Uzak Masaüstü dinleyicisi sertifika yapılandırmaları

Bu makalede, Uzak Masaüstü Hizmetleri (RDS) dağıtımının parçası olmayan bir Windows Server'da dinleyici sertifikalarını yapılandırma yöntemleri açıklanmaktadır.

Özgün KB numarası: 3042780

Uzak Masaüstü sunucu dinleyicisi kullanılabilirliği hakkında

Dinleyici bileşeni Uzak Masaüstü sunucusunda çalışır ve yeni Uzak Masaüstü Protokolü (RDP) istemci bağlantılarını dinlemekten ve kabul etmekten sorumludur. Bu, kullanıcıların Uzak Masaüstü sunucusunda yeni uzak oturumlar oluşturmasına olanak tanır. Uzak Masaüstü sunucusunda bulunan her Uzak Masaüstü Hizmetleri bağlantısı için bir dinleyici vardır. Bağlantılar, Uzak Masaüstü Hizmetleri Yapılandırma aracı kullanılarak oluşturulabilir ve yapılandırılabilir.

Uzak Masaüstü sunucu dinleyicisi sertifikayı yapılandırma

WMI

RDS dinleyicisinin yapılandırma verileri, Windows Yönetim Araçları'ndaki (WMI) Win32_TSGeneralSetting sınıfında, Root\CimV2\TerminalServices ad alanı altında depolanır.

RDS dinleyicisi sertifikasına, SSLCertificateSHA1Hash özelliğinde bu sertifikanın Parmak izi değeri üzerinden başvurulur. Parmak izi değeri her sertifika için benzersizdir.

Not

Komutları çalıştırmadan önce, kullanmak istediğiniz sertifikanın bilgisayar hesabı için Kişisel sertifika deposuna (aracılığıyla certlm.msc) içeri aktarılması gerekir. Sertifikayı içeri aktarmazsanız Geçersiz Parametre hatası alırsınız.

WMI kullanarak sertifika yapılandırmak için şu adımları izleyin:

1. Sertifikanızın özellikler iletişim kutusunu açın ve Ayrıntılar sekmesini seçin.

2. Parmak İzi alanına kadar aşağı kaydırın ve boşlukla ayrılmış onaltılık dizeyi Not Defteri gibi bir yere kopyalayın.

   Aşağıdaki ekran görüntüsünde Sertifika özelliklerindeki sertifika parmak izi örneği gösterilmektedir:

   

   Dizeyi Not Defteri'ne kopyalarsanız aşağıdaki ekran görüntüsüne benzer olmalıdır:

   

   Dizedeki boşlukları kaldırdıktan sonra, yine de yalnızca komut isteminde görünen görünmez ASCII karakterini içerir. Aşağıdaki ekran görüntüsü bir örnektir:

   

   Sertifikayı içeri aktarmak için komutu çalıştırmadan önce bu ASCII karakterinin kaldırıldığından emin olun.

3. Dizedeki tüm boşlukları kaldırın. Ayrıca kopyalanan görünmez bir ACSII karakteri olabilir. Bu karakter Not Defteri'nde görünmez. Dizeyi doğrulamak için dizeyi doğrudan Komut İstemi penceresine kopyalayın.

4. Komut isteminde, 3. adımda elde ettiğiniz parmak izi değeriyle birlikte aşağıdaki wmic komutu çalıştırın:

   wmic /namespace:\\root\cimv2\TerminalServices PATH Win32_TSGeneralSetting Set SSLCertificateSHA1Hash="THUMBPRINT"
   

   Aşağıdaki ekran görüntüsünde başarılı bir örnek gösterilmektedir:

   

2. Parmak İzi alanına kadar aşağı kaydırın ve boşlukla ayrılmış onaltılık dizeyi Not Defteri gibi bir metin düzenleyicisine kopyalayın.

   Aşağıdaki ekran görüntüsünde Sertifika özelliklerindeki sertifika parmak izi örneği gösterilmektedir:

   

   Dizeyi Not Defteri'ne kopyaladığınızda aşağıdaki ekran görüntüsü gibi görünmelidir:

   

   Dizedeki boşlukları kaldırdıktan sonra, yine de yalnızca komut isteminde görünen görünmez bir ASCII karakteri içerir. Aşağıdaki ekran görüntüsünde bir örnek gösterilmektedir:

   

   Sertifikayı içeri aktarmak için komutunu çalıştırmadan önce bu ASCII karakterinin kaldırıldığından emin olun.

3. Dizedeki tüm boşlukları kaldırın. Olası görünmez bir ASCII karakteri de kopyalanmış olabilir. Bu karakter Not Defteri'nde görünmez. Dizeyi doğrulamak için dizeyi doğrudan Komut İstemi penceresine kopyalayın.

4. Komut isteminde, 3. adımda elde ettiğiniz parmak izi değeriyle birlikte aşağıdaki wmic komutu çalıştırın:

   wmic /namespace:\\root\cimv2\TerminalServices PATH Win32_TSGeneralSetting Set SSLCertificateSHA1Hash="THUMBPRINT"
   

   Aşağıdaki ekran görüntüsünde başarılı bir örnek gösterilmektedir:

   

2. Ekranı aşağı kaydırarak Parmak İzi alanına gelin ve kopyalayın. Aşağıdaki ekran görüntüsü, Sertifika özelliklerindeki sertifika parmak izi örneğidir:

   

3. Komut isteminde, 2. adımda elde ettiğiniz parmak izi değeriyle birlikte aşağıdaki PowerShell komutunu çalıştırın:

   Get-WmiObject -class "Win32_TSGeneralSetting" -Namespace root\cimv2\terminalservices | Set-WmiInstance -Arguments @{SSLCertificateSHA1Hash="THUMBPRINT"}
   

   Aşağıdaki ekran görüntüsünde başarılı bir örnek gösterilmektedir:

   

Kayıt Defteri

Önemli

Bu bölümdeki adımları dikkatlice izleyin. Kayıt defterini hatalı olarak değiştirirseniz önemli sorunlar oluşabilir. Değiştirmeden önce, Sorun oluşması durumunda Windows'ta kayıt defterini yedekleme ve geri yükleme.

Kayıt defteri düzenleyicisini kullanarak sertifika yapılandırmak için şu adımları izleyin:

1. Bilgisayar hesabı kullanarak Kişisel sertifika deposuna bir sunucu kimlik doğrulama sertifikası yükleyin.

2. Bu özel sertifikayı varsayılan otomatik olarak imzalanan sertifikayı kullanmak yerine TLS'yi destekleyecek şekilde yapılandırabilmek için sertifikanın SHA1 karması içeren aşağıdaki kayıt defteri değerini oluşturun.

   • Kayıt defteri yolu: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp
   • Değer adı: SSLCertificateSHA1Hash
   • Değer türü: REG_BINARY
   • Değer verileri: sertifika parmak izi

   Değer, sertifikanın parmak izi olmalı ve boşluk bırakmadan virgülle (,) ayrılmalıdır. Örneğin, bu kayıt defteri anahtarını dışarı aktaracaksanız SSLCertificateSHA1Hash değeri aşağıdaki gibi olacaktır:

   Windows Registry Editor Version 5.00
   
   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp]
   "SSLCertificateSHA1Hash"=hex:42,49,e1,6e,0a,f0,a0,2e,63,c4,5c,93,fd,52,ad,09,27,82,1b,01
   

3. Uzak Masaüstü Ana Bilgisayar Hizmetleri, NETWORK SERVICE hesabı altında çalışır. Bu nedenle, RDS tarafından kullanılan anahtar dosyasının sistem erişim denetim listesini (SACL) AĞ HİzMETİ'ni Okuma izinleriyle birlikte içerecek şekilde ayarlamanız gerekir.

   İzinleri değiştirmek için, yerel bilgisayarın Sertifikalar ek bileşeninde şu adımları izleyin:

   1. Başlat'ı seçin, Çalıştır'ı seçin, mmc yazın ve ardından Tamam'ı seçin.
   2. Dosya menüsünde Ek Bileşeni Ekle/Kaldır'ı seçin.
   3. Ek Bileşen Ekle veya Kaldır iletişim kutusunda, Kullanılabilir ek bileşenler listesinde Sertifikalar'ı ve ardından Ekle'yi seçin.
   4. Sertifikalar ek bileşeni iletişim kutusunda Bilgisayar hesabı'nı ve ardından İleri'yi seçin.
   5. Bilgisayar Seç iletişim kutusunda Yerel bilgisayar: (bu konsolun üzerinde çalıştığı bilgisayar) öğesini ve ardından Son'u seçin.
   6. Ek Bileşen Ekle veya Kaldır iletişim kutusunu açın ve Tamamseçin.
   7. Sertifikalar ek bileşenindeki konsol ağacında Sertifikalar (Yerel Bilgisayar) öğesini genişletin, Kişisel'i genişletin ve ardından kullanmak istediğiniz SSL sertifikasını seçin.
   8. Sertifikaya sağ tıklayın, Tüm Görevler'i ve ardından Özel Anahtarları Yönet'i seçin.
   9. İzinler iletişim kutusunda Ekle'yi seçin, AĞ HİzMETİ yazın, Tamam'ı seçin, İzin Ver onay kutusunun altında Oku'ya tıklayın ve ardından Tamam'ı seçin.

MMC

Uzak Masaüstü Yapılandırma Yöneticisi Microsoft Yönetim Konsolu (MMC) eklentisi, RDP dinleyicisine doğrudan erişmenizi sağlar. Ek bileşende, bir sertifikayı dinleyiciye bağlayabilir ve ardından RDP oturumları için SSL güvenliğini zorunlu kılabilirsiniz.

Microsoft Yönetim Konsolu (MMC) yöntemi Windows Server 2012 veya Windows Server 2012 R2'den başlayarak kullanılamaz. Ancak RDP dinleyicisini istediğiniz zaman WMI veya kayıt defterini kullanarak yapılandırabilirsiniz.

Microsoft Yönetim Konsolu (MMC) yöntemi Windows Server 2012 veya Windows Server 2012 R2'den başlayarak kullanılamaz. Ancak RDP dinleyicisini istediğiniz zaman WMI veya kayıt defterini kullanarak yapılandırabilirsiniz.