Configurations de certificat d’écouteur Bureau à distance

  • Article

Cet article décrit les méthodes permettant de configurer des certificats d’écouteur sur un serveur Windows Server 2012 ou Windows Server 2012 qui ne fait pas partie d’un déploiement des services Bureau à distance (RDS).

S’applique à : Windows Server 2012 R2
Numéro de la base de connaissances d’origine : 3042780

À propos de la disponibilité de l’écouteur de serveur Bureau à distance

Le composant écouteur s’exécute sur le serveur Bureau à distance et est chargé d’écouter et d’accepter les nouvelles connexions clientes RDP (Remote Desktop Protocol). Cela permet aux utilisateurs d’établir de nouvelles sessions à distance sur le serveur Bureau à distance. Il existe un écouteur pour chaque connexion aux services Bureau à distance établie sur le serveur Bureau à distance. Les connexions peuvent être créées et configurées à l’aide de l’outil de configuration des services Bureau à distance.

Méthodes de configuration du certificat d’écouteur

Dans Windows Server 2003, Windows Server 2008 ou Windows Server 2008 R2, le composant logiciel enfichable Bureau à distance Configuration Manager MMC vous permet d’accéder directement à l’écouteur RDP. Dans le composant logiciel enfichable, vous pouvez lier un certificat à l’écouteur et, à son tour, appliquer la sécurité SSL pour les sessions RDP.

Dans Windows Server 2012 ou Windows Server 2012 R2, ce composant logiciel enfichable MMC n’existe pas. Par conséquent, le système ne fournit aucun accès direct à l’écouteur RDP. Pour configurer les certificats d’écouteur dans Windows Server 2012 ou Windows Server 2012 R2, utilisez les méthodes suivantes.

  • Méthode 1 : Utiliser le script WMI (Windows Management Instrumentation)

    Les données de configuration de l’écouteur RDS sont stockées dans la Win32_TSGeneralSetting classe WMI sous l’espace de Root\CimV2\TerminalServices noms .

    Le certificat de l’écouteur RDS est référencé via la valeur d’empreinte numérique de ce certificat sur une propriété SSLCertificateSHA1Hash . La valeur de l’empreinte numérique est propre à chaque certificat.

    Remarque

    Avant d’exécuter les commandes wmic, le certificat que vous souhaitez utiliser doit être importé dans le magasin de certificats personnel du compte d’ordinateur. Si vous n’importez pas le certificat, vous recevez une erreur Paramètre non valide .

    Pour configurer un certificat à l’aide de WMI, procédez comme suit :

    1. Ouvrez la boîte de dialogue propriétés de votre certificat et sélectionnez l’onglet Détails .

    2. Faites défiler vers le bas jusqu’au champ Empreinte numérique et copiez la chaîne hexadécimale délimitée par un espace dans quelque chose comme le Bloc-notes.

      La capture d’écran suivante est un exemple de l’empreinte numérique du certificat dans les propriétés du certificat :

      Exemple de l’empreinte numérique du certificat dans les propriétés du certificat.

      Si vous copiez la chaîne dans le Bloc-notes, elle doit ressembler à la capture d’écran suivante :

      Copiez et collez la chaîne d’empreinte dans le Bloc-notes.

      Une fois que vous avez supprimé les espaces dans la chaîne, elle contient toujours le caractère ASCII invisible qui n’est visible qu’à l’invite de commandes. La capture d’écran suivante est un exemple :

      Caractère ASCII invisible qui s’affiche uniquement à l’invite de commandes.

      Assurez-vous que ce caractère ASCII est supprimé avant d’exécuter la commande pour importer le certificat.

    3. Supprimez tous les espaces de la chaîne. Il peut y avoir un caractère ACSII invisible qui est également copié. Cela n’est pas visible dans le Bloc-notes. La seule façon de valider consiste à copier directement dans la fenêtre d’invite de commandes.

    4. À l’invite de commandes, exécutez la commande wmic suivante avec la valeur d’empreinte numérique que vous obtenez à l’étape 3 :

      wmic /namespace:\\root\cimv2\TerminalServices PATH Win32_TSGeneralSetting Set SSLCertificateSHA1Hash="THUMBPRINT"

      La capture d’écran suivante est un exemple réussi :

      Exemple réussi d’exécution de la commande wmic avec la valeur d’empreinte numérique que vous obtenez à l’étape 3.

  • Méthode 2 : Utiliser l’éditeur du Registre

    Importante

    Suivez attentivement les étapes de cette section. Des problèmes graves peuvent se produire si vous modifiez le Registre de façon incorrecte. Avant de le modifier, consultez Comment sauvegarder et restaurer le Registre dans Windows en cas de problèmes.

    Pour configurer un certificat à l’aide de l’éditeur du Registre, procédez comme suit :

    1. Installez un certificat d’authentification serveur dans le magasin de certificats personnel à l’aide d’un compte d’ordinateur.

    2. Créez la valeur de Registre suivante qui contient le hachage SHA1 du certificat afin de pouvoir configurer ce certificat personnalisé pour prendre en charge TLS au lieu d’utiliser le certificat auto-signé par défaut.

      • Chemin d’accès au Registre : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp
      • Nom de la valeur : SSLCertificateSHA1Hash
      • Type de valeur : REG_BINARY
      • Données de valeur : empreinte numérique du certificat

      La valeur doit être l’empreinte numérique du certificat et être séparée par une virgule (,) sans espaces vides. Par exemple, si vous exportiez cette clé de Registre, la valeur SSLCertificateSHA1Hash serait la suivante :

      SSLCertificateSHA1Hash=hex :42,49,e1,6e,0a,f0,a0,2e,63,c4,5c,93,fd,52,ad,09,27,82,1b,01

    3. Les services hôtes Bureau à distance s’exécutent sous le compte SERVICE RÉSEAU. Par conséquent, vous devez définir la liste de contrôle d’accès système (SACL) du fichier de clé utilisé par RDS pour inclure LE SERVICE RÉSEAU avec les autorisations de lecture .

      Pour modifier les autorisations, procédez comme suit dans le composant logiciel enfichable Certificats pour l’ordinateur local :

      1. Cliquez sur Démarrer, puis sur Exécuter, tapez mmc, puis cliquez sur OK.
      2. Dans le menu Fichier, cliquez sur Ajouter/Supprimer un composant logiciel enfichable.
      3. Dans la boîte de dialogue Ajouter ou supprimer des composants logiciels enfichables , dans la liste Composants logiciels enfichables disponibles , cliquez sur Certificats, puis sur Ajouter.
      4. Dans la boîte de dialogue composant logiciel enfichable Certificats , cliquez sur Compte d’ordinateur, puis sur Suivant.
      5. Dans la boîte de dialogue Sélectionner un ordinateur , cliquez sur Ordinateur local : (l’ordinateur sur lequel cette console s’exécute), puis cliquez sur Terminer.
      6. Dans la boîte de dialogue Ajouter ou supprimer des composants logiciels enfichables , cliquez sur OK.
      7. Dans le composant logiciel enfichable Certificats , dans l’arborescence de la console, développez Certificats (ordinateur local), Développez Personnel, puis sélectionnez le certificat SSL que vous souhaitez utiliser.
      8. Cliquez avec le bouton droit sur le certificat, sélectionnez Toutes les tâches, puis sélectionnez Gérer les clés privées.
      9. Dans la boîte de dialogue Autorisations, cliquez sur Ajouter, tapez SERVICE RÉSEAU, cliquez sur OK, sélectionnez Lecture sous la zone Autoriser case activée, puis cliquez sur OK.