Udostępnij za pośrednictwem

Konfiguracje certyfikatu odbiornika pulpitu zdalnego

  • Artykuł

W tym artykule opisano metody konfigurowania certyfikatów odbiornika na serwerze z systemem Windows Server 2012 lub Windows Server 2012, który nie jest częścią wdrożenia usług pulpitu zdalnego.

Oryginalny numer KB: 3042780

Informacje o dostępności odbiornika serwera usług pulpitu zdalnego

Składnik odbiornika działa na serwerze usług pulpitu zdalnego i jest odpowiedzialny za nasłuchiwanie i akceptowanie nowych połączeń klienta protokołu RDP (Remote Desktop Protocol). Umożliwia to użytkownikom ustanawianie nowych sesji zdalnych na serwerze usług pulpitu zdalnego. Na serwerze usług pulpitu zdalnego istnieje odbiornik dla każdego połączenia usług pulpitu zdalnego. Połączenia można tworzyć i konfigurować przy użyciu narzędzia do konfigurowania usług pulpitu zdalnego.

Metody konfigurowania certyfikatu odbiornika

W systemie Windows Server 2003, Windows Server 2008 lub Windows Server 2008 R2 przystawka MMC menedżera konfiguracji pulpitu zdalnego umożliwia bezpośredni dostęp do odbiornika RDP. W przystawce można powiązać certyfikat z odbiornikiem i z kolei wymusić zabezpieczenia SSL dla sesji protokołu RDP.

W systemie Windows Server 2012 lub Windows Server 2012 R2 ta przystawka MMC nie istnieje. W związku z tym system nie zapewnia bezpośredniego dostępu do odbiornika RDP. Aby skonfigurować certyfikaty odbiornika w systemie Windows Server 2012 lub Windows Server 2012 R2, użyj następujących metod.

  • Metoda 1. Używanie skryptu instrumentacji zarządzania Windows (WMI)

    Dane konfiguracji odbiornika usług pulpitu zdalnego są przechowywane w Win32_TSGeneralSetting klasie w usłudze WMI w Root\CimV2\TerminalServices przestrzeni nazw.

    Do certyfikatu odbiornika usług pulpitu zdalnego odwołuje się wartość odcisku palca tego certyfikatu we właściwości SSLCertificateSHA1Hash . Wartość odcisku palca jest unikatowa dla każdego certyfikatu.

    Uwaga

    Przed uruchomieniem poleceń wmic certyfikat, którego chcesz użyć, należy zaimportować do osobistego magazynu certyfikatów dla konta komputera. Jeśli certyfikat nie zostanie zaimportowany, zostanie wyświetlony błąd Nieprawidłowy parametr .

    Aby skonfigurować certyfikat przy użyciu usługi WMI, wykonaj następujące kroki:

    1. Otwórz okno dialogowe właściwości certyfikatu i wybierz kartę Szczegóły .

    2. Przewiń w dół do pola Odcisk palca i skopiuj rozdzielany spacją ciąg szesnastkowy do czegoś takiego jak Notatnik.

      Poniższy zrzut ekranu to przykład odcisku palca certyfikatu we właściwościach certyfikatu:

      Przykład odcisku palca certyfikatu we właściwościach certyfikatu.

      Jeśli skopiujesz ciąg do Notatnika, powinien on wyglądać podobnie do poniższego zrzutu ekranu:

      Skopiuj i wklej ciąg odcisku palca do Notatnika.

      Po usunięciu spacji w ciągu nadal zawiera niewidoczny znak ASCII, który jest widoczny tylko w wierszu polecenia. Poniższy zrzut ekranu jest przykładem:

      Niewidoczny znak ASCII wyświetlany tylko w wierszu polecenia.

      Przed uruchomieniem polecenia w celu zaimportowania certyfikatu upewnij się, że ten znak ASCII został usunięty.

    3. Usuń wszystkie spacje z ciągu. Może istnieć niewidoczny znak PFI, który jest również kopiowany. Nie jest to widoczne w Notatniku. Jedynym sposobem weryfikacji jest skopiowanie bezpośrednio do okna wiersza polecenia.

    4. W wierszu polecenia uruchom następujące polecenie wmic wraz z wartością odcisku palca uzyskaną w kroku 3:

      wmic /namespace:\\root\cimv2\TerminalServices PATH Win32_TSGeneralSetting Set SSLCertificateSHA1Hash="THUMBPRINT"

      Poniższy zrzut ekranu to udany przykład:

      Pomyślny przykład uruchomienia polecenia wmic wraz z wartością odcisku palca uzyskaną w kroku 3.

  • Metoda 2. Korzystanie z edytora rejestru

    Ważne

    Należy rozważnie wykonywać czynności podane w tej sekcji. Niepoprawne zmodyfikowanie rejestru może być przyczyną poważnych problemów. Przed zmodyfikowaniem go, jak utworzyć kopię zapasową i przywrócić rejestr w systemie Windows w przypadku wystąpienia problemów.

    Aby skonfigurować certyfikat przy użyciu edytora rejestru, wykonaj następujące kroki:

    1. Zainstaluj certyfikat uwierzytelniania serwera w osobistym magazynie certyfikatów przy użyciu konta komputera.

    2. Utwórz następującą wartość rejestru zawierającą skrót SHA1 certyfikatu, aby umożliwić skonfigurowanie tego niestandardowego certyfikatu do obsługi protokołu TLS zamiast domyślnego certyfikatu z podpisem własnym.

      • Ścieżka rejestru: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp
      • Nazwa wartości: SSLCertificateSHA1Hash
      • Typ wartości: REG_BINARY
      • Dane wartości: odcisk palca certyfikatu

      Wartość powinna być odciskiem palca certyfikatu i być oddzielona przecinkiem (,) bez pustych spacji. Jeśli na przykład chcesz wyeksportować ten klucz rejestru, wartość SSLCertificateSHA1Hash będzie następująca:

      SSLCertificateSHA1Hash=hex:42,49,e1,6e,0a,f0,a0,2e,63,c4,5c,93,fd,52,ad,09,27,82,1b,01

    3. Usługi hosta usług pulpitu zdalnego są uruchamiane na koncie USŁUGI SIECIOWEJ. W związku z tym należy ustawić listę kontroli dostępu systemu (SACL) pliku klucza, który jest używany przez usługę RDS do uwzględnienia usługi SIECIOWEJ wraz z uprawnieniami do odczytu .

      Aby zmienić uprawnienia, wykonaj następujące kroki w przystawce Certyfikaty dla komputera lokalnego:

      1. Kliknij przycisk Start, kliknij przycisk Uruchom, wpisz mmc, a następnie kliknij przycisk OK.
      2. Na pliku menu, kliknij przycisk Dodaj/Usuń przystawkę.
      3. W oknie dialogowym Dodawanie lub usuwanie przystawek na liście Dostępne przystawki kliknij pozycję Certyfikaty, a następnie kliknij przycisk Dodaj.
      4. W oknie dialogowym Przystawka Certyfikaty kliknij pozycję Konto komputera, a następnie kliknij przycisk Dalej.
      5. W oknie dialogowym Wybieranie komputera kliknij pozycję Komputer lokalny: (komputer, na którym działa ta konsola), a następnie kliknij przycisk Zakończ.
      6. W oknie dialogowym Dodawanie lub usuwanie przystawek kliknij przycisk OK.
      7. W przystawce Certyfikaty w drzewie konsoli rozwiń węzeł Certyfikaty (komputer lokalny), rozwiń węzeł Osobiste, a następnie wybierz certyfikat SSL, którego chcesz użyć.
      8. Kliknij prawym przyciskiem myszy certyfikat, wybierz pozycję Wszystkie zadania, a następnie wybierz polecenie Zarządzaj kluczami prywatnymi.
      9. W oknie dialogowym Uprawnienia kliknij przycisk Dodaj, wpisz NETWORK SERVICE, kliknij przycisk OK, wybierz pozycję Odczyt w polu wyboru Zezwalaj, a następnie kliknij przycisk OK.