Konfigurationen für Remotedesktoplistenerzertifikate

In diesem Artikel werden die Methoden zum Konfigurieren von Listenerzertifikaten auf einem Windows Server 2012- oder Windows Server 2012-basierten Server beschrieben, der nicht Teil einer Remotedesktopdienste(RDS)-Bereitstellung ist.

Ursprüngliche Produktversion:   Windows Server 2012 R2
Ursprüngliche KB-Nummer:   3042780

Informationen zur Verfügbarkeit von Remotedesktopserverlistenern

Die Listenerkomponente wird auf dem Remotedesktopserver ausgeführt und ist für das Abhören und Akzeptieren neuer Clientverbindungen des Remotedesktopprotokolls (RDP) verantwortlich. Auf diese Weise können Benutzer neue Remotesitzungen auf dem Remotedesktopserver einrichten. Es gibt einen Listener für jede Remotedesktopdiensteverbindung, die auf dem Remotedesktopserver vorhanden ist. Verbindungen können mit dem Remotedesktopdienste-Konfigurationstool erstellt und konfiguriert werden.

Methoden zum Konfigurieren des Listenerzertifikats

In Windows Server 2003, Windows Server 2008 oder Windows Server 2008 R2 ermöglicht das MMC-Snap-In Remotedesktopkonfigurations-Manager den direkten Zugriff auf den RDP-Listener. Im Snap-In können Sie ein Zertifikat an den Listener binden und die SSL-Sicherheit für die RDP-Sitzungen erzwingen.

In Windows Server 2012 oder Windows Server 2012 R2 ist dieses MMC-Snap-In nicht vorhanden. Daher bietet das System keinen direkten Zugriff auf den RDP-Listener. Verwenden Sie die folgenden Methoden, um die Listenerzertifikate in Windows Server 2012 oder Windows Server 2012 R2 zu konfigurieren.

  • Methode 1: Verwenden des Skripts für die Windows-Verwaltungsinstrumentation (Windows Management Instrumentation, WMI)

    Die Konfigurationsdaten für den RDS-Listener werden in der Klasse Win32_TSGeneralSetting in WMI unter dem Root\CimV2\TerminalServices Namespace gespeichert.

    Auf das Zertifikat für den RDS-Listener wird über den Fingerabdruckwert dieses Zertifikats in einer SSLCertificateSHA1Hash-Eigenschaft verwiesen. Der Fingerabdruckwert ist für jedes Zertifikat eindeutig.

    Hinweis

    Bevor Sie die wmic-Befehle ausführen, muss das zertifikat, das Sie verwenden möchten, in den persönlichen Zertifikatspeicher für das Computerkonto importiert werden. Wenn Sie das Zertifikat nicht importieren, wird der Fehler "Ungültiger Parameter" angezeigt.

    Führen Sie die folgenden Schritte aus, um ein Zertifikat mithilfe von WMI zu konfigurieren:

    1. Öffnen Sie das Dialogfeld "Eigenschaften" für Ihr Zertifikat, und wählen Sie die Registerkarte "Details" aus.

    2. Scrollen Sie nach unten zum Fingerabdruckfeld, und kopieren Sie die durch Leerzeichen getrennte hexadezimale Zeichenfolge in etwas wie Editor.

      Der folgende Screenshot ist ein Beispiel für den Zertifikatfingerabdruck in den Zertifikateigenschaften:

      Screenshot des Zertifikatfingerabdrucks in den Zertifikateigenschaften.

      Wenn Sie die Zeichenfolge in Editor kopieren, sollte sie dem folgenden Screenshot ähneln:

      Screenshot der Fingerabdruckzeichenfolge in Editor.

      Nachdem Sie die Leerzeichen in der Zeichenfolge entfernt haben, enthält sie weiterhin das unsichtbare ASCII-Zeichen, das nur an der Eingabeaufforderung sichtbar ist. Der folgende Screenshot ist ein Beispiel:

      Screenshot des unsichtbaren ASCII-Zeichens.

      Stellen Sie sicher, dass dieses ASCII-Zeichen entfernt wird, bevor Sie den Befehl zum Importieren des Zertifikats ausführen.

    3. Entfernen Sie alle Leerzeichen aus der Zeichenfolge. Möglicherweise ist ein unsichtbares ACSII-Zeichen enthalten, das ebenfalls kopiert wird. Dies ist im Editor nicht sichtbar. Die einzige Möglichkeit zum Überprüfen besteht in der direkten Kopie in das Eingabeaufforderungsfenster.

    4. Führen Sie an der Eingabeaufforderung den folgenden wmic-Befehl zusammen mit dem Fingerabdruckwert aus, den Sie in Schritt 3 erhalten:

      wmic /namespace:\\root\cimv2\TerminalServices PATH Win32_TSGeneralSetting Set SSLCertificateSHA1Hash="THUMBPRINT"
      

      Der folgende Screenshot ist ein erfolgreiches Beispiel:

      Screenshot eines erfolgreichen Beispiels.

  • Methode 2: Verwenden des Registrierungs-Editors

    Wichtig

    Führen Sie die in diesem Abschnitt beschriebenen Schritte sorgfältig aus. Durch eine fehlerhafte Bearbeitung der Registrierung können schwerwiegende Probleme verursacht werden. Bevor Sie sie ändern, erfahren Sie, wie Sie die Registrierung in Windows sichern und wiederherstellen, falls Probleme auftreten.

    Führen Sie die folgenden Schritte aus, um ein Zertifikat mithilfe des Registrierungseditors zu konfigurieren:

    1. Installieren Sie mithilfe eines Computerkontos ein Serverauthentifizierungszertifikat im persönlichen Zertifikatspeicher.

    2. Erstellen Sie den folgenden Registrierungswert, der den #A0 des Zertifikats enthält, damit Sie dieses benutzerdefinierte Zertifikat für die Unterstützung von TLS konfigurieren können, anstatt das standardmäßige selbst signierte Zertifikat zu verwenden.

      • Registrierungspfad: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp
      • Wertname: SSLCertificateSHA1Hash
      • Werttyp: REG_BINARY
      • Wertdaten: Zertifikatfingerabdruck

      Der Wert sollte der Fingerabdruck des Zertifikats sein und ohne Leerzeichen durch Komma (,) getrennt werden. Wenn Sie beispielsweise den Registrierungsschlüssel exportieren würden, würde der Wert "SSLCertificateSHA1Hash" wie folgt aussehen:

      SSLCertificateSHA1Hash=hex:42,49,e1,6e,0a,f0,a0,2e,63,c4,5c,93,fd,52,ad,09,27,82,1b,01

    3. Die Remotedesktophostdienste werden unter dem NETZWERKDIENSTkonto ausgeführt. Daher müssen Sie die Systemzugriffssteuerungsliste (SACL) der Schlüsseldatei festlegen, die von RDS verwendet wird, um NETWORK SERVICE zusammen mit den Leseberechtigungen hinzuzufügen.

      Führen Sie die folgenden Schritte im Zertifikat-Snap-In für den lokalen Computer aus, um die Berechtigungen zu ändern:

      1. Klicken Sie auf Start und auf Ausführen. Geben Sie mmc ein, und klicken Sie dann auf OK.
      2. Klicken Sie im Menü Datei auf Snap-In hinzufügen/entfernen.
      3. Klicken Sie im Dialogfeld "Snap-Ins hinzufügen oder entfernen" in der Liste "Verfügbare Snap-Ins" auf "Zertifikate", und klicken Sie dann auf "Hinzufügen".
      4. Klicken Sie im Dialogfeld Zertifikat-Snap-In auf "Computerkonto" und dann auf "Weiter".
      5. Klicken Sie im Dialogfeld "Computer auswählen" auf "Lokaler Computer:" (auf dem Computer, auf dem diese Konsole ausgeführt wird), und klicken Sie dann auf "Fertig stellen".
      6. Klicken Sie im Dialogfeld "Snap-Ins hinzufügen oder entfernen" auf "OK".
      7. Erweitern Sie im Zertifikat-Snap-In in der Konsolenstruktur zertifikate (lokaler Computer), erweitern Sie "Persönlich", und wählen Sie dann das zu verwendende SSL-Zertifikat aus.
      8. Klicken Sie mit der rechten Maustaste auf das Zertifikat, wählen Sie "Alle Aufgaben" aus, und wählen Sie dann "Private Schlüssel verwalten" aus.
      9. Klicken Sie im Dialogfeld "Berechtigungen" auf "Hinzufügen", geben Sie "NETZWERKDIENST" ein, klicken Sie auf "OK", wählen Sie "Lesen" unter dem Kontrollkästchen "Zulassen" aus, und klicken Sie dann auf "OK".