Configurazioni del certificato del listener desktop remoto

Questo articolo descrive i metodi per configurare i certificati del listener in un server Windows che non fa parte di una distribuzione di Servizi Desktop remoto.This article describes the methods to configure listener certificates on a Windows Server that't part of a Remote Desktop Services (RDS) deployment.

Numero KB originale: 3042780

Informazioni sulla disponibilità del listener del server Desktop remoto

Il componente listener viene eseguito sul server Desktop remoto ed è responsabile dell'ascolto e dell'accettazione di nuove connessioni client RDP (Remote Desktop Protocol). In questo modo gli utenti stabiliscono nuove sessioni remote nel server Desktop remoto. È disponibile un listener per ogni connessione di Servizi Desktop remoto presente nel server Desktop remoto. Le connessioni possono essere create e configurate utilizzando lo strumento Configurazione di Servizi Desktop remoto.

Configurare il certificato del listener del server Desktop remoto

WMI

I dati di configurazione per il listener RDS vengono archiviati nella classe Win32_TSGeneralSetting in Strumentazione di Gestione Windows (WMI) nello spazio dei nomi Root\CimV2\TerminalServices.

Il certificato per il listener di Servizi Desktop remoto viene fatto riferimento tramite il valore identificazione personale di tale certificato in una proprietà SSLCertificateSHA1Hash . Il valore di identificazione personale è univoco per ogni certificato.

Annotazioni

Prima di eseguire i comandi, il certificato da usare deve essere importato nell'archivio certificati personale per l'account computer (tramite certlm.msc). Se non si importa il certificato, verrà visualizzato un errore parametro non valido .

Per configurare un certificato tramite WMI, seguire questa procedura:

1. Aprire la finestra di dialogo delle proprietà per il certificato e selezionare la scheda Dettagli .

2. Scorrere verso il basso fino al campo Impronta digitale e copiare la stringa esadecimale delimitata da spazi su Blocco note.

   Lo screenshot seguente mostra un esempio dell'impronta digitale del certificato nelle proprietà Certificate :

   

   Se si copia la stringa nel Blocco note, dovrebbe essere simile allo screenshot seguente:

   

   Dopo aver rimosso gli spazi nella stringa, contiene ancora il carattere ASCII invisibile che è visibile solo al prompt dei comandi. Lo screenshot seguente è un esempio:

   

   Assicurarsi che questo carattere ASCII venga rimosso prima di eseguire il comando per importare il certificato.

3. Rimuovere tutti gli spazi dalla stringa. Potrebbe essere presente un carattere INVISIBILII copiato anche. Questo carattere non è visibile nel Blocco note. Per convalidare la stringa, copiare la stringa direttamente nella finestra del prompt dei comandi.

4. Al prompt dei comandi, eseguire il seguente comando wmic insieme all'impronta digitale ottenuta nel passaggio 3:

   wmic /namespace:\\root\cimv2\TerminalServices PATH Win32_TSGeneralSetting Set SSLCertificateSHA1Hash="THUMBPRINT"
   

   Lo screenshot seguente mostra un esempio di esito positivo:

   

2. Scorri verso il basso fino al campo Impronta digitale e copia la stringa esadecimale delimitata da spazi in un editor di testo come Blocco Note.

   Il seguente esempio mostra un esempio dell'impronta digitale del certificato nelle proprietà Certificate:

   

   Quando si copia la stringa nel Blocco note, dovrebbe essere simile allo screenshot seguente:

   

   Dopo aver rimosso gli spazi nella stringa, contiene ancora un carattere ASCII invisibile che è visibile solo al prompt dei comandi. La schermata seguente mostra un esempio:

   

   Assicurarsi che questo carattere ASCII venga rimosso prima di eseguire il comando per importare il certificato.

3. Rimuovere tutti gli spazi dalla stringa. Potrebbe essere presente anche un carattere ASCII invisibile copiato. Questo carattere non è visibile nel Blocco note. Per convalidare la stringa, copiare la stringa direttamente nella finestra del prompt dei comandi.

4. Al prompt dei comandi, esegui il seguente comando wmic insieme al valore dell'impronta digitale ottenuto nel passaggio 3.

   wmic /namespace:\\root\cimv2\TerminalServices PATH Win32_TSGeneralSetting Set SSLCertificateSHA1Hash="THUMBPRINT"
   

   Lo screenshot seguente mostra un esempio di esito positivo:

   

2. Scorrere verso il basso fino al campo Impronta digitale e copiarlo. Lo screenshot seguente è un esempio dell'identificazione personale del certificato nelle proprietà Certificate :

   

3. Nel prompt dei comandi, eseguire il seguente comando PowerShell insieme al valore dell'impronta digitale ottenuto nel passaggio 2:

   Get-WmiObject -class "Win32_TSGeneralSetting" -Namespace root\cimv2\terminalservices | Set-WmiInstance -Arguments @{SSLCertificateSHA1Hash="THUMBPRINT"}
   

   Lo screenshot seguente mostra un esempio di esito positivo:

   

Registro

Importante

Seguire attentamente i passaggi in questa sezione. Se le modifiche al Registro di sistema vengono apportate in modo non corretto, possono verificarsi problemi gravi. Prima di modificarlo, come eseguire il backup e ripristinare il Registro di sistema in Windows in caso di problemi.

Per configurare un certificato tramite l'editor del Registro di sistema, seguire questa procedura:

1. Installare un certificato di autenticazione server nell'archivio certificati personale usando un account computer.

2. Creare il valore del Registro di sistema seguente che contiene l'hash SHA1 del certificato in modo che sia possibile configurare questo certificato personalizzato per supportare TLS anziché usare il certificato autofirmato predefinito.

   • Percorso del Registro di sistema: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp
   • Nome valore: SSLCertificateSHA1Hash
   • Tipo di valore: REG_BINARY
   • Dati valore: identificazione personale del certificato

   Il valore deve essere l'identificazione personale del certificato e deve essere separato da virgola (,) senza spazi vuoti. Ad esempio, se si intende esportare tale chiave del Registro di sistema, il valore SSLCertificateSHA1Hash sarà il seguente:

   Windows Registry Editor Version 5.00
   
   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp]
   "SSLCertificateSHA1Hash"=hex:42,49,e1,6e,0a,f0,a0,2e,63,c4,5c,93,fd,52,ad,09,27,82,1b,01
   

3. Servizi host Desktop remoto viene eseguito con l'account SERVIZIO DI RETE. Pertanto, è necessario impostare l'elenco di controllo di accesso di sistema (SACL) del file di chiave usato da SERVIZI Desktop remoto per includere NETWORK SERVICE insieme alle autorizzazioni di lettura .

   Per modificare le autorizzazioni, seguire questa procedura nello snap-in Certificati per il computer locale:

   1. Selezionare Start, selezionare Esegui, digitare mmc e quindi selezionare OK.
   2. Nel menu File selezionare Aggiungi/Rimuovi snap-in.
   3. Nella finestra di dialogo Aggiungi o Rimuovi snap-in selezionare Certificati nell'elenco Snap-in disponibili e quindi selezionare Aggiungi.
   4. Nella finestra di dialogo Snap-in Certificati selezionare Account computer e quindi selezionare Avanti.
   5. Nella finestra di dialogo Seleziona computer selezionare Computer locale: (il computer in cui è in esecuzione la console) e quindi selezionare Fine.
   6. Nella finestra di dialogo Aggiungi o rimuovi snap-in, seleziona OK.
   7. Nello snap-in Certificati, nell'albero della console espandere Certificati (computer locale), espandere Personale e quindi selezionare il certificato SSL da usare.
   8. Fare clic con il pulsante destro del mouse sul certificato importato, selezionare Tutte le attività, quindi selezionare Gestisci chiavi private.
   9. Nella finestra di dialogo Autorizzazioni selezionare Aggiungi, digitare SERVIZIO DI RETE, selezionare OK, selezionare Lettura nella casella di controllo Consenti e quindi selezionare OK.

MMC

Lo snap-in Gestione configurazione Desktop remoto di Microsoft Management Console (MMC) consente di accedere direttamente al listener RDP. Nello snap-in è possibile associare un certificato al listener e a sua volta applicare la sicurezza SSL per le sessioni RDP.

Il metodo Microsoft Management Console (MMC) non è disponibile a partire da Windows Server 2012 o Windows Server 2012 R2. Tuttavia, è sempre possibile configurare il listener RDP usando WMI o il Registro di sistema.

Il metodo Microsoft Management Console (MMC) non è disponibile a partire da Windows Server 2012 o Windows Server 2012 R2. Tuttavia, è sempre possibile configurare il listener RDP usando WMI o il Registro di sistema.