Wymuszanie używania niestandardowego certyfikatu uwierzytelniania serwera dla protokołu TLS w usługach pulpitu zdalnego w systemie Windows 7
Ten artykuł zawiera rozwiązanie problemu polegającego na tym, że certyfikat uwierzytelniania serwera z podpisem własnym jest generowany automatycznie w celu obsługi protokołu Transport Layer Security (TLS) podczas nawiązywania połączenia usług pulpitu zdalnego (RDS) z komputerem z systemem Windows 7.
Dotyczy: Windows 7 z dodatkiem Service Pack 1
Oryginalny numer KB: 2001849
Symptomy
Podczas nawiązywania połączenia usług pulpitu zdalnego z komputerem z systemem Windows 7 certyfikat uwierzytelniania serwera z podpisem własnym jest generowany automatycznie w celu obsługi protokołu TLS. Dzięki temu dane mogą być szyfrowane między komputerami. Dane są szyfrowane tylko wtedy, gdy następujące ustawienie zasady grupy jest włączone na komputerze docelowym i ustawione na protokół SSL (TLS 1.0):
Computer Configuration\Administrative Templates\Windows Components\Remote Desktop Services\Remote Desktop Session Host\Security:Require use of specific security layer for remote (RDP) connections
Przyczyna
Generowanie certyfikatów z podpisem własnym dla protokołu TLS za pośrednictwem połączenia rds jest włączone zgodnie z projektem w systemach Windows Vista i Windows 7.
Rozwiązanie
Certyfikaty uwierzytelniania serwera są obsługiwane w systemach Windows Vista i Windows 7. Aby użyć certyfikatu niestandardowego dla usług pulpitu zdalnego, wykonaj poniższe kroki:
Zainstaluj certyfikat uwierzytelniania serwera z urzędu certyfikacji.
Utwórz następującą wartość rejestru zawierającą skrót SHA1 certyfikatu, aby skonfigurować ten certyfikat niestandardowy do obsługi protokołu TLS zamiast używania domyślnego certyfikatu z podpisem własnym.
- Lokalizacji:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp
- Nazwa wartości: SSLCertificateSHA1Hash
- Typ wartości: REG_BINARY
- Dane wartości: <odcisk palca certyfikatu>
Wartość powinna być odciskiem palca certyfikatu oddzielonym przecinkami (,) i bez pustych spacji. Jeśli na przykład chcesz wyeksportować ten klucz rejestru, wartość SSLCertificateSHA1Hash będzie wyglądać następująco:
SSLCertificateSHA1Hash=hex:42,49,e1,6e,0a,f0,a0,2e,63,c4,5c,93,fd,52,ad,09,27,82,1b,01
Konieczne jest bezpośrednie edytowanie rejestru, ponieważ w jednostkach SKU klienta systemu Windows nie ma interfejsu użytkownika w celu skonfigurowania certyfikatu serwera.
- Lokalizacji:
Usługa usług hosta pulpitu zdalnego jest uruchamiana na koncie USŁUGI SIECIOWEJ. W związku z tym należy ustawić listę ACL pliku klucza używanego przez usługę RDS (przywoływany przez certyfikat o nazwie w wartości rejestru SSLCertificateSHA1Hash), aby uwzględnić usługę SIECIową z uprawnieniami do odczytu. Aby zmodyfikować uprawnienia, wykonaj następujące kroki:
Otwórz przystawkę Certyfikaty dla komputera lokalnego:
- Kliknij przycisk Start, kliknij przycisk Uruchom, wpisz mmc, a następnie kliknij przycisk OK.
- W menu Plik kliknij polecenie Dodaj/Usuń przystawkę.
- W oknie dialogowym Dodawanie lub usuwanie przystawek na liście Dostępne przystawki kliknij pozycję Certyfikaty, a następnie kliknij pozycję Dodaj.
- W przystawce Certyfikaty kliknij pozycję Konto komputera, a następnie kliknij przycisk Dalej.
- W oknie dialogowym Wybieranie komputera kliknij pozycję Komputer lokalny: (komputer, na który jest uruchomiona ta konsola), a następnie kliknij przycisk Zakończ.
- W oknie dialogowym Dodawanie lub usuwanie przystawek kliknij przycisk OK.
- W przystawce Certyfikaty w drzewie konsoli rozwiń węzeł Certyfikaty (komputer lokalny), rozwiń węzeł Osobiste i przejdź do certyfikatu SSL, którego chcesz użyć.
- Kliknij prawym przyciskiem myszy certyfikat, wybierz pozycję Wszystkie zadania, a następnie wybierz pozycję Zarządzaj kluczami prywatnymi.
- W oknie dialogowym Uprawnienia kliknij pozycję Dodaj, wpisz NETWORK SERVICE, kliknij przycisk OK, wybierz pozycję Odczyt w polu wyboru Zezwalaj , a następnie kliknij przycisk OK.
Więcej informacji
Aby uzyskać więcej informacji na temat programowego konfigurowania ustawień szyfrowania RDP, zobacz klasa Win32_TSGeneralSetting.
Opinia
https://aka.ms/ContentUserFeedback.
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź:Prześlij i wyświetl opinię dla