Condividi tramite

Configurazioni del certificato del listener di Desktop remoto

  • Articolo

Questo articolo descrive i metodi per configurare i certificati listener in un server basato su Windows Server 2012 o basato su Windows Server 2012 che non fa parte di una distribuzione di Servizi Desktop remoto.

Numero KB originale: 3042780

Informazioni sulla disponibilità del listener del server Desktop remoto

Il componente listener viene eseguito nel server Desktop remoto ed è responsabile dell'ascolto e dell'accettazione delle nuove connessioni client RDP (Remote Desktop Protocol). Ciò consente agli utenti di stabilire nuove sessioni remote nel server Desktop remoto. Esiste un listener per ogni connessione di Servizi Desktop remoto presente nel server Desktop remoto. Le connessioni possono essere create e configurate utilizzando lo strumento Configurazione di Servizi Desktop remoto.

Metodi per configurare il certificato listener

In Windows Server 2003, Windows Server 2008 o Windows Server 2008 R2, lo snap-in MMC di Gestione configurazione Desktop remoto consente di accedere direttamente al listener RDP. Nello snap-in è possibile associare un certificato al listener e, a sua volta, applicare la sicurezza SSL per le sessioni RDP.

In Windows Server 2012 o Windows Server 2012 R2 questo snap-in MMC non esiste. Pertanto, il sistema non fornisce accesso diretto al listener RDP. Per configurare i certificati listener in Windows Server 2012 o Windows Server 2012 R2, usare i metodi seguenti.

  • Metodo 1: Usare lo script strumentazione gestione Windows (WMI)

    I dati di configurazione per il listener di Servizi Desktop remoto vengono archiviati nella Win32_TSGeneralSetting classe in WMI nello spazio dei Root\CimV2\TerminalServices nomi .

    Viene fatto riferimento al certificato per il listener RDS tramite il valore Thumbprint di tale certificato in una proprietà SSLCertificateSHA1Hash . Il valore di identificazione personale è univoco per ogni certificato.

    Nota

    Prima di eseguire i comandi wmic, il certificato che si vuole usare deve essere importato nell'archivio certificati personali per l'account computer. Se non si importa il certificato, verrà visualizzato un errore parametro non valido .

    Per configurare un certificato tramite WMI, seguire questa procedura:

    1. Aprire la finestra di dialogo delle proprietà per il certificato e selezionare la scheda Dettagli .

    2. Scorrere verso il basso fino al campo Identificazione personale e copiare la stringa esadecimale delimitata dallo spazio in un formato simile al Blocco note.

      Lo screenshot seguente è un esempio dell'identificazione personale del certificato nelle proprietà Certificato :

      Esempio dell'identificazione personale del certificato nelle proprietà Certificato.

      Se si copia la stringa nel Blocco note, dovrebbe essere simile allo screenshot seguente:

      Copiare e incollare la stringa di identificazione personale nel Blocco note.

      Dopo aver rimosso gli spazi nella stringa, contiene ancora il carattere ASCII invisibile visibile solo al prompt dei comandi. Lo screenshot seguente è un esempio:

      Carattere ASCII invisibile visualizzato solo al prompt dei comandi.

      Assicurarsi che questo carattere ASCII venga rimosso prima di eseguire il comando per importare il certificato.

    3. Rimuovere tutti gli spazi dalla stringa. Potrebbe essere presente un carattere ACSII invisibile copiato. Non è visibile nel Blocco note. L'unico modo per convalidare è copiare direttamente nella finestra del prompt dei comandi.

    4. Al prompt dei comandi eseguire il comando wmic seguente insieme al valore di identificazione personale ottenuto nel passaggio 3:

      wmic /namespace:\\root\cimv2\TerminalServices PATH Win32_TSGeneralSetting Set SSLCertificateSHA1Hash="THUMBPRINT"

      Lo screenshot seguente è un esempio riuscito:

      Esempio riuscito di esecuzione del comando wmic insieme al valore di identificazione personale ottenuto nel passaggio 3.

  • Metodo 2: Usare l'editor del Registro di sistema

    Importante

    Seguire attentamente i passaggi in questa sezione. L'errata modifica del Registro di sistema può causare seri problemi. Prima di modificarlo, come eseguire il backup e il ripristino del Registro di sistema in Windows in caso di problemi.

    Per configurare un certificato usando l'editor del Registro di sistema, seguire questa procedura:

    1. Installare un certificato di autenticazione server nell'archivio certificati personali usando un account computer.

    2. Creare il valore del Registro di sistema seguente che contiene l'hash SHA1 del certificato in modo che sia possibile configurare questo certificato personalizzato per supportare TLS anziché usare il certificato autofirmato predefinito.

      • Percorso del Registro di sistema: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp
      • Nome valore: SSLCertificateSHA1Hash
      • Tipo di valore: REG_BINARY
      • Dati valore: identificazione personale del certificato

      Il valore deve essere l'identificazione personale del certificato ed essere separato da virgola (,) senza spazi vuoti. Ad esempio, se si esportasse la chiave del Registro di sistema, il valore SSLCertificateSHA1Hash sarà il seguente:

      SSLCertificateSHA1Hash=hex:42,49,e1,6e,0a,f0,a0,2e,63,c4,5c,93,fd,52,ad,09,27,82,1b,01

    3. Servizi host Desktop remoto viene eseguito con l'account SERVIZIO DI RETE. Di conseguenza, è necessario impostare l'elenco di controllo di accesso di sistema (SACL) del file di chiavi usato da RDS per includere NETWORK SERVICE insieme alle autorizzazioni lettura .

      Per modificare le autorizzazioni, seguire questa procedura nello snap-in Certificati per il computer locale:

      1. Fare clic sul pulsante Start, scegliere Esegui, digitare mmc e quindi fare clic su OK.
      2. Scegliere Aggiungi/Rimuovi snap-in dal menu File.
      3. Nella finestra di dialogo Aggiungi o rimuovi snap-in fare clic su Certificati nell'elenco Snap-in disponibili e quindi su Aggiungi.
      4. Nella finestra di dialogo Snap-in Certificati fare clic su Account computer e quindi su Avanti.
      5. Nella finestra di dialogo Seleziona computer fare clic su Computer locale: (il computer in cui è in esecuzione la console) e quindi fare clic su Fine.
      6. Nella finestra di dialogo Aggiungi o rimuovi snap-in fare clic su OK.
      7. Nello snap-in Certificati espandere Certificati (computer locale) nell'albero della console, espandere Personale e quindi selezionare il certificato SSL che si vuole usare.
      8. Fare clic con il pulsante destro del mouse sul certificato, selezionare Tutte le attività e quindi selezionare Gestisci chiavi private.
      9. Nella finestra di dialogo Autorizzazioni fare clic su Aggiungi, digitare NETWORK SERVICE, fare clic su OK, selezionare Lettura nella casella di controllo Consenti e quindi fare clic su OK.