sécuriser le stockage des données à l’aide de disques de profil utilisateur

• Remote Desktop Services - Multifactor authentication (Services Bureau à distance - Authentification multifacteur)