Erzwingen von Remotedesktopdiensten in Windows 7 zur Verwendung eines benutzerdefinierten Serverauthentifizierungszertifikats für TLS

  • Artikel

Dieser Artikel bietet eine Lösung für ein Problem, bei dem ein selbstsigniertes Serverauthentifizierungszertifikat automatisch generiert wird, um TLS (Transport Layer Security) zu unterstützen, wenn Sie eine RDS-Verbindung (Remotedesktopdienste) mit einem Windows 7-Computer herstellen.

Gilt für: Windows 7 Service Pack 1
Ursprüngliche KB-Nummer: 2001849

Symptome

Beim Herstellen einer RDS-Verbindung mit einem Windows 7-Computer wird automatisch ein selbstsigniertes Serverauthentifizierungszertifikat generiert, um TLS zu unterstützen. Dadurch können die Daten zwischen Computern verschlüsselt werden. Daten werden nur verschlüsselt, wenn die folgende Gruppenrichtlinie-Einstellung auf dem Zielcomputer aktiviert und auf SSL (TLS 1.0) festgelegt ist:

Computer Configuration\Administrative Templates\Windows Components\Remote Desktop Services\Remote Desktop Session Host\Security:Require use of specific security layer for remote (RDP) connections

Ursache

Die Generierung von selbstsignierten Zertifikaten für TLS über eine RDS-Verbindung ist in Windows Vista und Windows 7 standardmäßig aktiviert.

Lösung

Serverauthentifizierungszertifikate werden unter Windows Vista und Windows 7 unterstützt. Führen Sie die folgenden Schritte aus, um ein benutzerdefiniertes Zertifikat für RDS zu verwenden:

  1. Installieren Sie ein Serverauthentifizierungszertifikat von einer Zertifizierungsstelle.

  2. Erstellen Sie den folgenden Registrierungswert, der den SHA1-Hash des Zertifikats enthält, um dieses benutzerdefinierte Zertifikat für die Unterstützung von TLS zu konfigurieren, anstatt das selbstsignierte Standardzertifikat zu verwenden.

    • Lage: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp
    • Wertname: SSLCertificateSHA1Hash
    • Werttyp: REG_BINARY
    • Wertdaten: <Zertifikatfingerabdruck>

    Der Wert sollte der Fingerabdruck des Zertifikats sein, getrennt durch Komma (,) und ohne Leerzeichen. Wenn Sie z. B. diesen Registrierungsschlüssel exportieren würden, würde der SslCertificateSHA1Hash-Wert wie folgt aussehen:

    SSLCertificateSHA1Hash=hex:42,49,e1,6e,0a,f0,a0,2e,63,c4,5c,93,fd,52,ad,09,27,82,1b,01

    Es ist erforderlich, die Registrierung direkt zu bearbeiten, da es keine Benutzeroberfläche für Windows-Client-SKUs gibt, um ein Serverzertifikat zu konfigurieren.

  3. Der Remotedesktophostdienste-Dienst wird unter dem NETZWERKDIENST-Konto ausgeführt. Daher ist es erforderlich, die ACL der von RDS verwendeten Schlüsseldatei (referenziert durch das Zertifikat im Registrierungswert SSLCertificateSHA1Hash) so festzulegen, dass NETWORK SERVICE mit Leseberechtigungen eingeschlossen wird. Führen Sie die folgenden Schritte aus, um die Berechtigungen zu ändern:

    Öffnen Sie das Zertifikat-Snap-In für den lokalen Computer:

    1. Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie mmc ein, und klicken Sie auf OK.
    2. Klicken Sie im Menü Datei auf Snap-In hinzufügen/entfernen.
    3. Klicken Sie im Dialogfeld Snap-Ins hinzufügen oder entfernen in der Liste Verfügbare Snap-Ins auf Zertifikate und dann auf Hinzufügen.
    4. Klicken Sie im Dialogfeld Zertifikat-Snap-In auf Computerkonto und dann auf Weiter.
    5. Klicken Sie im Dialogfeld Computer auswählen auf Lokaler Computer: (der Computer, auf dem diese Konsole ausgeführt wird) und dann auf Fertig stellen.
    6. Klicken Sie im Dialogfeld Snap-Ins hinzufügen oder entfernen auf OK.
    7. Erweitern Sie im Zertifikat-Snap-In in der Konsolenstruktur Zertifikate (Lokaler Computer), erweitern Sie Persönlich, und navigieren Sie zu dem SSL-Zertifikat, das Sie verwenden möchten.
    8. Klicken Sie mit der rechten Maustaste auf das Zertifikat, wählen Sie Alle Aufgaben und dann Private Schlüssel verwalten aus.
    9. Klicken Sie im Dialogfeld Berechtigungen auf Hinzufügen, geben Sie NETZWERKDIENST ein, klicken Sie auf OK, wählen Sie lesen unter dem Kontrollkästchen Zulassen aus, und klicken Sie dann auf OK.

Weitere Informationen

Weitere Informationen zum programmgesteuerten Konfigurieren der RDP-Verschlüsselungseinstellungen finden Sie unter Win32_TSGeneralSetting-Klasse.