Delen via

Certificaatconfiguraties voor extern bureaublad-listener

  • Artikel

In dit artikel worden de methoden beschreven voor het configureren van listenercertificaten op een Windows Server 2012- of Windows Server 2012-server die geen deel uitmaakt van een RDS-implementatie (Extern bureaublad-services).

Origineel KB-nummer: 3042780

Beschikbaarheid van listener voor extern bureaublad-server

Het listener-onderdeel wordt uitgevoerd op de Extern bureaublad-server en is verantwoordelijk voor het luisteren naar en accepteren van nieuwe RDP-clientverbindingen (Remote Desktop Protocol). Hierdoor kunnen gebruikers nieuwe externe sessies opzetten op de extern bureaublad-server. Er is een listener voor elke verbinding van extern bureaublad-services die op de extern bureaublad-server aanwezig is. Verbindingen kunnen worden gemaakt en geconfigureerd met behulp van het configuratiehulpprogramma voor extern bureaublad-services.

Methoden voor het configureren van listenercertificaat

In Windows Server 2003, Windows Server 2008 of Windows Server 2008 R2 kunt u met de MMC-module Extern bureaublad Configuration Manager directe toegang krijgen tot de RDP-listener. In de module kunt u een certificaat verbinden met de listener en op zijn beurt SSL-beveiliging afdwingen voor de RDP-sessies.

In Windows Server 2012 of Windows Server 2012 R2 bestaat deze MMC-module niet. Daarom biedt het systeem geen directe toegang tot de RDP-listener. Gebruik de volgende methoden om de listenercertificaten in Windows Server 2012 of Windows Server 2012 R2 te configureren.

  • Methode 1: WMI-script (Windows Management Instrumentation) gebruiken

    De configuratiegegevens voor de RDS-listener worden opgeslagen in de Win32_TSGeneralSetting klasse in WMI onder de Root\CimV2\TerminalServices naamruimte.

    Naar het certificaat voor de RDS-listener wordt verwezen via de vingerafdrukwaarde van dat certificaat in een eigenschap SSLCertificateSHA1Hash . De vingerafdrukwaarde is uniek voor elk certificaat.

    Opmerking

    Voordat u de wmic-opdrachten uitvoert, moet het certificaat dat u wilt gebruiken, worden geïmporteerd in het persoonlijke certificaatarchief voor het computeraccount. Als u het certificaat niet importeert, ontvangt u de fout Ongeldige parameter .

    Voer de volgende stappen uit om een certificaat te configureren met behulp van WMI:

    1. Open het dialoogvenster Eigenschappen voor uw certificaat en selecteer het tabblad Details .

    2. Schuif omlaag naar het veld Vingerafdruk en kopieer de door spaties gescheiden hexadecimale tekenreeks naar bijvoorbeeld Kladblok.

      De volgende schermopname is een voorbeeld van de vingerafdruk van het certificaat in de certificaateigenschappen :

      Een voorbeeld van de vingerafdruk van het certificaat in de certificaateigenschappen.

      Als u de tekenreeks naar Kladblok kopieert, moet deze er ongeveer als volgt uitzien:

      Kopieer en plak de vingerafdruktekenreeks in Kladblok.

      Nadat u de spaties in de tekenreeks hebt verwijderd, bevat deze nog steeds het onzichtbare ASCII-teken dat alleen zichtbaar is bij de opdrachtprompt. De volgende schermopname is een voorbeeld:

      Het onzichtbare ASCII-teken dat alleen wordt weergegeven bij de opdrachtprompt.

      Zorg ervoor dat dit ASCII-teken is verwijderd voordat u de opdracht uitvoert om het certificaat te importeren.

    3. Verwijder alle spaties uit de tekenreeks. Er kan ook een onzichtbaar ACSII-teken zijn dat wordt gekopieerd. Dit is niet zichtbaar in Kladblok. De enige manier om dit te valideren is door rechtstreeks naar het opdrachtpromptvenster te kopiëren.

    4. Voer bij de opdrachtprompt de volgende wmic-opdracht uit, samen met de vingerafdrukwaarde die u in stap 3 ophaalt:

      wmic /namespace:\\root\cimv2\TerminalServices PATH Win32_TSGeneralSetting Set SSLCertificateSHA1Hash="THUMBPRINT"

      De volgende schermopname is een geslaagd voorbeeld:

      Een geslaagd voorbeeld van het uitvoeren van de opdracht wmic samen met de vingerafdrukwaarde die u in stap 3 ophaalt.

  • Methode 2: Register-editor gebruiken

    Belangrijk

    Volg de stappen in deze sectie zorgvuldig. Als u het register onjuist bewerkt, kunnen er grote problemen optreden. Voordat u het wijzigt, maakt u een back-up van het register en herstelt u het register in Windows voor het geval er problemen optreden.

    Voer de volgende stappen uit om een certificaat te configureren met behulp van de register-editor:

    1. Installeer een serververificatiecertificaat in het persoonlijke certificaatarchief met behulp van een computeraccount.

    2. Maak de volgende registerwaarde die de SHA1-hash van het certificaat bevat, zodat u dit aangepaste certificaat kunt configureren voor ondersteuning van TLS in plaats van het standaard zelfondertekende certificaat te gebruiken.

      • Registerpad: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp
      • Waardenaam: SSLCertificateSHA1Hash
      • Waardetype: REG_BINARY
      • Waardegegevens: vingerafdruk van certificaat

      De waarde moet de vingerafdruk van het certificaat zijn en worden gescheiden door komma (,) zonder lege spaties. Als u bijvoorbeeld die registersleutel zou exporteren, ziet de waarde SSLCertificateSHA1Hash er als volgt uit:

      SSLCertificateSHA1Hash=hex:42,49,e1,6e,0a,f0,a0,2e,63,c4,5c,93,fd,52,ad,09,27,82,1b,01

    3. De Extern bureaublad-hostservices worden uitgevoerd onder het NETWORK SERVICE-account. Daarom moet u de systeemtoegangsbeheerlijst (SACL) van het sleutelbestand dat wordt gebruikt door RDS instellen om NETWORK SERVICE samen met de leesmachtigingen op te nemen.

      Als u de machtigingen wilt wijzigen, volgt u deze stappen in de module Certificaten voor de lokale computer:

      1. Klik op Start, klik op Uitvoeren, typ mmc en klik vervolgens op OK.
      2. Klik in het menu Bestand op Module toevoegen/verwijderen.
      3. Klik in het dialoogvenster Modules toevoegen of verwijderen in de lijst Beschikbare modules op Certificaten en klik vervolgens op Toevoegen.
      4. Klik in het dialoogvenster Certificatenmodule op Computeraccount en klik vervolgens op Volgende.
      5. Klik in het dialoogvenster Computer selecteren op Lokale computer: (de computer waarop deze console wordt uitgevoerd) en klik vervolgens op Voltooien.
      6. Klik in het dialoogvenster Modules toevoegen of verwijderen op OK.
      7. Vouw in de module Certificaten in de consolestructuur Certificaten (lokale computer) uit, vouw Persoonlijk uit en selecteer vervolgens het SSL-certificaat dat u wilt gebruiken.
      8. Klik met de rechtermuisknop op het certificaat, selecteer Alle taken en selecteer vervolgens Persoonlijke sleutels beheren.
      9. Klik in het dialoogvenster Machtigingen op Toevoegen, typ NETWORK SERVICE, klik op OK, selecteer Lezen onder het selectievakje Toestaan en klik vervolgens op OK.