Come forzare i Servizi Desktop remoto in Windows 7 di utilizzare un certificato di autenticazione Server personalizzato per TLS

Sintomi

Quando si effettua una connessione Remote Desktop Services (RDS) a un computer Windows 7, viene generato automaticamente un certificato di autenticazione server autofirmato per il supporto di protezione TLS (Transport Layer). In questo modo i dati crittografati tra computer. I dati vengono crittografati solo quando la seguente impostazione di criteri di gruppo viene attivata sul computer di destinazione e impostare su SSL (TLS 1.0):

Computer Configurazione utente\Modelli amministrativi\Componenti Windows\Servizi Desktop remoto\Host sessione Desktop remoto\Sicurezza: richiedono l'utilizzo del livello di protezione specifici per le connessioni remote (RDP)

Causa

La generazione di certificati autofirmati per TLS tramite una connessione di servizi desktop remoto è attivata per impostazione predefinita in Windows Vista e Windows 7.

Risoluzione

Certificati di autenticazione server sono supportati in Windows Vista e Windows 7. Per utilizzare un certificato personalizzato per RDS, attenersi alla procedura descritta di seguito:

  1. Installare un certificato di autenticazione server da un'autorità di certificazione.

  2. Creare il seguente valore del Registro di sistema contenente l'hash SHA1 del certificato per configurare il certificato per supportare TLS anziché il certificato autofirmato predefinito personalizzato.

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp

    Nome valore: SSLCertificateSHA1Hash
    Tipo di valore: REG_BINARY
    Dati valore: < identificazione personale certificato >

    Ha valore di Tdeve essere l'identificazione personale del certificato separato da virgola ',' e senza spazi vuoti. Ad esempio, se fosse necessario esportare la chiave del Registro di sistema il valore SSLCertificateSHA1Hash sarebbe come segue:

    "SSLCertificateSHA1Hash" = hex: 42, 49, e1, 6e, 0a, f0, a0, 2e, 63, c4, c 5, 93, fd, 52, Active Directory, 09, 27, 82, 1b, 01

    Nota: È necessario modificare direttamente il Registro di sistema, poiché non esiste alcuna interfaccia utente su client Windows SKU per configurare un certificato server.

  3. Il servizio servizi Host Desktop remoto viene eseguito con l'account servizio di rete. Pertanto, è necessario impostare l'ACL del file di chiave utilizzato da RDS (fa riferimento il certificato indicato nel valore del Registro di sistema SSLCertificateSHA1Hash) per includere il servizio di rete con autorizzazioni "Lettura". Per modificare le autorizzazioni, attenersi alla procedura descritta di seguito:

    Aprire lo snap-in certificati per il computer locale:

    1. Fare clic su Start, scegliere Esegui, digitare mmce scegliere OK.

    2. Dal menu File , fare clic su Aggiungi/Rimuovi Snap-in.

    3. Nella finestra di dialogo Aggiungi o Rimuovi Snap-in , nell'elenco snap-in disponibili , fare clic su certificatie fare clic su Aggiungi.

    4. Nella finestra di dialogo snap-in certificati , fare clic su account del Computere fare clic su Avanti.

    5. Nella finestra di dialogo Seleziona Computer , fare clic su computer locale: (il computer è in esecuzione questa console), fare clic su Fine.

    6. Nella finestra di dialogo Aggiungi o Rimuovi Snap-in , fare clic su OK.

    7. Nello snap-in certificati , nella struttura della console, espandere certificati (Computer locale), personalee individuare il certificato SSL che si desidera utilizzare.

    8. Fare il certificato, selezionare Tutte le attivitàe selezionare Gestisci chiavi Private.

    9. Nella finestra di dialogo autorizzazioni , fare clic su Aggiungi, digitare Servizio di rete, fare clic su OK, selezionare lettura sotto la casella di controllo Consenti , quindi fare clic su OK.

Ulteriori informazioni

Per ulteriori informazioni su come configurare a livello di codice le impostazioni di crittografia RDP, visitare il seguente sito Web Microsoft:

http://msdn.microsoft.com/en-us/library/aa383799(VS.85).aspx

Serve aiuto?

Amplia le tue competenze
Esplora i corsi di formazione
Ottieni in anticipo le nuove caratteristiche
Partecipa a Microsoft Insider

Queste informazioni sono risultate utili?

Grazie per il feedback!

Grazie per il tuo feedback! Potrebbe essere utile metterti in contatto con uno dei nostri operatori del supporto di Office.

×