Extern bureaublad-services in Windows 7 afdwingen om een aangepast serververificatiecertificaat voor TLS te gebruiken

  • Artikel

Dit artikel biedt een oplossing voor een probleem waarbij automatisch een zelfondertekend serververificatiecertificaat wordt gegenereerd ter ondersteuning van TLS (Transport Layer Security) wanneer u een RDS-verbinding (Extern bureaublad-services) maakt met een Windows 7-computer.

Van toepassing op: Windows 7 Service Pack 1
Origineel KB-nummer: 2001849

Symptomen

Bij het maken van een RDS-verbinding met een Windows 7-computer, wordt automatisch een zelfondertekend serververificatiecertificaat gegenereerd ter ondersteuning van TLS. Hierdoor kunnen de gegevens tussen computers worden versleuteld. Gegevens worden alleen versleuteld wanneer de volgende groepsbeleid-instelling is ingeschakeld op de doelcomputer en is ingesteld op SSL (TLS 1.0):

Computer Configuration\Administrative Templates\Windows Components\Remote Desktop Services\Remote Desktop Session Host\Security:Require use of specific security layer for remote (RDP) connections

Oorzaak

Het genereren van zelfondertekende certificaten voor TLS via een RDS-verbinding is standaard ingeschakeld in Windows Vista en Windows 7.

Oplossing

Serververificatiecertificaten worden ondersteund in Windows Vista en Windows 7. Als u een aangepast certificaat voor RDS wilt gebruiken, volgt u de onderstaande stappen:

  1. Installeer een serververificatiecertificaat van een certificeringsinstantie.

  2. Maak de volgende registerwaarde met de SHA1-hash van het certificaat om dit aangepaste certificaat te configureren voor ondersteuning van TLS in plaats van het standaard zelfondertekende certificaat te gebruiken.

    • Locatie: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp
    • Waardenaam: SSLCertificateSHA1Hash
    • Waardetype: REG_BINARY
    • Waardegegevens: <vingerafdruk van certificaat>

    De waarde moet de vingerafdruk van het certificaat zijn, gescheiden door komma (,) en geen lege spaties. Als u bijvoorbeeld die registersleutel exporteert, ziet de waarde SSLCertificateSHA1Hash er als volgt uit:

    SSLCertificateSHA1Hash=hex:42,49,e1,6e,0a,f0,a0,2e,63,c4,5c,93,fd,52,ad,09,27,82,1b,01

    U moet het register rechtstreeks bewerken omdat er geen gebruikersinterface is op Windows-client-SKU's om een servercertificaat te configureren.

  3. De extern bureaublad-hostservices-service wordt uitgevoerd onder het NETWERKSERVICE-account. Daarom is het noodzakelijk om de ACL van het sleutelbestand dat wordt gebruikt door RDS (waarnaar wordt verwezen door het certificaat met de naam in de registerwaarde SSLCertificateSHA1Hash) in te stellen om NETWORK SERVICE met leesmachtigingen op te nemen. Voer de volgende stappen uit om de machtigingen te wijzigen:

    Open de module Certificaten voor de lokale computer:

    1. Klik op Start, klik op Uitvoeren, typ mmc en klik op OK.
    2. Klik in het menu Bestand op Module toevoegen/verwijderen.
    3. Klik in het dialoogvenster Modules toevoegen of verwijderen in de lijst Beschikbare modules op Certificaten en klik op Toevoegen.
    4. Klik in het dialoogvenster Certificatenmodule op Computeraccount en klik op Volgende.
    5. Klik in het dialoogvenster Computer selecteren op Lokale computer: (de computer waarop deze console wordt uitgevoerd) en klik op Voltooien.
    6. Klik in het dialoogvenster Modules toevoegen of verwijderen op OK.
    7. Vouw in de module Certificaten in de consolestructuur Certificaten (lokale computer) uit, vouw Persoonlijk uit en navigeer naar het SSL-certificaat dat u wilt gebruiken.
    8. Klik met de rechtermuisknop op het certificaat, selecteer Alle taken en selecteer Persoonlijke sleutels beheren.
    9. Klik in het dialoogvenster Machtigingen op Toevoegen, typ NETWORK SERVICE, klik op OK, selecteer Lezen onder het selectievakje Toestaan en klik vervolgens op OK.

Meer informatie

Zie Win32_TSGeneralSetting klasse voor meer informatie over het programmatisch configureren van de RDP-versleutelingsinstellingen.