Erzwingen von Remote Desktop Diensten in Windows 7 für die Verwendung eines benutzerdefinierten Serverauthentifizierungszertifikats für TLS

Dieser Artikel bietet eine Lösung für ein Problem, bei dem automatisch ein selbstsigniertes Serverauthentifizierungszertifikat generiert wird, um TLS (Transport Layer Security) zu unterstützen, wenn Sie eine RDS-Verbindung (Remote Desktop Dienste) mit einem Windows 7 Computer herstellen.

Original Version des Produkts:   Windows 7 Service Pack 1
Ursprüngliche KB-Nummer:   2001849

Problembeschreibung

Wenn Sie eine RDS-Verbindung mit einem Windows 7 Computer herstellen, wird automatisch ein selbstsigniertes Serverauthentifizierungszertifikat zur Unterstützung von TLS generiert. Auf diese Weise können die Daten zwischen Computern verschlüsselt werden. Daten werden nur verschlüsselt, wenn die folgende Gruppenrichtlinieneinstellung auf dem Zielcomputer aktiviert ist und auf SSL (TLS 1,0) festgelegt ist:

Computer Configuration\Administrative Templates\Windows Components\Remote Desktop Services\Remote Desktop Session Host\Security:Require use of specific security layer for remote (RDP) connections

Ursache

Die Generierung von selbstsignierten Zertifikaten für TLS über eine RDS-Verbindung wird durch Design in Windows Vista und Windows 7 aktiviert.

Lösung

Server Authentifizierungszertifikate werden in Windows Vista und Windows 7 unterstützt. Führen Sie die folgenden Schritte aus, um ein benutzerdefiniertes Zertifikat für RDS zu verwenden:

  1. Installieren Sie ein Serverauthentifizierungszertifikat von einer Zertifizierungsstelle.

  2. Erstellen Sie den folgenden Registrierungswert, der den SHA1-Hash des Zertifikats enthält, um dieses benutzerdefinierte Zertifikat für die Unterstützung von TLS zu konfigurieren, anstatt das standardmäßige selbstsignierte Zertifikat zu verwenden.

    • Speicherort HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp
    • Name des Werts: SSLCertificateSHA1Hash
    • Werttyp: REG_BINARY
    • Werte Daten: <certificate thumbprint>

    Der Wert sollte der Fingerabdruck des Zertifikats sein, getrennt durch Komma (,) und keine Leerzeichen. Wenn Sie beispielsweise diesen Registrierungsschlüssel exportieren, würde der SSLCertificateSHA1Hash -Wert wie folgt aussehen:

    SSLCertificateSHA1Hash = Hex: 42, 49, E1, 6e, 0A, F0, a0, 2E, 63, C4, 5C, 93, FD, 52, AD, 09, 27, 82, 1B, 01

    Es ist erforderlich, die Registrierung direkt zu bearbeiten, da keine Benutzeroberfläche für Windows-Client-SKUs vorhanden ist, um ein Serverzertifikat zu konfigurieren.

  3. Der Dienst Remote Desktop-Host Dienste wird unter dem Netzwerkdienstkonto ausgeführt. Daher ist es erforderlich, die ACL der Schlüsseldatei festzulegen, die von RDS verwendet wird (auf die durch das im Registrierungswert SSLCertificateSHA1Hash angegebene Zertifikat verwiesen wird), um den Netzwerkdienst mit Leseberechtigungen einzubeziehen. Führen Sie die folgenden Schritte aus, um die Berechtigungen zu ändern:

    Öffnen Sie das Zertifikat -Snap-in für den lokalen Computer:

    1. Klicken Sie auf Start, dann auf Ausführen, geben Sie MMCein, und klicken Sie auf OK.
    2. Klicken Sie im Menü Datei auf Snap-In hinzufügen/entfernen.
    3. Klicken Sie im Dialogfeld Snap-Ins hinzufügen oder entfernen in der Liste Verfügbare Snap-Ins auf Zertifikate, und klicken Sie dann auf Hinzufügen.
    4. Klicken Sie im Dialogfeld Zertifikat -Snap-in auf Computer Konto, und klicken Sie dann auf weiter.
    5. Klicken Sie im Dialogfeld Computer auswählen auf lokaler Computer: (Computer, auf dem diese Konsole läuft), und klicken Sie auf Fertig stellen.
    6. Klicken Sie im Dialogfeld Snap-Ins hinzufügen oder entfernen auf OK.
    7. Erweitern Sie im Zertifikat -Snap-in in der Konsolenstruktur die Knoten Zertifikate (lokaler Computer), erweitern Sie persönlich, und navigieren Sie zu dem SSL-Zertifikat, das Sie verwenden möchten.
    8. Klicken Sie mit der rechten Maustaste auf das Zertifikat, wählen Sie alle Aufgabenaus, und wählen Sie private Schlüssel verwaltenaus.
    9. Klicken Sie im Dialogfeld Berechtigungen auf hinzufügen, geben Sie Netzwerkdienstein, klicken Sie auf OK, wählen Sie unter dem Kontrollkästchen zulassen die Option Lesen aus, und klicken Sie dann auf OK.

Weitere Informationen

Weitere Informationen zum programmgesteuerten Konfigurieren der RDP-Verschlüsselungseinstellungen finden Sie unter Win32_TSGeneralSetting-Klasse.