Sintomi
Quando si effettua una connessione Remote Desktop Services (RDS) a un computer Windows 7, viene generato automaticamente un certificato di autenticazione server autofirmato per il supporto di protezione TLS (Transport Layer). In questo modo i dati crittografati tra computer. I dati vengono crittografati solo quando la seguente impostazione di criteri di gruppo viene attivata sul computer di destinazione e impostare su SSL (TLS 1.0):
Computer Configurazione utente\Modelli amministrativi\Componenti Windows\Servizi Desktop remoto\Host sessione Desktop remoto\Sicurezza: richiedono l'utilizzo del livello di protezione specifici per le connessioni remote (RDP)
Causa
La generazione di certificati autofirmati per TLS tramite una connessione di servizi desktop remoto è attivata per impostazione predefinita in Windows Vista e Windows 7.
Risoluzione
Certificati di autenticazione server sono supportati in Windows Vista e Windows 7. Per utilizzare un certificato personalizzato per RDS, attenersi alla procedura descritta di seguito:
-
Installare un certificato di autenticazione server da un'autorità di certificazione.
-
Creare il seguente valore del Registro di sistema contenente l'hash SHA1 del certificato per configurare il certificato per supportare TLS anziché il certificato autofirmato predefinito personalizzato.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp
Nome valore: SSLCertificateSHA1Hash
Tipo di valore: REG_BINARY
Dati valore: < identificazione personale certificato >
Ha valore di Tdeve essere l'identificazione personale del certificato separato da virgola ',' e senza spazi vuoti. Ad esempio, se fosse necessario esportare la chiave del Registro di sistema il valore SSLCertificateSHA1Hash sarebbe come segue:
"SSLCertificateSHA1Hash" = hex: 42, 49, e1, 6e, 0a, f0, a0, 2e, 63, c4, c 5, 93, fd, 52, Active Directory, 09, 27, 82, 1b, 01
Nota: È necessario modificare direttamente il Registro di sistema, poiché non esiste alcuna interfaccia utente su client Windows SKU per configurare un certificato server. -
Il servizio servizi Host Desktop remoto viene eseguito con l'account servizio di rete. Pertanto, è necessario impostare l'ACL del file di chiave utilizzato da RDS (fa riferimento il certificato indicato nel valore del Registro di sistema SSLCertificateSHA1Hash) per includere il servizio di rete con autorizzazioni "Lettura". Per modificare le autorizzazioni, attenersi alla procedura descritta di seguito:
Aprire lo snap-in certificati per il computer locale: -
-
Fare clic su Start, scegliere Esegui, digitare mmce scegliere OK.
-
Dal menu File , fare clic su Aggiungi/Rimuovi Snap-in.
-
Nella finestra di dialogo Aggiungi o Rimuovi Snap-in , nell'elenco snap-in disponibili , fare clic su certificatie fare clic su Aggiungi.
-
Nella finestra di dialogo snap-in certificati , fare clic su account del Computere fare clic su Avanti.
-
Nella finestra di dialogo Seleziona Computer , fare clic su computer locale: (il computer è in esecuzione questa console), fare clic su Fine.
-
Nella finestra di dialogo Aggiungi o Rimuovi Snap-in , fare clic su OK.
-
Nello snap-in certificati , nella struttura della console, espandere certificati (Computer locale), personalee individuare il certificato SSL che si desidera utilizzare.
-
Fare il certificato, selezionare Tutte le attivitàe selezionare Gestisci chiavi Private.
-
Nella finestra di dialogo autorizzazioni , fare clic su Aggiungi, digitare Servizio di rete, fare clic su OK, selezionare lettura sotto la casella di controllo Consenti , quindi fare clic su OK.
-
Ulteriori informazioni
Per ulteriori informazioni su come configurare a livello di codice le impostazioni di crittografia RDP, visitare il seguente sito Web Microsoft:
http://msdn.microsoft.com/en-us/library/aa383799(VS.85).aspx