Configurações de certificado do ouvinte da Área de Trabalho Remota

  • Artigo

Este artigo descreve os métodos para configurar certificados de ouvinte em um servidor baseado em Windows Server 2012 ou baseado em Windows Server 2012 que não faz parte de uma implantação de RDS (Serviços de Área de Trabalho Remota).

Aplica-se a: Windows Server 2012 R2
Número de KB original: 3042780

Sobre a disponibilidade do ouvinte do servidor da Área de Trabalho Remota

O componente do ouvinte é executado no servidor de Área de Trabalho Remota e é responsável por ouvir e aceitar novas conexões de cliente RDP (Protocolo de Área de Trabalho Remota). Isso permite que os usuários estabeleçam novas sessões remotas no servidor de Área de Trabalho Remota. Há um ouvinte para cada conexão dos Serviços de Área de Trabalho Remota que existe no servidor de Área de Trabalho Remota. As conexões podem ser criadas e configuradas usando a ferramenta Configuração de Serviços de Área de Trabalho Remota.

Métodos para configurar o certificado do ouvinte

No Windows Server 2003, No Windows Server 2008 ou no Windows Server 2008 R2, o snap-in do Configuration Manager MMC da Área de Trabalho Remota permite que você direcione o acesso ao ouvinte RDP. No snap-in, você pode associar um certificado ao ouvinte e, por sua vez, impor a segurança SSL para as sessões RDP.

Em Windows Server 2012 ou Windows Server 2012 R2, esse snap-in do MMC não existe. Portanto, o sistema não fornece acesso direto ao ouvinte RDP. Para configurar os certificados do ouvinte em Windows Server 2012 ou Windows Server 2012 R2, use os seguintes métodos.

  • Método 1: usar o script WMI (Instrumentação de Gerenciamento do Windows)

    Os dados de configuração do ouvinte RDS são armazenados na Win32_TSGeneralSetting classe em WMI no Root\CimV2\TerminalServices namespace.

    O certificado para o ouvinte RDS é referenciado por meio do valor de impressão digital desse certificado em uma propriedade SSLCertificateSHA1Hash . O valor da impressão digital é exclusivo para cada certificado.

    Observação

    Antes de executar os comandos wmic, o certificado que você deseja usar deve ser importado para o repositório de certificados pessoal para a conta do computador. Se você não importar o certificado, receberá um erro de Parâmetro Inválido .

    Para configurar um certificado usando o WMI, siga estas etapas:

    1. Abra a caixa de diálogo propriedades do certificado e selecione a guia Detalhes .

    2. Role para baixo até o campo Impressão digital e copie a cadeia de caracteres hexadecimal delimitada pelo espaço em algo como Bloco de Notas.

      A captura de tela a seguir é um exemplo da impressão digital do certificado nas propriedades certificado :

      Um exemplo da impressão digital do certificado nas propriedades certificado.

      Se você copiar a cadeia de caracteres no Bloco de Notas, ela deverá se assemelhar à seguinte captura de tela:

      Copie e cole a cadeia de caracteres de impressão digital no Bloco de Notas.

      Depois de remover os espaços na cadeia de caracteres, ele ainda contém o caractere ASCII invisível que só fica visível no prompt de comando. A captura de tela a seguir é um exemplo:

      O caractere ASCII invisível que é mostrado apenas no prompt de comando.

      Verifique se esse caractere ASCII foi removido antes de executar o comando para importar o certificado.

    3. Remova todos os espaços da cadeia de caracteres. Pode haver um caractere ACSII invisível que também é copiado. Isso não está visível no Bloco de Notas. A única maneira de validar é copiar diretamente na janela Prompt de Comando.

    4. No prompt de comando, execute o seguinte comando wmic junto com o valor de impressão digital obtido na etapa 3:

      wmic /namespace:\\root\cimv2\TerminalServices PATH Win32_TSGeneralSetting Set SSLCertificateSHA1Hash="THUMBPRINT"

      A captura de tela a seguir é um exemplo bem-sucedido:

      Um exemplo bem-sucedido de execução do comando wmic junto com o valor de impressão digital obtido na etapa 3.

  • Método 2: Usar editor de registro

    Importante

    Siga as etapas nesta seção com cuidado. Sérios problemas poderão ocorrer caso você modifique o Registro incorretamente. Antes de modificá-lo, como fazer backup e restaurar o registro no Windows caso ocorram problemas.

    Para configurar um certificado usando o editor do registro, siga estas etapas:

    1. Instale um certificado de autenticação de servidor no repositório de certificados pessoal usando uma conta de computador.

    2. Crie o seguinte valor de registro que contém o hash SHA1 do certificado para que você possa configurar esse certificado personalizado para dar suporte ao TLS em vez de usar o certificado autoassinado padrão.

      • Caminho do registro: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp
      • Nome do valor: SSLCertificateSHA1Hash
      • Tipo de valor: REG_BINARY
      • Dados de valor: impressão digital do certificado

      O valor deve ser a impressão digital do certificado e ser separado por vírgula (,) sem espaços vazios. Por exemplo, se você exportasse essa chave do registro, o valor SSLCertificateSHA1Hash seria o seguinte:

      SSLCertificateSHA1Hash=hex:42,49,e1,6e,0a,f0,a0,2e,63,c4,5c,93,fd,52,ad,09,27,82,1b,01

    3. Os Serviços de Host da Área de Trabalho Remota são executados na conta NETWORK SERVICE. Portanto, você precisa definir a SACL (lista de controle de acesso do sistema) do arquivo de chave que é usado pelo RDS para incluir o SERVIÇO DE REDE junto com as permissões de leitura .

      Para alterar as permissões, siga estas etapas no snap-in Certificados para o computador local:

      1. Clique em Iniciar, clique em Executar, digite mmc e clique em OK.
      2. No menu Arquivo, clique em Adicionar/Remover Snap-in.
      3. Na caixa de diálogo Adicionar ou Remover Snap-ins , na lista De snap-ins disponíveis , clique em Certificados e clique em Adicionar.
      4. Na caixa de diálogo Snap-in Certificados , clique em Conta de computador e clique em Avançar.
      5. Na caixa de diálogo Selecionar Computador , clique em Computador local: (o computador em que este console está em execução)e clique em Concluir.
      6. Na caixa de diálogo Adicionar ou Remover Snap-ins , clique em OK.
      7. No snap-in Certificados , na árvore do console, expanda Certificados (Computador Local), expanda Pessoal e selecione o certificado SSL que você deseja usar.
      8. Clique com o botão direito do mouse no certificado, selecione Todas as Tarefas e selecione Gerenciar Chaves Privadas.
      9. Na caixa de diálogo Permissões, clique em Adicionar, digite SERVIÇO DE REDE, clique em OK, selecione Ler na caixa Permitir marcar e clique em OK.