Конфигурации сертификатов прослушивателя удаленного рабочего стола

  • Статья

В этой статье описываются методы настройки сертификатов прослушивателя на сервере на основе Windows Server 2012 или Windows Server 2012, который не является частью развертывания служб удаленных рабочих столов (RDS).

Применяется к: Windows Server 2012 R2
Исходный номер базы знаний: 3042780

Сведения о доступности прослушивателя сервера удаленных рабочих столов

Компонент прослушивателя работает на сервере удаленных рабочих столов и отвечает за прослушивание и прием новых клиентских подключений по протоколу удаленного рабочего стола (RDP). Это позволяет пользователям устанавливать новые удаленные сеансы на сервере удаленных рабочих столов. Для каждого подключения служб удаленных рабочих столов, которое существует на сервере удаленных рабочих столов, имеется прослушиватель. Подключения можно создавать и настраивать при помощи средства настройки служб удаленных рабочих столов.

Методы настройки сертификата прослушивателя

В Windows Server 2003, Windows Server 2008 или Windows Server 2008 R2 оснастка удаленного рабочего стола Configuration Manager MMC обеспечивает прямой доступ к прослушивателю RDP. В оснастке можно привязать сертификат к прослушивателю и, в свою очередь, обеспечить безопасность SSL для сеансов RDP.

В Windows Server 2012 или Windows Server 2012 R2 эта оснастка MMC не существует. Таким образом, система не предоставляет прямой доступ к прослушивателю RDP. Чтобы настроить сертификаты прослушивателя в Windows Server 2012 или Windows Server 2012 R2, используйте следующие методы.

  • Способ 1. Использование скрипта инструментария управления Windows (WMI)

    Данные конфигурации для прослушивателя RDS хранятся в Win32_TSGeneralSetting классе в WMI в Root\CimV2\TerminalServices пространстве имен.

    На сертификат для прослушивателя RDS ссылается значение отпечатка этого сертификата в свойстве SSLCertificateSHA1Hash . Значение отпечатка уникально для каждого сертификата.

    Примечание.

    Перед выполнением команд wmic сертификат, который вы хотите использовать, необходимо импортировать в хранилище личных сертификатов для учетной записи компьютера. Если не импортировать сертификат, вы получите ошибку Недопустимый параметр .

    Чтобы настроить сертификат с помощью WMI, выполните следующие действия.

    1. Откройте диалоговое окно свойств для сертификата и перейдите на вкладку Сведения .

    2. Прокрутите вниз до поля Отпечаток и скопируйте шестнадцатеричную строку с разделителями пробелами в что-то вроде Блокнота.

      На следующем снимке экрана показан отпечаток сертификата в свойствах сертификата :

      Пример отпечатка сертификата в свойствах сертификата.

      Если скопировать строку в Блокнот, она должна выглядеть на следующем снимке экрана:

      Скопируйте и вставьте строку отпечатка в Блокнот.

      После удаления пробелов в строке она по-прежнему содержит невидимый символ ASCII, видимый только в командной строке. Примером является следующий снимок экрана:

      Невидимый символ ASCII, который отображается только в командной строке.

      Убедитесь, что этот символ ASCII удален, прежде чем выполнять команду для импорта сертификата.

    3. Удалите все пробелы из строки. Кроме того, может быть скопирован невидимый символ ACSII. Это не отображается в Блокноте. Единственный способ проверить — скопировать непосредственно в окно командной строки.

    4. В командной строке выполните следующую команду wmic вместе со значением отпечатка, которое вы получили на шаге 3:

      wmic /namespace:\\root\cimv2\TerminalServices PATH Win32_TSGeneralSetting Set SSLCertificateSHA1Hash="THUMBPRINT"

      На следующем снимку экрана показан успешный пример:

      Успешный пример выполнения команды wmic вместе со значением отпечатка, которое вы получили на шаге 3.

  • Способ 2. Использование редактора реестра

    Важно!

    Точно следуйте всем указаниям из этого раздела. Внесение неправильных изменений в реестр может привести к возникновению серьезных проблем. Перед изменением см. раздел Резервное копирование и восстановление реестра в Windows в случае возникновения проблем.

    Чтобы настроить сертификат с помощью редактора реестра, выполните следующие действия.

    1. Установите сертификат проверки подлинности сервера в хранилище личных сертификатов с помощью учетной записи компьютера.

    2. Создайте следующее значение реестра, содержащее хэш SHA1 сертификата, чтобы вы могли настроить этот пользовательский сертификат для поддержки TLS, а не использовать самозаверяющий сертификат по умолчанию.

      • Путь к реестру: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp
      • Имя значения: SSLCertificateSHA1Hash
      • Тип значения: REG_BINARY
      • Данные значения: отпечаток сертификата

      Значение должно быть отпечатком сертификата и отделяться запятой (,) без пустых пробелов. Например, при экспорте этого раздела реестра значение SSLCertificateSHA1Hash будет следующим:

      SSLCertificateSHA1Hash=hex:42,49,e1,6e,0a,f0,a0,2e,63,c4,5c,93,fd,52,ad,09,27,82,1b,01

    3. Службы узла удаленных рабочих столов выполняются под учетной записью NETWORK SERVICE. Поэтому необходимо задать системный список управления доступом (SACL) файла ключа, который используется RDS для включения NETWORK SERVICE вместе с разрешениями на чтение .

      Чтобы изменить разрешения, выполните следующие действия в оснастке "Сертификаты" для локального компьютера:

      1. Нажмите кнопку Пуск, выберите пункт Выполнить, введите mmcи нажмите кнопку ОК.
      2. В меню Файл щелкните Добавить или удалить оснастку.
      3. В диалоговом окне Добавление и удаление оснастки в списке Доступные оснастки щелкните Сертификаты, а затем нажмите кнопку Добавить.
      4. В диалоговом окне оснастки "Сертификаты " щелкните Учетная запись компьютера, а затем нажмите кнопку Далее.
      5. В диалоговом окне Выбор компьютера щелкните Локальный компьютер: (компьютер, на котором запущена консоль), а затем нажмите кнопку Готово.
      6. В диалоговом окне Добавление и удаление оснастки нажмите кнопку ОК.
      7. В оснастке Сертификаты в дереве консоли разверните узел Сертификаты (локальный компьютер), Разверните узел Личный, а затем выберите SSL-сертификат, который вы хотите использовать.
      8. Щелкните сертификат правой кнопкой мыши, выберите Все задачи, а затем — Управление закрытыми ключами.
      9. В диалоговом окне Разрешения нажмите кнопку Добавить, введите NETWORK SERVICE, нажмите кнопку ОК, выберите Чтение в поле Разрешить проверка и нажмите кнопку ОК.