Remote Desktop Services unter Windows 7 ein benutzerdefiniertes Serverauthentifizierungszertifikat für TLS verwenden erzwingen


Problembeschreibung


Beim Herstellen einer Verbindung Remote Desktop Services (RDS) auf einem Computer mit Windows 7 ist ein selbstsigniertes Serverauthentifizierungszertifikat automatisch generiert Transport Layer Security (TLS) unterstützt. Dadurch können Daten zwischen Computern verschlüsselt werden. Daten werden nur verschlüsselt, wenn die folgende Einstellung ist auf dem Zielcomputer aktiviert und SSL (TLS 1.0):

Benutzerkonfiguration\Administrative Vorlagen\Windows-Components\Remote Computerdesktop Komponenten\Remotedesktopdienste\Remotedesktop Desktop Session Host\Security: erfordern die Verwendung einer bestimmten Sicherheitsstufe für Remoteverbindungen (RDP)

Ursache


Die Generierung von selbstsignierte Zertifikate für TLS über eine RDS-Verbindung ist standardmäßig in Windows Vista und Windows 7 aktiviert.

Problemlösung


Serverauthentifizierungszertifikate sind unter Windows Vista und Windows 7 unterstützt. Um ein Zertifikat für RDS verwenden, wie folgt:

  1. Installieren Sie ein Serverauthentifizierungszertifikat von einer Zertifizierungsstelle.

  2. Erstellen Sie den folgenden Registrierungswert mit SHA1-Hash des Zertifikats Konfigurieren dieses Zertifikat TLS anstelle selbstsignierte Standardzertifikat Unterstützung.

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp

    Wert: SSLCertificateSHA1Hash
    Typ: REG_BINARY
    Wert: < Zertifikat Fingerabdruck >

    T-Wert sollte den Fingerabdruck des Zertifikats durch Komma getrennt ',' und keine Leerzeichen. Beispielsweise würden Sie diesen Registrierungsschlüssel exportieren würde der SSLCertificateSHA1Hash-Wert folgendermaßen:

    "SSLCertificateSHA1Hash" = Hex: 42 49 e1 6e, 0a, f0, a0, 2e, 63, c4, 5c, 93 fd, 52, Ad 09, 27, 82, 1 b, 01

    Hinweis: sie müssen die Registrierung direkt bearbeiten, da keine Benutzeroberfläche auf Windows Client SKUs ein Serverzertifikat konfigurieren.

  3. Host Remotedesktopdienste-Dienst wird unter dem Netzwerkdienstkonto ausgeführt. Daher ist es erforderlich, die ACL der Schlüsseldatei von RDS (durch das Zertifikat mit dem Namen in den Registrierungswert SSLCertificateSHA1Hash referenziert) verwendet mit NETZWERKDIENSTKONTO die Berechtigung "Lesen". Ändern Schritte die Berechtigungen folgende:

    Öffnen Sie das Zertifikate -Snap-in für den lokalen Computer:

    1. Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie Mmc, und klicken Sie auf OK.

    2. Klicken Sie im Menü Datei auf Snap-In hinzufügen/entfernen.

    3. Klicken Sie im Dialogfeld Hinzufügen oder Entfernen von Snap-Ins in der Liste Verfügbare Snap-Ins auf Zertifikateund klicken Sie auf Hinzufügen.

    4. Klicken Sie im Dialogfeld Snap-in Zertifikate klicken Sie auf Computerkonto, und klicken Sie auf Weiter.

    5. Klicken Sie im Dialogfeld Computer auswählen auf Lokaler Computer: (der Computer, auf diese Konsole ausgeführt wird), und klicken Sie auf Fertig stellen.

    6. Klicken Sie im Dialogfeld Hinzufügen oder Entfernen von Snap-Ins auf OK.

    7. Im Zertifikate -Snap-in in der Konsolenstruktur erweitern Sie Zertifikate (lokaler Computer) Persönliche, und navigieren Sie zu dem SSL-Zertifikat, das Sie verwenden möchten.

    8. Mit der rechten Maustaste des Zertifikats, wählen Sie Alle Tasksund Privatschlüssel verwalten.

    9. Klicken Sie im Dialogfeld Berechtigungen klicken Sie auf Hinzufügen , geben Netzwerkdienst, klicken Sie auf OK, wählen Sie Lesen unter das Kontrollkästchen Zulassen .

Weitere Informationen


Weitere Informationen dazu, wie Sie programmgesteuert die RDP-Verschlüsselung konfigurieren finden Sie auf der folgenden Microsoft-Website:

http://msdn.microsoft.com/en-us/library/aa383799(VS.85).aspx