Certificaatconfiguraties voor listener voor extern bureaublad

  • Artikel
  • 4 minuten om te lezen

In dit artikel worden de methoden beschreven voor het configureren van listenercertificaten op een server op basis van Windows Server 2012 of Windows Server 2012 die geen deel uitmaakt van een RDS-implementatie (Remote Desktop Services).

Van toepassing op: Windows Server 2012 R2
Oorspronkelijk KB-nummer: 3042780

Beschikbaarheid van extern bureaublad-serverlistener

Het listeneronderdeel wordt uitgevoerd op de Extern bureaublad-server en is verantwoordelijk voor het luisteren naar en accepteren van nieuwe RDP-clientverbindingen (Remote Desktop Protocol). Hiermee kunnen gebruikers nieuwe externe sessies op de Extern bureaublad-server tot stand brengen. Er is een listener voor elke verbinding van extern bureaublad-services die op de extern bureaublad-server aanwezig is. Verbindingen kunnen worden gemaakt en geconfigureerd met behulp van het configuratiehulpprogramma voor extern bureaublad-services.

Methoden voor het configureren van listener-certificaat

In Windows Server 2003, Windows Server 2008 of Windows Server 2008 R2 kunt u met de module Extern bureaublad Configuration Manager MMC directe toegang krijgen tot de RDP-listener. In de module kunt u een certificaat aan de listener binden en op zijn beurt SSL-beveiliging afdwingen voor de RDP-sessies.

In Windows Server 2012 of Windows Server 2012 R2 bestaat deze MMC-module niet. Daarom biedt het systeem geen directe toegang tot de RDP-listener. Gebruik de volgende methoden om de listenercertificaten in Windows Server 2012 of Windows Server 2012 R2 te configureren.

  • Methode 1: WMI-script (Windows Management Instrumentation) gebruiken

    De configuratiegegevens voor de RDS-listener worden opgeslagen in de Win32_TSGeneralSetting klasse in WMI onder de Root\CimV2\TerminalServices naamruimte.

    Naar het certificaat voor de RDS-listener wordt verwezen via de vingerafdrukwaarde van dat certificaat op een SSLCertificateSHA1Hash-eigenschap . De vingerafdrukwaarde is uniek voor elk certificaat.

    Opmerking

    Voordat u de wmic-opdrachten uitvoert, moet het certificaat dat u wilt gebruiken, worden geïmporteerd in het persoonlijke certificaatarchief voor het computeraccount. Als u het certificaat niet importeert, ontvangt u een ongeldige parameterfout .

    Voer de volgende stappen uit om een certificaat te configureren met WMI:

    1. Open het dialoogvenster Eigenschappen voor uw certificaat en selecteer het tabblad Details .

    2. Schuif omlaag naar het veld Vingerafdruk en kopieer de door spaties gescheiden hexadecimale tekenreeks naar iets als Kladblok.

      De volgende schermopname is een voorbeeld van de vingerafdruk van het certificaat in de eigenschappen van het certificaat :

      Een voorbeeld van de vingerafdruk van het certificaat in de certificaateigenschappen.

      Als u de tekenreeks naar Kladblok kopieert, moet deze lijken op de volgende schermopname:

      Kopieer en plak de vingerafdruktekenreeks in Kladblok.

      Nadat u de spaties in de tekenreeks hebt verwijderd, bevat deze nog steeds het onzichtbare ASCII-teken dat alleen zichtbaar is bij de opdrachtprompt. De volgende schermopname is een voorbeeld:

      Het onzichtbare ASCII-teken dat alleen wordt weergegeven bij de opdrachtprompt.

      Zorg ervoor dat dit ASCII-teken wordt verwijderd voordat u de opdracht uitvoert om het certificaat te importeren.

    3. Verwijder alle spaties uit de tekenreeks. Er kan ook een onzichtbaar ACSII-teken worden gekopieerd. Dit is niet zichtbaar in Kladblok. De enige manier om te valideren is door rechtstreeks naar het opdrachtpromptvenster te kopiëren.

    4. Voer bij de opdrachtprompt de volgende wmic-opdracht uit, samen met de vingerafdrukwaarde die u in stap 3 verkrijgt:

      wmic /namespace:\\root\cimv2\TerminalServices PATH Win32_TSGeneralSetting Set SSLCertificateSHA1Hash="THUMBPRINT"

      De volgende schermopname is een geslaagd voorbeeld:

      Een geslaagd voorbeeld van het uitvoeren van de wmic-opdracht samen met de vingerafdrukwaarde die u in stap 3 verkrijgt.

  • Methode 2: Register-editor gebruiken

    Belangrijk

    Volg de stappen in deze sectie zorgvuldig. Als u het register onjuist bewerkt, kunnen er grote problemen optreden. Voordat u het wijzigt, maakt u een back-up van het register en herstelt u het in Windows als er problemen optreden.

    Voer de volgende stappen uit om een certificaat te configureren met behulp van de registereditor:

    1. Installeer een serververificatiecertificaat in het persoonlijke certificaatarchief met behulp van een computeraccount.

    2. Maak de volgende registerwaarde die de SHA1-hash van het certificaat bevat, zodat u dit aangepaste certificaat kunt configureren om TLS te ondersteunen in plaats van het standaard zelfondertekende certificaat te gebruiken.

      • Registerpad: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp
      • Waardenaam: SSLCertificateSHA1Hash
      • Waardetype: REG_BINARY
      • Waardegegevens: vingerafdruk van certificaat

      De waarde moet de vingerafdruk van het certificaat zijn en worden gescheiden door komma's (,) zonder lege spaties. Als u bijvoorbeeld die registersleutel zou exporteren, zou de waarde SSLCertificateSHA1Hash er als volgt uitzien:

      SSLCertificateSHA1Hash=hex:42,49,e1,6e,0a,f0,a0,2e,63,c4,5c,93,fd,52,ad,09,27,82,1b,01

    3. De Extern bureaublad-hostservices worden uitgevoerd onder het NETWORK SERVICE-account. Daarom moet u de SACL (System Access Control List) instellen van het sleutelbestand dat door RDS wordt gebruikt om NETWORK SERVICE samen met de leesmachtigingen op te nemen.

      Als u de machtigingen wilt wijzigen, volgt u deze stappen in de module Certificaten voor de lokale computer:

      1. Klik op Start, klik op Uitvoeren, typ mmc en klik vervolgens op OK.
      2. Klik in het menu Bestand op Module toevoegen/verwijderen.
      3. Klik in het dialoogvenster Modules toevoegen of verwijderen in de lijst Beschikbare modules op Certificaten en klik vervolgens op Toevoegen.
      4. Klik in de module Certificaten op Computeraccount en klik vervolgens op Volgende.
      5. Klik in het dialoogvenster Computer selecteren op Lokale computer: (de computer waarop deze console wordt uitgevoerd) en klik vervolgens op Voltooien.
      6. Klik in het dialoogvenster Modules toevoegen of verwijderen op OK.
      7. Vouw in de module Certificaten in de consolestructuur Certificaten (lokale computer) uit, vouw Personal uit en selecteer vervolgens het SSL-certificaat dat u wilt gebruiken.
      8. Klik met de rechtermuisknop op het certificaat, selecteer Alle taken en selecteer vervolgens Persoonlijke sleutels beheren.
      9. Klik in het dialoogvenster Machtigingen op Toevoegen, typ NETWERKSERVICE, klik op OK, selecteer Lezen onder het selectievakje Toestaan en klik vervolgens op OK.