Zertifikatkonfigurationen für Remotedesktoplistener

  • Artikel

In diesem Artikel werden die Methoden zum Konfigurieren von Listenerzertifikaten auf einem Windows Server 2012- oder Windows Server 2012-basierten Server beschrieben, der nicht Teil einer RDS-Bereitstellung (Remotedesktopdienste) ist.

Gilt für: Windows Server 2012 R2
Ursprüngliche KB-Nummer: 3042780

Informationen zur Verfügbarkeit des Remotedesktopserverlisteners

Die Listenerkomponente wird auf dem Remotedesktopserver ausgeführt und ist für das Lauschen und Akzeptieren neuer RDP-Clientverbindungen (Remotedesktopprotokoll) verantwortlich. Dadurch können Benutzer neue Remotesitzungen auf dem Remotedesktopserver einrichten. Es gibt einen Listener für jede Remotedesktopdienste-Verbindung, die auf dem Remotedesktopserver vorhanden ist. Verbindungen können mithilfe des Remotedesktopdienste-Konfigurationstools erstellt und konfiguriert werden.

Methoden zum Konfigurieren des Listenerzertifikats

In Windows Server 2003, Windows Server 2008 oder Windows Server 2008 R2 ermöglicht ihnen das MMC-Snap-In Remotedesktop Configuration Manager den direkten Zugriff auf den RDP-Listener. Im Snap-In können Sie ein Zertifikat an den Listener binden und wiederum SSL-Sicherheit für die RDP-Sitzungen erzwingen.

In Windows Server 2012 oder Windows Server 2012 R2 ist dieses MMC-Snap-In nicht vorhanden. Daher bietet das System keinen direkten Zugriff auf den RDP-Listener. Verwenden Sie die folgenden Methoden, um die Listenerzertifikate in Windows Server 2012 oder Windows Server 2012 R2 zu konfigurieren.

  • Methode 1: Verwenden des WMI-Skripts (Windows-Verwaltungsinstrumentation)

    Die Konfigurationsdaten für den RDS-Listener werden in der Win32_TSGeneralSetting -Klasse in WMI unter dem Root\CimV2\TerminalServices -Namespace gespeichert.

    Auf das Zertifikat für den RDS-Listener wird über den Fingerabdruckwert dieses Zertifikats in einer SSLCertificateSHA1Hash-Eigenschaft verwiesen. Der Fingerabdruckwert ist für jedes Zertifikat eindeutig.

    Hinweis

    Bevor Sie die wmic-Befehle ausführen, muss das zertifikat, das Sie verwenden möchten, in den persönlichen Zertifikatspeicher für das Computerkonto importiert werden. Wenn Sie das Zertifikat nicht importieren, erhalten Sie den Fehler Ungültiger Parameter .

    Führen Sie die folgenden Schritte aus, um ein Zertifikat mithilfe von WMI zu konfigurieren:

    1. Öffnen Sie das Eigenschaftendialogfeld für Ihr Zertifikat, und wählen Sie die Registerkarte Details aus.

    2. Scrollen Sie nach unten zum Feld Fingerabdruck , und kopieren Sie die durch Leerzeichen getrennte hexadezimale Zeichenfolge in einen Editor.

      Der folgende Screenshot zeigt ein Beispiel für den Zertifikatfingerabdruck in den Zertifikateigenschaften :

      Ein Beispiel für den Zertifikatfingerabdruck in den Zertifikateigenschaften.

      Wenn Sie die Zeichenfolge in Editor kopieren, sollte sie dem folgenden Screenshot ähneln:

      Kopieren Sie die Fingerabdruckzeichenfolge, und fügen Sie sie in Editor ein.

      Nachdem Sie die Leerzeichen in der Zeichenfolge entfernt haben, enthält sie weiterhin das unsichtbare ASCII-Zeichen, das nur an der Eingabeaufforderung sichtbar ist. Der folgende Screenshot ist ein Beispiel:

      Das unsichtbare ASCII-Zeichen, das nur an der Eingabeaufforderung angezeigt wird.

      Stellen Sie sicher, dass dieses ASCII-Zeichen entfernt wird, bevor Sie den Befehl zum Importieren des Zertifikats ausführen.

    3. Entfernen Sie alle Leerzeichen aus der Zeichenfolge. Möglicherweise gibt es ein unsichtbares ACSII-Zeichen, das ebenfalls kopiert wird. Dies ist im Editor nicht sichtbar. Die einzige Möglichkeit zum Überprüfen besteht darin, direkt in das Eingabeaufforderungsfenster zu kopieren.

    4. Führen Sie an der Eingabeaufforderung den folgenden wmic-Befehl zusammen mit dem Fingerabdruckwert aus, den Sie in Schritt 3 erhalten haben:

      wmic /namespace:\\root\cimv2\TerminalServices PATH Win32_TSGeneralSetting Set SSLCertificateSHA1Hash="THUMBPRINT"

      Der folgende Screenshot ist ein erfolgreiches Beispiel:

      Ein erfolgreiches Beispiel für die Ausführung des wmic-Befehls zusammen mit dem Fingerabdruckwert, den Sie in Schritt 3 erhalten haben.

  • Methode 2: Verwenden des Registrierungs-Editors

    Wichtig

    Führen Sie die in diesem Abschnitt beschriebenen Schritte sorgfältig aus. Durch eine fehlerhafte Bearbeitung der Registrierung können schwerwiegende Probleme verursacht werden. Bevor Sie sie ändern, erfahren Sie, wie Sie die Registrierung in Windows sichern und wiederherstellen , falls Probleme auftreten.

    Führen Sie die folgenden Schritte aus, um ein Zertifikat mithilfe des Registrierungs-Editors zu konfigurieren:

    1. Installieren Sie mithilfe eines Computerkontos ein Serverauthentifizierungszertifikat im persönlichen Zertifikatspeicher.

    2. Erstellen Sie den folgenden Registrierungswert, der den SHA1-Hash des Zertifikats enthält, damit Sie dieses benutzerdefinierte Zertifikat für die Unterstützung von TLS konfigurieren können, anstatt das selbstsignierte Standardzertifikat zu verwenden.

      • Registrierungspfad: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp
      • Wertname: SSLCertificateSHA1Hash
      • Werttyp: REG_BINARY
      • Wertdaten: Zertifikatfingerabdruck

      Der Wert sollte der Fingerabdruck des Zertifikats sein und durch Komma (,) ohne Leerzeichen getrennt sein. Wenn Sie z. B. diesen Registrierungsschlüssel exportieren würden, würde der Wert SSLCertificateSHA1Hash wie folgt lauten:

      SSLCertificateSHA1Hash=hex:42,49,e1,6e,0a,f0,a0,2e,63,c4,5c,93,fd,52,ad,09,27,82,1b,01

    3. Die Remotedesktophostdienste werden unter dem NETZWERKDIENST-Konto ausgeführt. Daher müssen Sie die Systemzugriffssteuerungsliste (SACL) der Schlüsseldatei festlegen, die von RDS verwendet wird, um NETWORK SERVICE zusammen mit den Leseberechtigungen einzuschließen.

      Führen Sie die folgenden Schritte im Zertifikat-Snap-In für den lokalen Computer aus, um die Berechtigungen zu ändern:

      1. Klicken Sie auf Start und auf Ausführen. Geben Sie mmc ein, und klicken Sie dann auf OK.
      2. Klicken Sie im Menü Datei auf Snap-In hinzufügen/entfernen.
      3. Klicken Sie im Dialogfeld Snap-Ins hinzufügen oder entfernen in der Liste Verfügbare Snap-Ins auf Zertifikate und dann auf Hinzufügen.
      4. Klicken Sie im Dialogfeld Zertifikat-Snap-In auf Computerkonto und dann auf Weiter.
      5. Klicken Sie im Dialogfeld Computer auswählen auf Lokaler Computer: (der Computer, auf dem diese Konsole ausgeführt wird), und klicken Sie dann auf Fertig stellen.
      6. Klicken Sie im Dialogfeld Snap-Ins hinzufügen oder entfernen auf OK.
      7. Erweitern Sie im Zertifikat-Snap-In in der Konsolenstruktur Zertifikate (lokaler Computer), erweitern Sie Persönlich, und wählen Sie dann das SSL-Zertifikat aus, das Sie verwenden möchten.
      8. Klicken Sie mit der rechten Maustaste auf das Zertifikat, wählen Sie Alle Aufgaben und dann Private Schlüssel verwalten aus.
      9. Klicken Sie im Dialogfeld Berechtigungen auf Hinzufügen, geben Sie NETZWERKDIENST ein, klicken Sie auf OK, wählen Sie lesen unter dem Kontrollkästchen Zulassen aus, und klicken Sie dann auf OK.