リモートデスクトップリスナー証明書の構成

2025-06-28

この記事では、リモートデスクトップサービス (RDS) 展開の一部ではない Windows Server でリスナー証明書を構成する方法について説明します。

元の KB 番号: 3042780

リモートデスクトップサーバーリスナーの可用性について

リスナーコンポーネントはリモートデスクトップサーバー上で実行され、新しいリモートデスクトッププロトコル (RDP) クライアント接続をリッスンして受け入れる役割を担います。これにより、ユーザーはリモートデスクトップサーバーで新しいリモートセッションを確立できます。リモートデスクトップサーバーに存在する各リモートデスクトップサービス接続のリスナーがあります。接続は、リモートデスクトップサービス構成ツールを使用して作成および構成できます。

リモートデスクトップサーバーリスナー証明書を構成する

RDS リスナーの構成データは、Root\CimV2\TerminalServices名前空間の下にある Windows Management Instrumentation (WMI) のWin32_TSGeneralSetting クラスに格納されます。

RDS リスナーの証明書は、SSLCertificateSHA1Hash プロパティのその証明書の Thumbprint 値を介して参照されます。拇印の値は、各証明書に固有です。

注

コマンドを実行する前に、使用する証明書をコンピューターアカウントの 個人用 証明書ストアにインポートする必要があります ( certlm.msc経由)。証明書をインポートしない場合は、 無効なパラメーター エラーが表示されます。

WMI を使用して証明書を構成するには、次の手順に従います。

証明書のプロパティダイアログを開き、 Details タブを選択します。

[拇印] フィールドまで下にスクロールし、スペース区切りの 16 進文字列をメモ帳などにコピーします。

次のスクリーンショットは、証明書プロパティの証明書の拇 印の例 を示しています。

文字列をメモ帳にコピーすると、次のスクリーンショットのようになります。

文字列内のスペースを削除しても、コマンドプロンプトでのみ表示される非表示の ASCII 文字が含まれます。次のスクリーンショットは例です。

証明書をインポートするコマンドを実行する前に、この ASCII 文字が削除されていることを確認してください。
文字列からすべてのスペースを削除します。非表示の ACSII 文字もコピーされる可能性があります。この文字はメモ帳には表示されません。文字列を検証するには、コマンドプロンプトウィンドウに文字列を直接コピーします。
コマンドプロンプトで、次の wmic コマンドを、手順 3 で取得した拇印の値と共に実行します。
```
wmic /namespace:\\root\cimv2\TerminalServices PATH Win32_TSGeneralSetting Set SSLCertificateSHA1Hash="THUMBPRINT"
```
次のスクリーンショットは、成功した例を示しています。

[拇印] フィールドまで下にスクロールし、スペース区切りの 16 進文字列をメモ帳などのテキストエディターにコピーします。

次のスクリーンショットは、証明書プロパティの証明書の拇 印の例 を示しています。

文字列をメモ帳にコピーすると、次のスクリーンショットのようになります。

文字列内のスペースを削除しても、コマンドプロンプトでのみ表示される非表示の ASCII 文字が含まれます。次のスクリーンショットは、例を示しています。

証明書をインポートするコマンドを実行する前に、この ASCII 文字が削除されていることを確認します。
文字列からすべてのスペースを削除します。コピーされる非表示の ACSII 文字が存在する可能性があります。この文字はメモ帳には表示されません。文字列を検証するには、コマンドプロンプトウィンドウに文字列を直接コピーします。
コマンドプロンプトで、次の wmic コマンドを、手順 3 で取得した拇印の値と共に実行します。
```
wmic /namespace:\\root\cimv2\TerminalServices PATH Win32_TSGeneralSetting Set SSLCertificateSHA1Hash="THUMBPRINT"
```
次のスクリーンショットは、成功した例を示しています。

[拇印] フィールドまで下にスクロールし、コピーします。次のスクリーンショットは、 Certificate プロパティの証明書の拇印の例です。
コマンドプロンプトで、手順 2 で取得した拇印の値と共に次の PowerShell コマンドを実行します。
```
Get-WmiObject -class "Win32_TSGeneralSetting" -Namespace root\cimv2\terminalservices | Set-WmiInstance -Arguments @{SSLCertificateSHA1Hash="THUMBPRINT"}
```
次のスクリーンショットは、成功した例を示しています。

重要

慎重にこのセクションの手順に従います。レジストリを正しく変更しないと、重大な問題が発生する可能性があります。変更する前に、問題が発生した場合に Windows でレジストリをバックアップおよび復元する方法について説明します。

レジストリエディターを使用して証明書を構成するには、次の手順に従います。

コンピューターアカウントを使用して、サーバー認証証明書を個人用証明書ストアにインストールします。
既定の自己署名証明書を使用する代わりに TLS をサポートするようにこのカスタム証明書を構成できるように、証明書の SHA1 ハッシュを含む次のレジストリ値を作成します。
- レジストリパス: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp
- 値の名前: SSLCertificateSHA1Hash
- 値の種類: REG_BINARY
- 値データ: 証明書の拇印
値は証明書の拇印で、空白を使用せずにコンマ (,) で区切る必要があります。たとえば、そのレジストリキーをエクスポートする場合、 SSLCertificateSHA1Hash の値は次のようになります。
```
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp]
"SSLCertificateSHA1Hash"=hex:42,49,e1,6e,0a,f0,a0,2e,63,c4,5c,93,fd,52,ad,09,27,82,1b,01
```
リモートデスクトップホストサービスは、ネットワークサービスアカウントで実行されます。そのため、RDS で使用されるキーファイルのシステムアクセス制御リスト (SACL) を設定して、NETWORK SERVICE を Read アクセス許可と共に含める必要があります。

アクセス許可を変更するには、ローカルコンピューターの証明書スナップインで次の手順を実行します。
1. Start を選択し、Run を選択し、「mmc」と入力して、OK を選択します。
2. [ファイル] メニューの [スナップインの追加と削除] を選択します。
3. [ スナップインの追加と削除 ] ダイアログボックスの [ 使用可能なスナップイン ] ボックスの一覧で、[ 証明書] を選択し、[ 追加] を選択します。
4. [ 証明書 スナップイン] ダイアログボックスで、[ コンピューターアカウント] を選択し、[ 次へ] を選択します。
5. コンピューターの選択] ダイアログボックスで、[ローカルコンピューター: (このコンソールが実行されているコンピューター) 選択し、Finishを選択します。
6. [スナップインの追加と削除] ダイアログボックスで、 [OK] を選択します。
7. Certificates スナップインのコンソールツリーで、Certificates (ローカルコンピューター)を展開し、Personal を展開して、使用する SSL 証明書を選択します。
8. 証明書を右クリックし、 [すべてのタスク] を選択して、 [秘密キーの管理] を選択します。
9. [アクセス許可] ダイアログボックスで、[追加] を選択し、「NETWORK SERVICE」と入力し、[OK] を選択し、[許可] チェックボックスで [読み取り] を選択して、[OK] を選択します。

次の方法で共有

リモート デスクトップ リスナー証明書の構成

リモート デスクトップ サーバー リスナーの可用性について

リモート デスクトップ サーバー リスナー証明書を構成する

フィードバック

その他のリソース

リモートデスクトップリスナー証明書の構成

リモートデスクトップサーバーリスナーの可用性について

リモートデスクトップサーバーリスナー証明書を構成する