如何強迫在 Windows 7 来使用自訂的伺服器驗證憑證的 TLS 的遠端桌面服務

狀況

Windows 7 電腦的遠端桌面服務 (RDS) 連線時,會自動會支援傳輸層安全性 (TLS) 產生自我簽署的伺服器驗證憑證。這可讓電腦之間加密資料。下列的 [群組原則] 設定為在目標電腦上啟用,且設為SSL (TLS 1.0)時,只加密資料:

電腦 Configuration\Administrative 範本 \windows 元件 \ 遠端桌面服務 \ 遠端桌面工作階段主機 \ 安全性:需要使用遠端 (RDP) 連線的特定安全性階層

原因

產生自我簽署憑證的 TLS 透過 RDS 連線會啟用 Windows Vista 和 Windows 7 中的設計。

解決方案

在 Windows Vista 和 Windows 7 上支援的伺服器驗證憑證。若要使用自訂的憑證,為 RDS,遵循下列步驟:

  1. 從憑證授權單位安裝伺服器驗證憑證。

  2. 建立下列的登錄值,其中包含憑證的 SHA1 雜湊,來設定此自訂的憑證,以支援 TLS 而不是使用預設的自我簽署的憑證。

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp

    數值名稱: SSLCertificateSHA1Hash
    實值型別: REG_BINARY
    數值資料: < 憑證指紋 >

    T他值應該是以逗號分隔的憑證的指模 ',' 而且沒有空白的空格。例如,如果您要匯出該登錄機碼的 SSLCertificateSHA1Hash 值將如下所示:

    "SSLCertificateSHA1Hash"= 十六進位: 42,49,e1,6e,0a 的位元組,其中 f0,a0,2e、 63,c4,5 c、 93,fd,52,ad,09、 27、 82,1b,01

    注意: 就必須直接編輯登錄,因為 Windows 用戶端若要設定伺服器憑證的 Sku 中沒有使用者介面。

  3. 「 遠端桌面主機服務 」 服務會在 [網路服務帳戶下執行。因此,就必須設定的 ACL (名為 SSLCertificateSHA1Hash 的登錄值中的憑證所參考) 的 RDS 所使用的金鑰檔包含具有 「 讀取 」 權限的網路服務。若要修改的權限,請遵循下列步驟:

    開啟本機電腦的 [憑證] 嵌入式管理單元:

    1. 按一下 [開始]、 按一下執行,輸入mmc,然後按一下[確定]

    2. 在 [檔案] 功能表上按一下 [新增/移除嵌入式管理單元]。

    3. 在 [新增或移除嵌入式管理單元] 對話方塊中可用的嵌入式管理單元] 清單中,按一下 [憑證],並按一下 [新增]。

    4. 在 [憑證] 嵌入式管理單元] 對話方塊,按一下 [電腦帳戶,然後按一下下一步

    5. 在 [選取電腦] 對話方塊中,按一下 [本機電腦: (執行這個主控台的電腦),並按一下 [完成]

    6. 在 [新增或移除嵌入式管理單元] 對話方塊中,按一下[確定]

    7. 在 [憑證] 嵌入式管理單元,在主控台樹狀目錄中,展開 [憑證 (本機電腦),展開 [個人],瀏覽至您想要使用的 SSL 憑證。

    8. 憑證上按一下滑鼠右鍵,選取 [所有工作],然後選取管理私密金鑰

    9. 權限] 對話方塊中,按一下 [新增,類型網路服務,按一下[確定],閱讀選取在 [允許] 核取方塊,然後按一下[確定]

更多的資訊

如需有關如何以程式設計方式設定 RDP 加密設定的詳細資訊,請造訪下列 Microsoft 網站:

http://msdn.microsoft.com/en-us/library/aa383799(VS.85).aspx

需要更多協助?

擴展您的技能
探索訓練
優先取得新功能
加入 Microsoft 測試人員

這項資訊有幫助嗎?

感謝您的意見反應!

感謝您的意見反應! 我們將協助您與我們的其中一個 Office 支援專員連絡以深入了解您的意見。

×