Dela via

Certifikatkonfigurationer för lyssnarcertifikat för fjärrskrivbord

  • Artikel

I den här artikeln beskrivs metoderna för att konfigurera lyssnarcertifikat på en Windows Server 2012-baserad eller Windows Server 2012-baserad server som inte ingår i en distribution av fjärrskrivbordstjänster (RDS).

Ursprungligt KB-nummer: 3042780

Om tillgänglighet för fjärrskrivbordsservern

Lyssnarkomponenten körs på fjärrskrivbordsservern och ansvarar för att lyssna på och acceptera nya RDP-klientanslutningar (Remote Desktop Protocol). På så sätt kan användarna upprätta nya fjärrsessioner på fjärrskrivbordsservern. Det finns en lyssnare för varje anslutning till fjärrskrivbordstjänster som finns på fjärrskrivbordsservern. Anslutningar kan skapas och konfigureras med hjälp av konfigurationsverktyget för fjärrskrivbordstjänster.

Metoder för att konfigurera lyssnarcertifikat

I Windows Server 2003, Windows Server 2008 eller Windows Server 2008 R2 ger MMC-snapin-modulen Konfigurationshanteraren för fjärrskrivbord direkt åtkomst till RDP-lyssnaren. I snapin-modulen kan du binda ett certifikat till lyssnaren och i sin tur framtvinga SSL-säkerhet för RDP-sessionerna.

I Windows Server 2012 eller Windows Server 2012 R2 finns inte den här MMC-snapin-modulen. Därför ger systemet ingen direkt åtkomst till RDP-lyssnaren. Använd följande metoder för att konfigurera lyssnarcertifikaten i Windows Server 2012 eller Windows Server 2012 R2.

  • Metod 1: Använda WMI-skript (Windows Management Instrumentation)

    Konfigurationsdata för RDS-lyssnaren Win32_TSGeneralSetting lagras i klassen i WMI under Root\CimV2\TerminalServices namnområdet.

    Certifikatet för RDS-lyssnaren refereras via tumavtrycksvärdet för certifikatet på en SSLCertificateSHA1Hash-egenskap . Tumavtrycksvärdet är unikt för varje certifikat.

    Kommentar

    Innan du kör wmic-kommandona måste det certifikat som du vill använda importeras till det personliga certifikatarkivet för datorkontot. Om du inte importerar certifikatet får du ett ogiltigt parameterfel .

    Följ dessa steg för att konfigurera ett certifikat med hjälp av WMI:

    1. Öppna egenskapsdialogrutan för certifikatet och välj fliken Information .

    2. Rulla ned till fältet Tumavtryck och kopiera utrymmet avgränsad hexadecimal sträng till något som Anteckningar.

      Följande skärmbild är ett exempel på certifikatets tumavtryck i certifikategenskaperna:

      Ett exempel på certifikatets tumavtryck i certifikategenskaperna.

      Om du kopierar strängen till Anteckningar bör den likna följande skärmbild:

      Kopiera och klistra in tumavtryckssträngen i Anteckningar.

      När du har ta bort blankstegen i strängen innehåller den fortfarande det osynliga ASCII-tecknet som bara visas i kommandotolken. Följande skärmbild är ett exempel:

      Det osynliga ASCII-tecknet som endast visas i kommandotolken.

      Kontrollera att det här ASCII-tecknet tas bort innan du kör kommandot för att importera certifikatet.

    3. Ta bort alla blanksteg från strängen. Det kan finnas ett osynligt ACSII-tecken som också kopieras. Detta visas inte i Anteckningar. Det enda sättet att verifiera är att kopiera direkt till kommandotolkens fönster.

    4. Kör följande wmic-kommando i kommandotolken tillsammans med det tumavtrycksvärde som du får i steg 3:

      wmic /namespace:\\root\cimv2\TerminalServices PATH Win32_TSGeneralSetting Set SSLCertificateSHA1Hash="THUMBPRINT"

      Följande skärmbild är ett lyckat exempel:

      Ett lyckat exempel på att köra kommandot wmic tillsammans med tumavtrycksvärdet som du får i steg 3.

  • Metod 2: Använd registereditorn

    Viktigt!

    Följ stegen i det här avsnittet noggrant. Det kan uppstå allvarliga problem om du gör felaktiga ändringar i registret. Innan du ändrar det säkerhetskopierar och återställer du registret i Windows om det uppstår problem.

    Följ dessa steg för att konfigurera ett certifikat med hjälp av registereditorn:

    1. Installera ett serverautentiseringscertifikat i det personliga certifikatarkivet med hjälp av ett datorkonto.

    2. Skapa följande registervärde som innehåller certifikatets SHA1-hash så att du kan konfigurera det här anpassade certifikatet så att det stöder TLS i stället för att använda det självsignerade standardcertifikatet.

      • Registersökväg: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp
      • Värdenamn: SSLCertificateSHA1Hash
      • Värdetyp: REG_BINARY
      • Värdedata: tumavtryck för certifikat

      Värdet ska vara tumavtrycket för certifikatet och avgränsas med kommatecken (,) utan tomma blanksteg. Om du till exempel skulle exportera registernyckeln skulle värdet SSLCertificateSHA1Hash vara följande:

      SSLCertificateSHA1Hash=hex:42,49,e1,6e,0a,f0,a0,2e,63,c4,5c,93,fd,52,ad,09,27,82,1b,01

    3. Värdtjänster för fjärrskrivbord körs under NÄTVERKSTJÄNSTkontot. Därför måste du ange systemåtkomstkontrollistan (SACL) för nyckelfilen som används av RDS för att inkludera NETWORK SERVICE tillsammans med läsbehörigheterna .

      Om du vill ändra behörigheterna följer du dessa steg på snapin-modulen Certifikat för den lokala datorn:

      1. Klicka på Start, klicka på Kör, skriv mmc och klicka sedan på OK.
      2. På den filen -menyn klickar du på Lägg till/ta bort snapin-modulen.
      3. I dialogrutan Lägg till eller ta bort snapin-moduler i listan Tillgängliga snapin-moduler klickar du på Certifikat och sedan på Lägg till.
      4. I dialogrutan Snapin-modul för certifikat klickar du på Datorkonto och klickar sedan på Nästa.
      5. I dialogrutan Välj dator klickar du på Lokal dator: (datorn som den här konsolen körs på)och klickar sedan på Slutför.
      6. I dialogrutan Lägg till eller ta bort snapin-moduler klickar du på OK.
      7. I snapin-modulen Certifikat expanderar du Certifikat (lokal dator) i konsolträdet, expanderar Personligt och väljer sedan det SSL-certifikat som du vill använda.
      8. Högerklicka på certifikatet, välj Alla uppgifter och sedan Hantera privata nycklar.
      9. I dialogrutan Behörigheter klickar du på Lägg till, skriver NÄTVERKSTJÄNST, klickar på OK, väljer Läs under kryssrutan Tillåt och klickar sedan på OK.