Zertifikatkonfigurationen für Remotedesktoplistener

  • Artikel

In diesem Artikel werden die Methoden zum Konfigurieren von Listenerzertifikaten auf einem windows Server 2012- oder Windows Server 2012-basierten Server beschrieben, der nicht Teil einer RDS-Bereitstellung (Remote Desktop Services) ist.

Ursprüngliche KB-Nummer: 3042780

Informationen zur Verfügbarkeit des Remotedesktopserverlisteners

Die Listenerkomponente wird auf dem Remotedesktopserver ausgeführt und ist für das Überwachen und Akzeptieren neuer RDP-Clientverbindungen (Remote Desktop Protocol) verantwortlich. Auf diese Weise können Benutzer neue Remotesitzungen auf dem Remotedesktopserver einrichten. Es gibt einen Listener für jede Remotedesktopdiensteverbindung, die auf dem Remotedesktopserver vorhanden ist. Verbindungen können mithilfe des Remotedesktopdienste-Konfigurationstools erstellt und konfiguriert werden.

Methoden zum Konfigurieren des Listenerzertifikats

In Windows Server 2003, Windows Server 2008 oder Windows Server 2008 R2 können Sie über das MMC-Snap-In für Remotedesktopkonfigurations-Manager direkt auf den RDP-Listener zugreifen. Im Snap-In können Sie ein Zertifikat an den Listener binden und wiederum SSL-Sicherheit für die RDP-Sitzungen erzwingen.

In Windows Server 2012 oder Windows Server 2012 R2 ist dieses MMC-Snap-In nicht vorhanden. Daher bietet das System keinen direkten Zugriff auf den RDP-Listener. Verwenden Sie die folgenden Methoden, um die Listenerzertifikate in Windows Server 2012 oder Windows Server 2012 R2 zu konfigurieren.

  • Methode 1: Verwenden des WMI-Skripts (Windows Management Instrumentation)

    Die Konfigurationsdaten für den RDS-Listener werden in der Win32_TSGeneralSetting Klasse in WMI unter dem Root\CimV2\TerminalServices Namespace gespeichert.

    Auf das Zertifikat für den RDS-Listener wird über den Fingerabdruckwert dieses Zertifikats in einer SSLCertificateSHA1Hash-Eigenschaft verwiesen. Der Fingerabdruckwert ist für jedes Zertifikat eindeutig.

    Notiz

    Bevor Sie die wmic-Befehle ausführen, muss das zertifikat, das Sie verwenden möchten, in den persönlichen Zertifikatspeicher für das Computerkonto importiert werden. Wenn Sie das Zertifikat nicht importieren, wird ein Fehler "Ungültiger Parameter " angezeigt.

    Führen Sie die folgenden Schritte aus, um ein Zertifikat mithilfe von WMI zu konfigurieren:

    1. Öffnen Sie das Dialogfeld "Eigenschaften" für Ihr Zertifikat, und wählen Sie die Registerkarte "Details " aus.

    2. Scrollen Sie nach unten zum Fingerabdruckfeld , und kopieren Sie die durch Trennzeichen getrennte hexadezimale Zeichenfolge in etwas wie Editor.

      Der folgende Screenshot ist ein Beispiel für den Zertifikatfingerabdruck in den Zertifikateigenschaften :

      Ein Beispiel für den Zertifikatfingerabdruck in den Zertifikateigenschaften.

      Wenn Sie die Zeichenfolge in Editor kopieren, sollte sie dem folgenden Screenshot ähneln:

      Kopieren Sie die Fingerabdruckzeichenfolge, und fügen Sie sie in Editor ein.

      Nachdem Sie die Leerzeichen in der Zeichenfolge entfernt haben, enthält sie weiterhin das unsichtbare ASCII-Zeichen, das nur an der Eingabeaufforderung sichtbar ist. Der folgende Screenshot ist ein Beispiel:

      Das unsichtbare ASCII-Zeichen, das nur an der Eingabeaufforderung angezeigt wird.

      Stellen Sie sicher, dass dieses ASCII-Zeichen entfernt wird, bevor Sie den Befehl ausführen, um das Zertifikat zu importieren.

    3. Entfernen Sie alle Leerzeichen aus der Zeichenfolge. Es kann ein unsichtbares ACSII-Zeichen geben, das ebenfalls kopiert wird. Dies ist im Editor nicht sichtbar. Die einzige Möglichkeit zum Überprüfen besteht darin, direkt in das Eingabeaufforderungsfenster zu kopieren.

    4. Führen Sie an der Eingabeaufforderung den folgenden wmic-Befehl zusammen mit dem In Schritt 3 abgerufenen Fingerabdruckwert aus:

      wmic /namespace:\\root\cimv2\TerminalServices PATH Win32_TSGeneralSetting Set SSLCertificateSHA1Hash="THUMBPRINT"

      Der folgende Screenshot ist ein erfolgreiches Beispiel:

      Ein erfolgreiches Beispiel zum Ausführen des wmic-Befehls zusammen mit dem Fingerabdruckwert, den Sie in Schritt 3 erhalten.

  • Methode 2: Verwenden des Registrierungs-Editors

    Wichtig

    Folgen Sie den Schritten in diesem Abschnitt sorgfältig. Wird die Registrierung falsch angepasst, können schwerwiegende Probleme auftreten. Bevor Sie sie ändern, wird erläutert, wie Sie die Registrierung in Windows sichern und wiederherstellen, falls Probleme auftreten.

    Führen Sie die folgenden Schritte aus, um ein Zertifikat mithilfe des Registrierungs-Editors zu konfigurieren:

    1. Installieren Sie ein Serverauthentifizierungszertifikat mithilfe eines Computerkontos im persönlichen Zertifikatspeicher.

    2. Erstellen Sie den folgenden Registrierungswert, der den SHA1-Hash des Zertifikats enthält, damit Sie dieses benutzerdefinierte Zertifikat so konfigurieren können, dass TLS unterstützt wird, anstatt das standardmäßige selbstsignierte Zertifikat zu verwenden.

      • Registrierungspfad: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp
      • Wertname: SSLCertificateSHA1Hash
      • Werttyp: REG_BINARY
      • Wertdaten: Zertifikatfingerabdruck

      Der Wert sollte der Fingerabdruck des Zertifikats sein und durch Komma (,) ohne leere Leerzeichen getrennt werden. Wenn Sie beispielsweise diesen Registrierungsschlüssel exportieren würden, würde der WERT SSLCertificateSHA1Hash wie folgt lauten:

      SSLCertificateSHA1Hash=hex:42,49,e1,6e,0a,f0,a0,2e,63,c4,5c,93,fd,52,ad,09,27,82,1b,01

    3. Die Remotedesktophostdienste werden unter dem NETZWERKDIENST-Konto ausgeführt. Daher müssen Sie die Systemzugriffssteuerungsliste (SACL) der Schlüsseldatei festlegen, die von RDS verwendet wird, um NETZWERKDIENST zusammen mit den Leseberechtigungen einzuschließen.

      Führen Sie zum Ändern der Berechtigungen die folgenden Schritte im Zertifikat-Snap-In für den lokalen Computer aus:

      1. Klicken Sie auf "Start", klicken Sie auf "Ausführen", geben Sie "mmc" ein, und klicken Sie dann auf "OK".
      2. Klicken Sie im Menü Datei auf Snap-In hinzufügen/entfernen.
      3. Klicken Sie im Dialogfeld "Snap-Ins hinzufügen oder entfernen" in der Liste "Verfügbare Snap-Ins " auf "Zertifikate" und dann auf "Hinzufügen".
      4. Klicken Sie im Snap-In "Zertifikate " auf "Computerkonto", und klicken Sie dann auf "Weiter".
      5. Klicken Sie im Dialogfeld "Computer auswählen" auf "Lokaler Computer": (der Computer, auf dem diese Konsole ausgeführt wird), und klicken Sie dann auf "Fertig stellen".
      6. Klicken Sie im Dialogfeld "Snap-Ins hinzufügen oder entfernen" auf "OK".
      7. Erweitern Sie im Snap-In "Zertifikate" in der Konsolenstruktur Zertifikate (lokaler Computer), erweitern Sie "Persönlich", und wählen Sie dann das SSL-Zertifikat aus, das Sie verwenden möchten.
      8. Klicken Sie mit der rechten Maustaste auf das Zertifikat, wählen Sie Alle Aufgaben und klicken Sie auf Privatschlüssel verwalten.
      9. Klicken Sie im Dialogfeld "Berechtigungen" auf "Hinzufügen", geben Sie "NETZWERKDIENST" ein, klicken Sie auf "OK", aktivieren Sie unter dem Kontrollkästchen "Zulassen" die Option "Lesen", und klicken Sie dann auf "OK".