Workgroup bir terminal server üzerinde TLS ‘i etkinleştirmek ve sertifika bazlı bağlantıyı sağlamak için gerekli adımlar

 

 

Workgroup bir terminal server üzerinde TLS ‘i etkinlestirmek ve sertifika bazli baglantiyi saglamak için gerekli adimlar asagidaki gibidir.

1- Öncelikli olarak domainde bulunan Enterprise CA'yi açin.

? "Certificate Templates" folderina sag klik yapip "Manage"'i seçin.

? Açilan pencerede "IPSec(Offline request) templateine sagklik yapip "Duplicate Template"'i seçin.

? "New Template" dailog kisminin propertieslerinde  bu template'e bir isim verin.(örnegin WGTSCert gibi)       

? "Request Handling tabinda, "Allow private key to be exported" seçip "CSP" ye tiklayin.

? "CSP Selection"  da “Microsoft Enhanced Cryptographic Provider v1.0” ve “Microsoft RSA SChannel  Cryptographic Provider” seçeneklerini seçiniz

? "Extensions" tabinda,"Extensions included in this template" altinda bulunan "Application Policies" seçin ve Edit diyin."IP security IKE intermediate" üzerine tilayip ardindan "Remove" diyin.

? "Add" 'e tiklayip listeden "Server Authentication" ekleyin.               

? "Security" tabinda  "Authenticated Users" gurubunun Read ve Enroll haklarina sahip olmasina dikkat edin.

? Mevcut pencereleri "Ok"'leyip kapatin.

? "Certification Authority" 'de , "Certificate Templates" folderina sag tilayarak New--> Certification Template to Issue seçip, çikan "Enable Certificate Templates" kutusunda yaratmis oldugumuz template'i bulup OK'ye tiklayin.

2- CA ‘in chain’i hem WG ‘da olan TS e hemde diger domaindeki computerlere yüklenecektir. Eger RDP yapacak serverlar CA ile ayni domainde ise bu islemin yapilmasina gerek yoktur.

? http(s)://<servername,fqdn>/certsrv adresine baglanin.

? Download a CA certificate, certificate chain, or CRL link'ine tiklayin.

? Install this CA certificate chain tiklayin.

? Çikan uyarilara Yes diyin.

? En sonunda The CA certificate chain has been successfully installed uyarisini alacaksiniz.

3- Workgroup TS ve computer üzerine simdi bu template den certifica kurulumu yapmamiz gerekecek  

? Certification Authority'i kurmus oldugunuz makineye baglanin, http(s)://<servername,fqdn>/certsrv

? Request a Certificate linkine tiklayin.

? Advanced Certificate Request linkine tiklayin.

? Create and submit a request to this CA linkine tiklayin.

? "Certificate Template" 'in altinda olusturmus oldugumuz template'i seçin.  ( örnegimde WGTSCert  )   

? "Identifying Information For Offline Template" kismina kurunum yaptiginiz makinenin netbiosName 'ini  girin.  (Benim örnegimde orkatswg)

? "Key Options" altinda bulunan "Create a new key set" i tiklayin ve "CSP" alanina Microsoft Enhanced Cryptographic Provider v1.0 seçin.

? "Key Size" yine istediginiz sekilde degistirebilirsiniz, ben örnegimde bu alani default degerinde birakiyorum.

? "Automatic key container name" ve "Mark keys as exportable" alanlarinin seçili olduguna dikkat edin.

? "Export keys to file","Enable strong private key protection" kismlari bos kalsin ve "Store certificate in the local computer certificate store" seçili olsun.                  

? "Additional Options -->Request Format-->CMC" seçin ve "Hash Algorithm list" den "SHA-1" diyin.

? Friendly Name alanina yine makinenin makinenin netbiosName 'ini  girin.  (Benim örnegimde orkatswg)

? Submit  ve ardindan çikan uyariya Yes diyin. Çikan sayfada "Install Certificate" diyip sertifikayi yükleyin.

4- Bu asamadan sonra  asagidaki adimlara geçiniz. Terminal Services Configuration Snapp-ini açiniz

? Connections kismindan kullanilacak connection'in özelliklerini açiniz

? General tabinda ;

? Security Layer kismini Negotiate seçenegine getiriniz. ( Burada isterseniz SSL de kullanabilirsiniz )

? Encryption level kismini High seçenegine getiriniz.

? Certificate kisminda edit kismina tiklayip bir önceki adimda olusturdugumuz sertifikayi seçiniz ve OK tiklayiniz

? Use standard Windows logon interface check box'i isaretleyiniz.

5- Sonra Workgroup Client tarafina geçelim.

? Burada öncelikle kayit defterinde  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Terminal Server Client key’i altinda AuthenticationLevelOverride adinda bir DWORD degeri olusturup degerini 1 olarak atayiniz

Eger bu degeri 1 yapmaz iseniz TS ‘e certifika yüklesenizde client ‘i authentication yapmaya zorlamazsiniz ve sertifika kullanmadanda rdp yapilabilir. Bu deger defaultta 0 olarak algilanir. Yani herhangi bir authentication yapmaya ihtiyaç duymaz. 2 yaparsaniz authentication yapmayi dener ama basaramazsa normal sekilde devam eder.

0 Type this value to configure an authentication level of "No authentication."

1 Type this value to configure an authentication level of "Require authentication."

2 Type this value to configure an authentication level of "Attempt authentication."

Hazirladigimiz certifika Web Enrollment kisminda "Store certificate in the local computer certificate store" checkbox görünmedigi için user ‘in local store’una kopyalaniyordu.

bu sertifikayi private key ile export edip sonrasinda local computer store a import etmeliyiz ve artik bu sertifikayi TS configurationda görebiliyor olmaniz gerekmekte.

Artik bu asamada RDP connection sertifika kullanarak secure bir hale gelmis olacaktir