Поделиться через

Использование сертификатов в службах удаленных рабочих столов

Сертификаты можно использовать для защиты подключений к развертыванию служб удаленных рабочих столов (RDS) и между ролями сервера RDS. RDS использует протокол SSL или TLS для шифрования подключений к интернету RDS, брокеру подключений и службам ролей шлюза.

Сертификаты предотвращают атаки злоумышленника в середине, когда плохой субъект перехватывает трафик между сервером протокола удаленного рабочего стола (RDP) и клиентом, чтобы украсть конфиденциальную информацию или запретить доступ к учетным данным, убедившись, что сервер, отправляющий данные клиенту, является подлинным. Когда эта связь доверия настроена, клиент рассматривает безопасность подключения и может принимать данные, поступающие и с сервера.

Prerequisites

Для использования сертификатов в RDS требуется следующее:

  • Компьютер или компьютеры, на которых настроена роль RDS. Дополнительные сведения см. в статье "Установка или удаление ролей", служб ролей или компонентов.

  • Учетная запись с правами администратора или эквивалентная одному или нескольким серверам RDS.

  • Сертификат сервера, соответствующий следующим требованиям:

    • Выдано для проверки подлинности сервера (EKU 1.3.6.1.5.5.7.3.1).

    • Выдано для расширенного использования ключей (OID 2.5.29.37).

    • Выдано для использования ключей (OID 2.5.29.15).

    • Выдан центром сертификации, которому доверяют один или несколько серверов и клиентов RDS.

    • Выдан с экспортируемым закрытым ключом.

    • Экспорт сертификата с соответствующим закрытым ключом в .pfx формате. Дополнительные сведения об экспорте закрытого ключа см. в статье "Экспорт сертификата с помощью закрытого ключа".

Note

Если вы используете службы сертификатов Active Directory (AD CS) для выдачи сертификатов, вы также можете создать шаблон сертификата или дублировать шаблон сертификата веб-сервера. Дополнительные сведения о создании шаблонов сертификатов см. в статье "Создание нового шаблона сертификата".

Настройка удаленного рабочего стола для использования сертификатов

Теперь, когда вы создали сертификаты и поняли их содержимое, необходимо настроить удаленный рабочий стол для использования этих сертификатов.

Чтобы настроить удаленный рабочий стол для использования определенных сертификатов, выполните указанные действия.

  1. В диспетчере серверов на левой панели выберите службы удаленных рабочих столов.

  2. На вкладке "Обзор" в разделе " Обзор развертывания" выберите "ЗАДАЧИ", а затем выберите "Изменить свойства развертывания".

  3. В окне "Настройка развертывания" выберите "Сертификаты".

  4. Выберите существующий сертификат, выберите "Обзор", найдите файл сертификата в .pfx формате, а затем нажмите кнопку "Открыть".

  5. В поле "Пароль" введите пароль для созданного сертификата, а затем нажмите кнопку "ОК".

  6. Установите флажок "Разрешить добавление сертификата в хранилище сертификатов доверенных корневых центров сертификации" на конечных компьютерах, а затем нажмите кнопку "ОК".

  7. Нажмите кнопку "ОК ", чтобы завершить развертывание.

Note

Даже если в развертывании несколько серверов, диспетчер сервера импортирует сертификат на все серверы. диспетчер сервера помещает сертификат в доверенный корневой каталог для каждого сервера, а затем привязывает сертификат к соответствующим ролям.

Возможно, потребуется использовать сертификаты для узла сеансов удаленных рабочих служб и сертификаты, настроенные в диспетчер сервера. Дополнительные сведения о сертификатах узла сеансов удаленных рабочих столов см. в разделе конфигурации сертификатов прослушивателя удаленных рабочих столов.

Связанный контент