リモート デスクトップ リスナー証明書の構成

  • [アーティクル]

この記事では、リモート デスクトップ サービス (RDS) 展開に含まれていないWindows Server 2012 ベースまたはWindows Server 2012 ベースのサーバーでリスナー証明書を構成する方法について説明します。

適用対象: Windows Server 2012 R2
元の KB 番号: 3042780

リモート デスクトップ サーバー リスナーの可用性について

リスナー コンポーネントはリモート デスクトップ サーバー上で実行され、新しいリモート デスクトップ プロトコル (RDP) クライアント接続のリッスンと受け入れを担当します。 これにより、ユーザーはリモート デスクトップ サーバーで新しいリモート セッションを確立できます。 リモート デスクトップ サーバーに存在するリモート デスクトップ サービス接続ごとにリスナーがあります。 接続は、リモート デスクトップ サービス構成ツールを使用して作成および構成できます。

リスナー証明書を構成するためのメソッド

Windows Server 2003、Windows Server 2008、または Windows Server 2008 R2 では、リモート デスクトップ Configuration Manager MMC スナップインを使用すると、RDP リスナーに直接アクセスできます。 スナップインでは、証明書をリスナーにバインドし、RDP セッションに SSL セキュリティを適用できます。

Windows Server 2012 または Windows Server 2012 R2 では、この MMC スナップインは存在しません。 そのため、システムは RDP リスナーに直接アクセスしません。 Windows Server 2012または Windows Server 2012 R2 でリスナー証明書を構成するには、次の方法を使用します。

  • 方法 1: Windows Management Instrumentation (WMI) スクリプトを使用する

    RDS リスナーの構成データは、WMI の名前空間の Win32_TSGeneralSetting クラスに Root\CimV2\TerminalServices 格納されます。

    RDS リスナーの証明書は、SSLCertificateSHA1Hash プロパティの証明書の拇印値を介して参照されます。 拇印の値は、各証明書に一意です。

    注:

    wmic コマンドを実行する前に、使用する証明書をコンピューター アカウントの個人用証明書ストアにインポートする必要があります。 証明書をインポートしない場合は、 無効なパラメーター エラーが表示されます。

    WMI を使用して証明書を構成するには、次の手順に従います。

    1. 証明書の [プロパティ] ダイアログを開き、[ 詳細 ] タブを選択します。

    2. [拇印] フィールドまで下にスクロールし、スペース区切りの 16 進文字列をメモ帳などにコピーします。

      次のスクリーンショットは、 Certificate プロパティの証明書の拇印の例です。

      Certificate プロパティの証明書拇印の例。

      文字列をメモ帳にコピーすると、次のスクリーンショットのようになります。

      拇印文字列をコピーしてメモ帳に貼り付けます。

      文字列内のスペースを削除しても、コマンド プロンプトでのみ表示される非表示の ASCII 文字が含まれます。 次のスクリーンショットは例です。

      コマンド プロンプトにのみ表示される非表示の ASCII 文字。

      コマンドを実行して証明書をインポートする前に、この ASCII 文字が削除されていることを確認してください。

    3. 文字列からすべてのスペースを削除します。 非表示の ACSII 文字もコピーされる可能性があります。 これはメモ帳には表示されません。 検証する唯一の方法は、コマンド プロンプト ウィンドウに直接コピーすることです。

    4. コマンド プロンプトで、手順 3 で取得した拇印の値と共に次の wmic コマンドを実行します。

      wmic /namespace:\\root\cimv2\TerminalServices PATH Win32_TSGeneralSetting Set SSLCertificateSHA1Hash="THUMBPRINT"

      次のスクリーンショットは、成功した例です。

      手順 3 で取得した拇印値と共に wmic コマンドを実行する成功例。

  • 方法 2: レジストリ エディターを使用する

    重要

    このセクションの手順の実行には注意が必要です。 レジストリを誤って変更すると、深刻な問題が発生することがあります。 変更する前に、問題が発生した場合 に備えて、Windows でレジストリをバックアップおよび復元する方法 に関するページを参照してください。

    レジストリ エディターを使用して証明書を構成するには、次の手順に従います。

    1. コンピューター アカウントを使用して、個人用証明書ストアにサーバー認証証明書をインストールします。

    2. 既定の自己署名証明書を使用する代わりに TLS をサポートするようにこのカスタム証明書を構成できるように、証明書の SHA1 ハッシュを含む次のレジストリ値を作成します。

      • レジストリ パス: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp
      • 値名: SSLCertificateSHA1Hash
      • 値の種類: REG_BINARY
      • 値データ: 証明書の拇印

      値は証明書の拇印で、空のスペースを使用せずにコンマ (,) で区切る必要があります。 たとえば、そのレジストリ キーをエクスポートする場合、 SSLCertificateSHA1Hash 値は次のようになります。

      SSLCertificateSHA1Hash=hex:42,49,e1,6e,0a,f0,a0,2e,63,c4,5c,93,fd,52,ad,09,27,82,1b,01

    3. リモート デスクトップ ホスト サービスは、NETWORK SERVICE アカウントで実行されます。 そのため、読 み取り アクセス許可と共に NETWORK SERVICE を含めるために RDS によって使用されるキー ファイルのシステム アクセス制御リスト (SACL) を設定する必要があります。

      アクセス許可を変更するには、ローカル コンピューターの [証明書] スナップインで次の手順を実行します。

      1. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。次に、「mmc」と入力し、[OK] をクリックします。
      2. [ファイル] メニューの [スナップインの追加と削除] をクリックします。
      3. [ スナップインの追加と削除 ] ダイアログ ボックスの [ 使用可能なスナップイン ] の一覧で、[ 証明書] をクリックし、[ 追加] をクリックします。
      4. [ 証明書 スナップイン] ダイアログ ボックスで、[ コンピューター アカウント] をクリックし、[ 次へ] をクリックします。
      5. [ コンピューターの選択 ] ダイアログ ボックスで、[ ローカル コンピューター: (このコンソールが実行されているコンピューター)] をクリックし、[ 完了] をクリックします。
      6. [ スナップインの追加と削除 ] ダイアログ ボックスで、[OK] をクリック します
      7. [証明書] スナップインのコンソール ツリーで、[証明書 (ローカル コンピューター)] を展開し、[個人用] を展開して、使用する SSL 証明書を選択します。
      8. 証明書を右クリックし、[ すべてのタスク] を選択し、[ 秘密キーの管理] を選択します。
      9. [アクセス許可] ダイアログ ボックスで、[追加] をクリックし、「NETWORK SERVICE」と入力し、[OK] をクリックし、[チェックを許可] ボックスで [読み取り] を選択し、[OK] をクリックします