Listener Configurações certificados no Windows Server 2012/2012 R2

Quando temos o papel Remote Desktop sessão Host instalado em um servidor, ou ter o servidor como parte de uma coleção RDS / implantação, é muito fácil de configurar certificado através da UI corretor de conexão.

Recebemos uma grande quantidade de perguntas sobre como podemos configurar certificados se o servidor não faz parte de uma implantação e é simplesmente ser configurado para “Área de Trabalho Remota para Administração.

No Windows 2003/2008/2008 R2, tivemos o “Remote Desktop Configuration Manager” MMC snap-in que nos permitiu o acesso directo à RDP Listener. Aqui podemos vincular um certificado para o ouvinte e, por sua vez, reforçar a segurança SSL para as sessões RDP.

No Windows 2012, não temos mais esse snap-in MMC, nem temos acesso direto ao ouvinte RDP. Você pode seguir os passos abaixo para configurar os certificados no Windows 2012/2012 R2.

Isto pode ser conseguido de duas maneiras:

Método 1: Usando WMI

Os dados de configuração do RDS Listener é armazenado na classe ‘Win32_TSGeneralSetting’ em WMI sob o namespace ‘Root \ \ Cimv2 TerminalServices’.

O certificado para o ouvinte RDS é referenciado pelo valor ‘impressão digital’ do certificado em uma propriedade chamada ‘SSLCertificateSHA1Hash’.

Este valor impressão digital é única para cada certificado. Você pode encontrar o valor usando os seguintes passos:

1. Abrir o diálogo para o seu certificado Propriedades e selecione a guia Detalhes

2. Desça até a área de impressão digital e copiar o espaço delimitado seqüência hex em algo como o Bloco de Notas

Aqui está o que a impressão digital do certificado será semelhante nas propriedades do certificado:

clip_image002

Uma vez que eu copiar esta no bloco de notas, ele vai olhar como se segue:

clip_image004

Depois de tirar os espaços, ainda vai conter o caractere ASCII invisível que só será visível no prompt de comando (mostrado abaixo):

clip_image006

Certifique-se de que este personagem ASCII é removido antes de executar o comando para importar o certificado

3. Remova todos os espaços da string. (Tenha em mente que pode haver um caráter ACSII “invisível”, que também é copiado. Isto não é visível no bloco de notas. Única maneira de validar, seria copiar diretamente na janela do prompt de comando.)

4. Este é o valor que você precisa para colocar em WMI. Deve ser algo como isto: 1ea1fd5b25b8c327be2c4e4852263efdb4d16af4.

Agora que você tem o valor de impressão digital, aqui está um one-liner que você pode usar para definir o valor usando wmic:

wmic / namespace: \ \ root \ cimv2 \ TerminalServices PATH Win32_TSGeneralSetting Set SSLCertificateSHA1Hash = “THUMBPRINT”

clip_image008

Esta solução iria funcionar no Windows 7 e Windows 8 sistemas também.

Nota: O certificado que você deseja usar, deve ser importado para o armazenamento de certificados “Pessoal” para a conta da máquina, antes de executar os comandos acima. Não fazer isso irá resultar em um erro de “Parâmetro inválido”.

Opção 2: edições Registro

 

  1. Instalar um certificado de autenticação de servidor para o armazenamento de certificados ‘Pessoal’, usando a conta do computador.
  2. Crie o seguinte valor de registro contendo hash SHA1 do certificado para configurar esse certificado personalizado para suportar TLS em vez de usar o certificado auto-assinado padrão.
    HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Terminal Server \ WinStations \ RDP-Tcp
    Nome do valor: SSLCertificateSHA1Hash
    Tipo de valor: REG_BINARY
    Dados do valor: <certificate thumbprint>
    O valor deve ser a impressão digital do certificado separados por vírgula ‘,’ e sem espaços vazios. Por exemplo, se você fosse para exportar a chave do registro do valor SSLCertificateSHA1Hash ficaria assim:
    “SSLCertificateSHA1Hash” = hex: 42,49, e1, 6e, 0a, f0, a0, 2e, 63, c4, 5c, 93, fd, 52, anúncio, 09,27,82,1 b, 01

3. O serviço Host Services Remote Desktop é executado sob a conta Network Service. Portanto, é necessário definir a ACL do arquivo de chave usada por RDS (referenciados pelo certificado nomeado no valor de registro SSLCertificateSHA1Hash) para incluir serviço de rede com “Ler” permissões. Para modificar as permissões, siga os passos abaixo:
Abra o snap-in para o computador local:

  1. Clique em Iniciar, clique em Executar, digite mmc e clique em OK.
  2. No menu Arquivo, clique em Adicionar / Remover Snap-in.
  3. Na caixa de diálogo Adicionar ou Remover Snap-ins, na lista Available Snap-ins, clique em Certificados e clique em Adicionar.
  4. No snap-in caixa de diálogo Certificados, clique em Conta de computador e clique em Avançar.
  5. Na caixa de diálogo Selecionar Computador, clique em Computador local: (o computador onde este console está sendo executado) e clique em Concluir.
  6. Na caixa de diálogo Adicionar ou Remover Snap-ins, clique em OK.
  7. No snap-in Certificados, na árvore de console, expanda Certificados (computador local), expanda Pessoale navegar para o certificado SSL que você gostaria de usar.
  8. Direito do mouse no certificado, selecione Todas as Tarefas e selecione Gerenciar chaves privadas.
  9. Na caixa de diálogo Permissões, clique em Adicionar, digite Serviço de rede, clique em OK, selecione Leiasob a caixa Permitir, clique em OK.

Deixe uma resposta

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s

%d blogueiros gostam disto: