Udostępnij za pośrednictwem

Konfiguracje certyfikatów odbiornika pulpitu zdalnego

  • Artykuł

W tym artykule opisano metody konfigurowania certyfikatów odbiornika na serwerze opartym na systemie Windows Server 2012 lub Windows Server 2012, który nie jest częścią wdrożenia usług pulpitu zdalnego (RDS).

Oryginalny numer KB: 3042780

Informacje o dostępności odbiornika serwera pulpitu zdalnego

Składnik odbiornika działa na serwerze pulpitu zdalnego i jest odpowiedzialny za nasłuchiwanie i akceptowanie nowych połączeń klienckich protokołu RDP (Remote Desktop Protocol). Umożliwia to użytkownikom ustanawianie nowych sesji zdalnych na serwerze pulpitu zdalnego. Istnieje słuchacz dla każdego połączenia usług pulpitu zdalnego dostępnego na serwerze pulpitu zdalnego. Połączenia można tworzyć i konfigurować za pomocą narzędzia do konfigurowania usług pulpitu zdalnego.

Metody konfigurowania certyfikatu odbiornika

W systemie Windows Server 2003, Windows Server 2008 lub Windows Server 2008 R2 przystawka MMC programu Remote Desktop Configuration Manager umożliwia bezpośredni dostęp do odbiornika RDP. W przystawce można powiązać certyfikat z odbiornikiem, a następnie wymusić zabezpieczenia protokołu SSL dla sesji RDP.

W systemie Windows Server 2012 lub Windows Server 2012 R2 ta przystawka MMC nie istnieje. W związku z tym system nie zapewnia bezpośredniego dostępu do odbiornika RDP. Aby skonfigurować certyfikaty odbiornika w systemie Windows Server 2012 lub Windows Server 2012 R2, użyj następujących metod.

  • Metoda 1. Używanie skryptu instrumentacji zarządzania windows (WMI)

    Dane konfiguracji odbiornika rds są przechowywane w klasie Win32_TSGeneralSetting w usłudze WMI Root\CimV2\TerminalServices w przestrzeni nazw.

    Do certyfikatu odbiornika rds odwołuje się wartość odcisku palca tego certyfikatu we właściwości SSLCertificateSHA1Hash . Wartość odcisku palca jest unikatowa dla każdego certyfikatu.

    Uwaga

    Przed uruchomieniem poleceń programu wmic certyfikat, którego chcesz użyć, musi zostać zaimportowany do osobistego magazynu certyfikatów dla konta komputera. Jeśli certyfikat nie zostanie zaimportowany, zostanie wyświetlony błąd Nieprawidłowy parametr .

    Aby skonfigurować certyfikat przy użyciu usługi WMI, wykonaj następujące kroki:

    1. Otwórz okno dialogowe właściwości certyfikatu i wybierz kartę Szczegóły .

    2. Przewiń w dół do pola Odcisk palca i skopiuj rozdzielany spację ciąg szesnastkowy do elementu podobnego do Notatnika.

      Poniższy zrzut ekranu przedstawia przykład odcisku palca certyfikatu we właściwościach certyfikatu :

      Przykład odcisku palca certyfikatu we właściwościach certyfikatu.

      Jeśli skopiujesz ciąg do Notatnika, powinien on wyglądać podobnie do następującego zrzutu ekranu:

      Skopiuj i wklej ciąg odcisku palca do Notatnika.

      Po usunięciu spacji w ciągu nadal zawiera on niewidoczny znak ASCII, który jest widoczny tylko w wierszu polecenia. Poniższy zrzut ekranu jest przykładem:

      Niewidoczny znak ASCII, który jest wyświetlany tylko w wierszu polecenia.

      Upewnij się, że ten znak ASCII został usunięty przed uruchomieniem polecenia w celu zaimportowania certyfikatu.

    3. Usuń wszystkie spacje z ciągu. Może istnieć również skopiowany niewidoczny znak ACSII. Nie jest to widoczne w Notatniku. Jedynym sposobem weryfikacji jest skopiowanie bezpośrednio do okna wiersza polecenia.

    4. W wierszu polecenia uruchom następujące polecenie wmic wraz z wartością odcisku palca, którą uzyskasz w kroku 3:

      wmic /namespace:\\root\cimv2\TerminalServices PATH Win32_TSGeneralSetting Set SSLCertificateSHA1Hash="THUMBPRINT"

      Poniższy zrzut ekranu jest pomyślnym przykładem:

      Pomyślny przykład uruchomienia polecenia wmic wraz z wartością odcisku palca, którą uzyskasz w kroku 3.

  • Metoda 2. Używanie edytora rejestru

    Ważna

    Należy rozważnie wykonywać czynności podane w tej sekcji. Niepoprawne zmodyfikowanie rejestru może być przyczyną poważnych problemów. Przed jego zmodyfikowaniem wykonaj kopię zapasową i przywróć rejestr w systemie Windows w przypadku wystąpienia problemów.

    Aby skonfigurować certyfikat przy użyciu edytora rejestru, wykonaj następujące kroki:

    1. Zainstaluj certyfikat uwierzytelniania serwera w magazynie certyfikatów osobistych przy użyciu konta komputera.

    2. Utwórz następującą wartość rejestru zawierającą skrót SHA1 certyfikatu, aby można było skonfigurować ten certyfikat niestandardowy do obsługi protokołu TLS zamiast używania domyślnego certyfikatu z podpisem własnym.

      • Ścieżka rejestru: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp
      • Nazwa wartości: SSLCertificateSHA1Hash
      • Typ wartości: REG_BINARY
      • Dane wartości: odcisk palca certyfikatu

      Wartość powinna być odciskiem palca certyfikatu i być oddzielona przecinkami (,) bez żadnych pustych spacji. Jeśli na przykład chcesz wyeksportować ten klucz rejestru, wartość SSLCertificateSHA1Hash będzie następująca:

      SSLCertificateSHA1Hash=hex:42,49,e1,6e,0a,f0,a0,2e,63,c4,5c,93,fd,52,ad,09,27,82,1b,01

    3. Usługi hosta pulpitu zdalnego są uruchamiane w ramach konta USŁUGI SIECIOWEJ. W związku z tym należy ustawić systemową listę kontroli dostępu (SACL) pliku klucza używanego przez usługę RDS w celu uwzględnienia usługi SIECIowej wraz z uprawnieniami odczytu .

      Aby zmienić uprawnienia, wykonaj następujące kroki w przystawki Certyfikaty dla komputera lokalnego:

      1. Kliknij przycisk Start, kliknij przycisk Uruchom, wpisz mmc, a następnie kliknij przycisk OK.
      2. W menu Plik kliknij polecenie Dodaj/Usuń przystawkę.
      3. W oknie dialogowym Dodawanie lub usuwanie przystawek na liście Dostępne przystawki kliknij pozycję Certyfikaty, a następnie kliknij przycisk Dodaj.
      4. W przystawce Certyfikaty kliknij pozycję Konto komputera, a następnie kliknij przycisk Dalej.
      5. W oknie dialogowym Wybieranie komputera kliknij pozycję Komputer lokalny: (komputer, na który jest uruchomiona ta konsola), a następnie kliknij przycisk Zakończ.
      6. W oknie dialogowym Dodawanie lub usuwanie przystawek kliknij przycisk OK.
      7. W przystawce Certyfikaty w drzewie konsoli rozwiń węzeł Certyfikaty (komputer lokalny), rozwiń węzeł Osobiste, a następnie wybierz certyfikat SSL, którego chcesz użyć.
      8. Kliknij prawym przyciskiem myszy certyfikat, wybierz pozycję Wszystkie zadania, a następnie wybierz pozycję Zarządzaj kluczami prywatnymi.
      9. W oknie dialogowym Uprawnienia kliknij pozycję Dodaj, wpisz NETWORK SERVICE, kliknij przycisk OK, wybierz pozycję Odczyt w polu wyboru Zezwalaj , a następnie kliknij przycisk OK.