Konfiguracje certyfikatu odbiornika pulpitu zdalnego

W tym artykule opisano metody konfigurowania certyfikatów odbiornika w systemie Windows Server, który nie jest częścią wdrożenia usług pulpitu zdalnego (RDS).

Oryginalny numer KB: 3042780

Informacje o dostępności odbiornika serwera usług pulpitu zdalnego

Składnik odbiornika działa na serwerze usług pulpitu zdalnego i jest odpowiedzialny za nasłuchiwanie i akceptowanie nowych połączeń klienta protokołu RDP (Remote Desktop Protocol). Umożliwia to użytkownikom ustanawianie nowych sesji zdalnych na serwerze usług pulpitu zdalnego. Na serwerze usług pulpitu zdalnego istnieje odbiornik dla każdego połączenia usług pulpitu zdalnego. Połączenia można tworzyć i konfigurować za pomocą narzędzia do konfigurowania usług pulpitu zdalnego.

Konfigurowanie certyfikatu słuchacza serwera Pulpitu zdalnego

WMI

Dane konfiguracji odbiornika usług pulpitu zdalnego są przechowywane w klasie Win32_TSGeneralSetting Windows Management Instrumentation (WMI) w przestrzeni nazw Root\CimV2\TerminalServices.

Do certyfikatu odbiornika usług pulpitu zdalnego odwołuje się wartość odcisku palca tego certyfikatu we właściwości SSLCertificateSHA1Hash . Wartość odcisku palca jest unikatowa dla każdego certyfikatu.

Uwaga 16.

Przed uruchomieniem poleceń certyfikat, którego chcesz użyć, musi zostać zaimportowany do osobistego magazynu certyfikatów dla konta komputera (za pośrednictwem programu certlm.msc). Jeśli certyfikat nie zostanie zaimportowany, zostanie wyświetlony błąd Nieprawidłowy parametr .

Aby skonfigurować certyfikat przy użyciu usługi WMI, wykonaj następujące kroki:

1. Otwórz okno dialogowe właściwości certyfikatu i wybierz kartę Szczegóły .

2. Przewiń w dół do pola Odcisk palca i skopiuj ciąg szesnastkowy rozdzielony spacjami np. do Notatnika.

   Poniższy zrzut ekranu przedstawia przykład odcisku palca certyfikatu we właściwościach certyfikatu :

   

   Jeśli skopiujesz ciąg do Notatnika, powinien on wyglądać podobnie do poniższego zrzutu ekranu:

   

   Po usunięciu spacji w ciągu nadal zawiera niewidoczny znak ASCII, który jest widoczny tylko w wierszu polecenia. Poniższy zrzut ekranu jest przykładem:

   

   Przed uruchomieniem polecenia w celu zaimportowania certyfikatu upewnij się, że ten znak ASCII został usunięty.

3. Usuń wszystkie spacje z ciągu. Może istnieć niewidoczny znak PFI, który jest również kopiowany. Ten znak nie jest widoczny w Notatniku. Aby zweryfikować ciąg, skopiuj ciąg bezpośrednio do okna wiersza polecenia.

4. W wierszu polecenia uruchom następujące wmic polecenie wraz z wartością odcisku palca uzyskaną w kroku 3:

   wmic /namespace:\\root\cimv2\TerminalServices PATH Win32_TSGeneralSetting Set SSLCertificateSHA1Hash="THUMBPRINT"
   

   Poniższy zrzut ekranu przedstawia udany przykład:

   

2. Przewiń w dół do pola Odcisk palca i skopiuj rozdzielany spacją ciąg szesnastkowy do edytora tekstów, takiego jak Notatnik.

   Poniższy zrzut ekranu przedstawia przykład odcisku palca certyfikatu we właściwościach certyfikatu :

   

   Podczas kopiowania ciągu do Notatnika powinien on wyglądać podobnie do poniższego zrzutu ekranu:

   

   Po usunięciu spacji z ciągu, nadal zawiera on niewidoczny znak ASCII, który można zobaczyć tylko w kontekście wiersza polecenia. Poniższy zrzut ekranu przedstawia przykład:

   

   Przed uruchomieniem polecenia w celu zaimportowania certyfikatu upewnij się, że ten znak ASCII został usunięty.

3. Usuń wszystkie spacje z ciągu. Może istnieć niewidoczny znak ASCII, który również jest kopiowany. Ten znak nie jest widoczny w Notatniku. Aby zweryfikować ciąg, skopiuj ciąg bezpośrednio do okna wiersza polecenia.

4. W wierszu polecenia uruchom następujące wmic polecenie wraz z wartością odcisku palca uzyskaną w kroku 3:

   wmic /namespace:\\root\cimv2\TerminalServices PATH Win32_TSGeneralSetting Set SSLCertificateSHA1Hash="THUMBPRINT"
   

   Poniższy zrzut ekranu przedstawia udany przykład:

   

2. Przewiń w dół do pola Odcisk palca i skopiuj go. Poniższy zrzut ekranu to przykład odcisku palca certyfikatu we właściwościach certyfikatu:

   

3. W wierszu polecenia uruchom następujące polecenie programu PowerShell wraz z wartością odcisku palca uzyskaną w kroku 2:

   Get-WmiObject -class "Win32_TSGeneralSetting" -Namespace root\cimv2\terminalservices | Set-WmiInstance -Arguments @{SSLCertificateSHA1Hash="THUMBPRINT"}
   

   Poniższy zrzut ekranu przedstawia udany przykład:

   

Rejestr

Ważne

Należy rozważnie wykonywać czynności podane w tej sekcji. Niepoprawne zmodyfikowanie rejestru może być przyczyną poważnych problemów. Przed zmodyfikowaniem go, jak utworzyć kopię zapasową i przywrócić rejestr w systemie Windows w przypadku wystąpienia problemów.

Aby skonfigurować certyfikat przy użyciu edytora rejestru, wykonaj następujące kroki:

1. Zainstaluj certyfikat uwierzytelniania serwera w osobistym magazynie certyfikatów przy użyciu konta komputera.

2. Utwórz następującą wartość rejestru zawierającą skrót SHA1 certyfikatu, aby umożliwić skonfigurowanie tego niestandardowego certyfikatu do obsługi protokołu TLS zamiast domyślnego certyfikatu z podpisem własnym.

   • Ścieżka rejestru: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp
   • Nazwa wartości: SSLCertificateSHA1Hash
   • Typ wartości: REG_BINARY
   • Dane wartości: odcisk palca certyfikatu

   Wartość powinna być odciskiem palca certyfikatu i być oddzielona przecinkiem (,) bez pustych spacji. Jeśli na przykład chcesz wyeksportować ten klucz rejestru, wartość SSLCertificateSHA1Hash będzie następująca:

   Windows Registry Editor Version 5.00
   
   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp]
   "SSLCertificateSHA1Hash"=hex:42,49,e1,6e,0a,f0,a0,2e,63,c4,5c,93,fd,52,ad,09,27,82,1b,01
   

3. Usługi hosta usług pulpitu zdalnego są uruchamiane na koncie USŁUGI SIECIOWEJ. W związku z tym należy ustawić listę kontroli dostępu systemu (SACL) pliku klucza, który jest używany przez usługę RDS do uwzględnienia usługi SIECIOWEJ wraz z uprawnieniami do odczytu .

   Aby zmienić uprawnienia, wykonaj następujące kroki w przystawce Certyfikaty dla komputera lokalnego:

   1. Wybierz przycisk Start, wybierz pozycję Uruchom, wpisz mmc, a następnie wybierz przycisk OK.
   2. W menu Plik wybierz pozycję Dodaj/Usuń przystawkę.
   3. W oknie dialogowym Dodawanie lub usuwanie przystawek na liście Dostępne przystawki wybierz pozycję Certyfikaty, a następnie wybierz pozycję Dodaj.
   4. W oknie dialogowym przystawki Certyfikaty, wybierz pozycję Konto komputera, a następnie wybierz Dalej.
   5. W oknie dialogowym Wybieranie komputera wybierz pozycję Komputer lokalny: (komputer, na którym działa ta konsola), a następnie wybierz pozycję Zakończ.
   6. W oknie dialogowym Dodawanie lub Usuwanie Przystawek wybierz pozycję OK.
   7. W przystawce Certyfikaty w drzewie konsoli rozwiń węzeł Certyfikaty (komputer lokalny), rozwiń węzeł Osobiste, a następnie wybierz certyfikat SSL, którego chcesz użyć.
   8. Kliknij prawym przyciskiem myszy certyfikat, wybierz pozycję Wszystkie zadania, a następnie wybierz polecenie Zarządzaj kluczami prywatnymi.
   9. W oknie dialogowym Uprawnienia wybierz pozycję Dodaj, wpisz NETWORK SERVICE, wybierz przycisk OK, wybierz pozycję Odczyt w polu wyboru Zezwalaj , a następnie wybierz przycisk OK.

MMC

Przystawka Microsoft Management Console (MMC) programu Remote Desktop Configuration Manager umożliwia bezpośredni dostęp do słuchacza RDP. W przystawce można powiązać certyfikat z odbiornikiem i z kolei wymusić zabezpieczenia SSL dla sesji protokołu RDP.

Metoda programu Microsoft Management Console (MMC) nie jest dostępna od systemu Windows Server 2012 lub Windows Server 2012 R2. Jednak zawsze można skonfigurować odbiornik RDP przy użyciu usługi WMI lub rejestru.

Metoda programu Microsoft Management Console (MMC) nie jest dostępna od systemu Windows Server 2012 lub Windows Server 2012 R2. Jednak zawsze można skonfigurować odbiornik RDP przy użyciu usługi WMI lub rejestru.