Partilhar via

Configurações do certificado do serviço de escuta do Ambiente de Trabalho Remoto

  • Artigo

Este artigo descreve os métodos para configurar certificados de serviço de escuta num servidor baseado no Windows Server 2012 ou no Windows Server 2012 que não faz parte de uma implementação de Serviços de Ambiente de Trabalho Remoto (RDS).

Número original da BDC: 3042780

Acerca da disponibilidade do serviço de escuta do servidor de Ambiente de Trabalho Remoto

O componente de serviço de escuta é executado no servidor de Ambiente de Trabalho Remoto e é responsável por escutar e aceitar novas ligações de cliente do Protocolo RDP (Remote Desktop Protocol). Isto permite que os utilizadores estabeleçam novas sessões remotas no servidor de Ambiente de Trabalho Remoto. Há um ouvinte para cada conexão dos Serviços de Área de Trabalho Remota que existe no servidor de Área de Trabalho Remota. As conexões podem ser criadas e configuradas usando a ferramenta Configuração de Serviços de Área de Trabalho Remota.

Métodos para configurar o certificado do serviço de escuta

No Windows Server 2003, Windows Server 2008 ou Windows Server 2008 R2, o snap-in MMC do Gestor de Configuração de Ambiente de Trabalho Remoto permite-lhe direcionar o acesso ao serviço de escuta RDP. No snap-in, pode vincular um certificado ao serviço de escuta e, por sua vez, impor a segurança SSL para as sessões RDP.

No Windows Server 2012 ou Windows Server 2012 R2, este snap-in MMC não existe. Por conseguinte, o sistema não fornece acesso direto ao serviço de escuta RDP. Para configurar os certificados de serviço de escuta no Windows Server 2012 ou Windows Server 2012 R2, utilize os seguintes métodos.

  • Método 1: Utilizar o script do Windows Management Instrumentation (WMI)

    Os dados de configuração do serviço de escuta RDS são armazenados na Win32_TSGeneralSetting classe no WMI no Root\CimV2\TerminalServices espaço de nomes.

    O certificado do serviço de escuta RDS é referenciado através do valor Thumbprint desse certificado numa propriedade SSLCertificateSHA1Hash . O valor de thumbprint é exclusivo para cada certificado.

    Observação

    Antes de executar os comandos wmic, o certificado que pretende utilizar tem de ser importado para o arquivo de certificados Pessoal da conta de computador. Se não importar o certificado, receberá um erro parâmetro inválido .

    Para configurar um certificado com a WMI, siga estes passos:

    1. Abra a caixa de diálogo de propriedades do certificado e selecione o separador Detalhes .

    2. Desloque-se para baixo até ao campo Thumbprint e copie a cadeia hexadecimal delimitada pelo espaço para algo como o Bloco de Notas.

      A seguinte captura de ecrã é um exemplo do thumbprint do certificado nas propriedades certificado :

      Um exemplo do thumbprint do certificado nas propriedades do Certificado.

      Se copiar a cadeia para o Bloco de Notas, esta deverá assemelhar-se à seguinte captura de ecrã:

      Copie e cole a cadeia de thumbprint no Bloco de Notas.

      Depois de remover os espaços na cadeia, este ainda contém o caráter ASCII invisível que só está visível na linha de comandos. A seguinte captura de ecrã é um exemplo:

      O caráter ASCII invisível que só é apresentado na linha de comandos.

      Certifique-se de que este caráter ASCII é removido antes de executar o comando para importar o certificado.

    3. Remova todos os espaços da cadeia. Pode haver um caráter ACSII invisível que também é copiado. Isto não está visível no Bloco de Notas. A única forma de validar é copiar diretamente para a janela da Linha de Comandos.

    4. Na linha de comandos, execute o seguinte comando wmic juntamente com o valor thumbprint que obtém no passo 3:

      wmic /namespace:\\root\cimv2\TerminalServices PATH Win32_TSGeneralSetting Set SSLCertificateSHA1Hash="THUMBPRINT"

      A seguinte captura de ecrã é um exemplo com êxito:

      Um exemplo bem-sucedido de execução do comando wmic juntamente com o valor thumbprint que obtém no passo 3.

  • Método 2: Utilizar o editor de registo

    Importante

    Siga as etapas nesta seção com cuidado. Sérios problemas poderão ocorrer caso você modifique o Registro incorretamente. Antes de o modificar, como fazer uma cópia de segurança e restaurar o registo no Windows , caso ocorram problemas.

    Para configurar um certificado com o editor de registo, siga estes passos:

    1. Instale um certificado de autenticação de servidor no arquivo de certificados Pessoal com uma conta de computador.

    2. Crie o seguinte valor de registo que contém o hash SHA1 do certificado para que possa configurar este certificado personalizado para suportar o TLS em vez de utilizar o certificado autoassinado predefinido.

      • Caminho do registo: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp
      • Nome do valor: SSLCertificateSHA1Hash
      • Tipo de valor: REG_BINARY
      • Dados de valor: thumbprint do certificado

      O valor deve ser o thumbprint do certificado e ser separado por vírgula (,) sem espaços vazios. Por exemplo, se exportasse essa chave de registo, o valor SSLCertificateSHA1Hash seria o seguinte:

      SSLCertificateSHA1Hash=hex:42,49,e1,6e,0a,f0,a0,2e,63,c4,5c,93,fd,52,ad,09,27,82,1b,01

    3. Os Serviços de Anfitrião de Ambiente de Trabalho Remoto são executados na conta DE SERVIÇO DE REDE. Por conseguinte, tem de definir a lista de controlo de acesso ao sistema (SACL) do ficheiro de chave que é utilizado pelo RDS para incluir o SERVIÇO DE REDE juntamente com as permissões de Leitura .

      Para alterar as permissões, siga estes passos no snap-in Certificados do computador local:

      1. Clique em Iniciar, clique em Executar, digite mmc e clique em OK.
      2. No menu Arquivo, clique em Adicionar/Remover Snap-in.
      3. Na caixa de diálogo Adicionar ou Remover Snap-ins , na lista Snap-ins disponíveis , clique em Certificados e, em seguida, clique em Adicionar.
      4. Na caixa de diálogo Snap-in Certificados , clique em Conta de computador e, em seguida, clique em Seguinte.
      5. Na caixa de diálogo Selecionar Computador , clique em Computador local: (o computador onde esta consola está a ser executada) e, em seguida, clique em Concluir.
      6. Na caixa de diálogo Adicionar ou Remover Snap-ins , clique em OK.
      7. No snap-in Certificados , na árvore da consola, expanda Certificados (Computador Local), expanda Pessoal e, em seguida, selecione o certificado SSL que pretende utilizar.
      8. Clique com o botão direito do rato no certificado, selecione Todas as Tarefas e, em seguida, selecione Gerir Chaves Privadas.
      9. Na caixa de diálogo Permissões , clique em Adicionar, escreva SERVIÇO DE REDE, clique em OK, selecione Ler na caixa de verificação Permitir e, em seguida, clique em OK.