Wymuszanie używania niestandardowego certyfikatu uwierzytelniania serwera dla protokołu TLS w usługach pulpitu zdalnego w systemie Windows 7

  • Artykuł

Ten artykuł zawiera rozwiązanie problemu polegającego na tym, że certyfikat uwierzytelniania serwera z podpisem własnym jest generowany automatycznie w celu obsługi protokołu Transport Layer Security (TLS) podczas nawiązywania połączenia usług pulpitu zdalnego (RDS) z komputerem z systemem Windows 7.

Dotyczy: Windows 7 z dodatkiem Service Pack 1
Oryginalny numer KB: 2001849

Symptomy

Podczas nawiązywania połączenia usług pulpitu zdalnego z komputerem z systemem Windows 7 certyfikat uwierzytelniania serwera z podpisem własnym jest generowany automatycznie w celu obsługi protokołu TLS. Dzięki temu dane mogą być szyfrowane między komputerami. Dane są szyfrowane tylko wtedy, gdy następujące ustawienie zasady grupy jest włączone na komputerze docelowym i ustawione na protokół SSL (TLS 1.0):

Computer Configuration\Administrative Templates\Windows Components\Remote Desktop Services\Remote Desktop Session Host\Security:Require use of specific security layer for remote (RDP) connections

Przyczyna

Generowanie certyfikatów z podpisem własnym dla protokołu TLS za pośrednictwem połączenia rds jest włączone zgodnie z projektem w systemach Windows Vista i Windows 7.

Rozwiązanie

Certyfikaty uwierzytelniania serwera są obsługiwane w systemach Windows Vista i Windows 7. Aby użyć certyfikatu niestandardowego dla usług pulpitu zdalnego, wykonaj poniższe kroki:

  1. Zainstaluj certyfikat uwierzytelniania serwera z urzędu certyfikacji.

  2. Utwórz następującą wartość rejestru zawierającą skrót SHA1 certyfikatu, aby skonfigurować ten certyfikat niestandardowy do obsługi protokołu TLS zamiast używania domyślnego certyfikatu z podpisem własnym.

    • Lokalizacji: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp
    • Nazwa wartości: SSLCertificateSHA1Hash
    • Typ wartości: REG_BINARY
    • Dane wartości: <odcisk palca certyfikatu>

    Wartość powinna być odciskiem palca certyfikatu oddzielonym przecinkami (,) i bez pustych spacji. Jeśli na przykład chcesz wyeksportować ten klucz rejestru, wartość SSLCertificateSHA1Hash będzie wyglądać następująco:

    SSLCertificateSHA1Hash=hex:42,49,e1,6e,0a,f0,a0,2e,63,c4,5c,93,fd,52,ad,09,27,82,1b,01

    Konieczne jest bezpośrednie edytowanie rejestru, ponieważ w jednostkach SKU klienta systemu Windows nie ma interfejsu użytkownika w celu skonfigurowania certyfikatu serwera.

  3. Usługa usług hosta pulpitu zdalnego jest uruchamiana na koncie USŁUGI SIECIOWEJ. W związku z tym należy ustawić listę ACL pliku klucza używanego przez usługę RDS (przywoływany przez certyfikat o nazwie w wartości rejestru SSLCertificateSHA1Hash), aby uwzględnić usługę SIECIową z uprawnieniami do odczytu. Aby zmodyfikować uprawnienia, wykonaj następujące kroki:

    Otwórz przystawkę Certyfikaty dla komputera lokalnego:

    1. Kliknij przycisk Start, kliknij przycisk Uruchom, wpisz mmc, a następnie kliknij przycisk OK.
    2. W menu Plik kliknij polecenie Dodaj/Usuń przystawkę.
    3. W oknie dialogowym Dodawanie lub usuwanie przystawek na liście Dostępne przystawki kliknij pozycję Certyfikaty, a następnie kliknij pozycję Dodaj.
    4. W przystawce Certyfikaty kliknij pozycję Konto komputera, a następnie kliknij przycisk Dalej.
    5. W oknie dialogowym Wybieranie komputera kliknij pozycję Komputer lokalny: (komputer, na który jest uruchomiona ta konsola), a następnie kliknij przycisk Zakończ.
    6. W oknie dialogowym Dodawanie lub usuwanie przystawek kliknij przycisk OK.
    7. W przystawce Certyfikaty w drzewie konsoli rozwiń węzeł Certyfikaty (komputer lokalny), rozwiń węzeł Osobiste i przejdź do certyfikatu SSL, którego chcesz użyć.
    8. Kliknij prawym przyciskiem myszy certyfikat, wybierz pozycję Wszystkie zadania, a następnie wybierz pozycję Zarządzaj kluczami prywatnymi.
    9. W oknie dialogowym Uprawnienia kliknij pozycję Dodaj, wpisz NETWORK SERVICE, kliknij przycisk OK, wybierz pozycję Odczyt w polu wyboru Zezwalaj , a następnie kliknij przycisk OK.

Więcej informacji

Aby uzyskać więcej informacji na temat programowego konfigurowania ustawień szyfrowania RDP, zobacz klasa Win32_TSGeneralSetting.