Certifikatkonfigurationer för fjärrskrivbordslyssnare

  • Artikel

I den här artikeln beskrivs metoderna för att konfigurera lyssnarcertifikat på en Windows Server 2012-baserad eller Windows Server 2012-baserad server som inte ingår i en distribution av fjärrskrivbordstjänster (RDS).

Gäller för: Windows Server 2012 R2
Ursprungligt KB-nummer: 3042780

Om tillgänglighet för serverlyssnare för fjärrskrivbord

Lyssnarkomponenten körs på fjärrskrivbordsservern och ansvarar för att lyssna på och acceptera nya RDP-klientanslutningar (Remote Desktop Protocol). På så sätt kan användare upprätta nya fjärrsessioner på fjärrskrivbordsservern. Det finns en lyssnare för varje anslutning till Fjärrskrivbordstjänster som finns på fjärrskrivbordsserver. Anslutningar kan skapas och konfigureras med hjälp av konfigurationsverktyget för Fjärrskrivbordstjänster.

Metoder för att konfigurera lyssnarcertifikat

I Windows Server 2003, Windows Server 2008 eller Windows Server 2008 R2 kan du med fjärrskrivbord Configuration Manager MMC-snapin-modulen direktåtkomst till RDP-lyssnaren. I snapin-modulen kan du binda ett certifikat till lyssnaren och i sin tur framtvinga SSL-säkerhet för RDP-sessionerna.

Den här MMC-snapin-modulen finns inte i Windows Server 2012 eller Windows Server 2012 R2. Därför ger systemet ingen direkt åtkomst till RDP-lyssnaren. Använd följande metoder för att konfigurera lyssnarcertifikaten i Windows Server 2012 eller Windows Server 2012 R2.

  • Metod 1: Använd WMI-skript (Windows Management Instrumentation)

    Konfigurationsdata för RDS-lyssnaren Win32_TSGeneralSetting lagras i klassen i WMI under Root\CimV2\TerminalServices namnområdet.

    Certifikatet för RDS-lyssnaren refereras via tumavtrycksvärdet för certifikatet på en SSLCertificateSHA1Hash-egenskap . Tumavtrycksvärdet är unikt för varje certifikat.

    Obs!

    Innan du kör wmic-kommandona måste det certifikat som du vill använda importeras till det personliga certifikatarkivet för datorkontot. Om du inte importerar certifikatet får du felet Ogiltig parameter .

    Så här konfigurerar du ett certifikat med hjälp av WMI:

    1. Öppna dialogrutan egenskaper för certifikatet och välj fliken Information .

    2. Rulla ned till fältet Tumavtryck och kopiera den blankstegsavgränsade hexadecimala strängen till något i stil med Anteckningar.

      Följande skärmbild är ett exempel på certifikatets tumavtryck i certifikategenskaperna :

      Ett exempel på certifikatets tumavtryck i certifikategenskaperna.

      Om du kopierar strängen till Anteckningar bör den likna följande skärmbild:

      Kopiera och klistra in tumavtryckssträngen i Anteckningar.

      När du tar bort blankstegen i strängen innehåller den fortfarande det osynliga ASCII-tecknet som bara visas i kommandotolken. Följande skärmbild är ett exempel:

      Det osynliga ASCII-tecknet som endast visas i kommandotolken.

      Kontrollera att det här ASCII-tecknet tas bort innan du kör kommandot för att importera certifikatet.

    3. Ta bort alla blanksteg från strängen. Det kan finnas ett osynligt ACSII-tecken som också kopieras. Detta visas inte i Anteckningar. Det enda sättet att verifiera är att kopiera direkt till kommandotolkens fönster.

    4. Kör följande wmic-kommando i kommandotolken tillsammans med det tumavtrycksvärde som du får i steg 3:

      wmic /namespace:\\root\cimv2\TerminalServices PATH Win32_TSGeneralSetting Set SSLCertificateSHA1Hash="THUMBPRINT"

      Följande skärmbild är ett lyckat exempel:

      Ett lyckat exempel på att köra kommandot wmic tillsammans med det tumavtrycksvärde som du får i steg 3.

  • Metod 2: Använd registereditorn

    Viktigt

    Följ stegen i det här avsnittet noggrant. Det kan uppstå allvarliga problem om du gör felaktiga ändringar i registret. Innan du ändrar det ska du säkerhetskopiera och återställa registret i Windows om det skulle uppstå problem.

    Så här konfigurerar du ett certifikat med hjälp av registereditorn:

    1. Installera ett certifikat för serverautentisering i det personliga certifikatarkivet med hjälp av ett datorkonto.

    2. Skapa följande registervärde som innehåller certifikatets SHA1-hash så att du kan konfigurera det här anpassade certifikatet så att det stöder TLS i stället för att använda det självsignerade standardcertifikatet.

      • Registersökväg: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp
      • Värdenamn: SSLCertificateSHA1Hash
      • Värdetyp: REG_BINARY
      • Värdedata: tumavtryck för certifikat

      Värdet ska vara tumavtrycket för certifikatet och avgränsas med kommatecken (,) utan tomma blanksteg. Om du till exempel skulle exportera registernyckeln skulle SSLCertificateSHA1Hash-värdet vara följande:

      SSLCertificateSHA1Hash=hex:42,49,e1,6e,0a,f0,a0,2e,63,c4,5c,93,fd,52,ad,09,27,82,1b,01

    3. Värdtjänster för fjärrskrivbord körs under NETWORK SERVICE-kontot. Därför måste du ange systemåtkomstkontrollistan (SACL) för nyckelfilen som används av RDS för att inkludera NETWORK SERVICE tillsammans med läsbehörigheterna .

      Om du vill ändra behörigheterna följer du dessa steg i snapin-modulen Certifikat för den lokala datorn:

      1. Klicka på Start, klicka på Kör, skriv mmc och klicka sedan på OK.
      2. Välj Lägg till/Ta bort snapin-modul i Arkiv-menyn.
      3. I dialogrutan Lägg till eller ta bort snapin-moduler i listan Tillgängliga snapin-moduler klickar du på Certifikat och sedan på Lägg till.
      4. I dialogrutan Snapin-modul för certifikat klickar du på Datorkonto och sedan på Nästa.
      5. I dialogrutan Välj dator klickar du på Lokal dator: (datorn som konsolen körs på)och klickar sedan på Slutför.
      6. I dialogrutan Lägg till eller ta bort snapin-moduler klickar du på OK.
      7. I snapin-modulen Certifikatexpanderar du Certifikat (lokal dator) i konsolträdet, expanderar Personligt och väljer sedan det SSL-certifikat som du vill använda.
      8. Högerklicka på certifikatet, välj Alla aktiviteter och välj sedan Hantera privata nycklar.
      9. I dialogrutan Behörigheter klickar du på Lägg till, skriver NÄTVERKSTJÄNST, klickar på OK, väljer Läs under kryssrutan Tillåt och klickar sedan på OK.