Configuraciones de certificados del agente de escucha de Escritorio remoto

En este artículo se describen los métodos para configurar certificados de agente de escucha en un servidor basado en Windows Server 2012 o basado en Windows Server 2012 que no forma parte de una implementación de Servicios de Escritorio remoto (RDS).

Número de KB original: 3042780

Acerca de la disponibilidad del agente de escucha del servidor de Escritorio remoto

El componente de escucha se ejecuta en el servidor de Escritorio remoto y es responsable de escuchar y aceptar nuevas conexiones de cliente de Protocolo de escritorio remoto (RDP). Esto permite a los usuarios establecer nuevas sesiones remotas en el servidor de Escritorio remoto. Hay un agente de escucha para cada conexión de Servicios de Escritorio remoto que existe en el servidor de Escritorio remoto. Las conexiones se pueden crear y configurar mediante la herramienta configuración de Servicios de Escritorio remoto.

Métodos para configurar el certificado del agente de escucha

En Windows Server 2003, Windows Server 2008 o Windows Server 2008 R2, el complemento MMC de Configuration Manager de Escritorio remoto le permite acceder directamente al agente de escucha RDP. En el complemento, puede enlazar un certificado al agente de escucha y, a su vez, aplicar la seguridad SSL para las sesiones rdP.

En Windows Server 2012 o Windows Server 2012 R2, este complemento MMC no existe. Por lo tanto, el sistema no proporciona acceso directo al agente de escucha RDP. Para configurar los certificados de agente de escucha en Windows Server 2012 o Windows Server 2012 R2, use los métodos siguientes.

  • Método 1: Usar script de Instrumental de administración de Windows (WMI)

    Los datos de configuración del agente de escucha de RDS se almacenan en la Win32_TSGeneralSetting clase de WMI en el Root\CimV2\TerminalServices espacio de nombres .

    El certificado para el agente de escucha de RDS se hace referencia a través del valor de huella digital de ese certificado en una propiedad SSLCertificateSHA1Hash . El valor de huella digital es único para cada certificado.

    Nota

    Antes de ejecutar los comandos wmic, el certificado que desea usar debe importarse al almacén de certificados personal de la cuenta de equipo. Si no importa el certificado, recibirá un error de parámetro no válido.

    Para configurar un certificado mediante WMI, siga estos pasos:

    1. Abra el cuadro de diálogo de propiedades del certificado y seleccione la pestaña Detalles .

    2. Desplácese hacia abajo hasta el campo Huella digital y copie la cadena hexadecimal delimitada por el espacio en algo parecido al Bloc de notas.

      La captura de pantalla siguiente es un ejemplo de la huella digital del certificado en las propiedades Certificado :

      Ejemplo de la huella digital del certificado en las propiedades Certificate.

      Si copia la cadena en el Bloc de notas, debe ser similar a la siguiente captura de pantalla:

      Copie y pegue la cadena de huella digital en el Bloc de notas.

      Después de quitar los espacios de la cadena, todavía contiene el carácter ASCII invisible que solo está visible en el símbolo del sistema. La captura de pantalla siguiente es un ejemplo:

      Carácter ASCII invisible que solo se muestra en el símbolo del sistema.

      Asegúrese de que este carácter ASCII se quita antes de ejecutar el comando para importar el certificado.

    3. Quite todos los espacios de la cadena. Puede haber un carácter ACSII invisible que también se copie. Esto no está visible en el Bloc de notas. La única manera de validar es copiar directamente en la ventana del símbolo del sistema.

    4. En el símbolo del sistema, ejecute el siguiente comando wmic junto con el valor de huella digital que obtenga en el paso 3:

      wmic /namespace:\\root\cimv2\TerminalServices PATH Win32_TSGeneralSetting Set SSLCertificateSHA1Hash="THUMBPRINT"
      

      La captura de pantalla siguiente es un ejemplo correcto:

      Ejemplo correcto de ejecución del comando wmic junto con el valor de huella digital que se obtiene en el paso 3.

  • Método 2: Uso del editor del Registro

    Importante

    Sigue meticulosamente los pasos que se describen en esta sección. Pueden producirse problemas graves si modifica el Registro de manera incorrecta. Antes de modificarlo, cómo realizar una copia de seguridad y restaurar el registro en Windows en caso de que se produzcan problemas.

    Para configurar un certificado mediante el editor del Registro, siga estos pasos:

    1. Instale un certificado de autenticación de servidor en el almacén de certificados personal mediante una cuenta de equipo.

    2. Cree el siguiente valor del Registro que contiene el hash SHA1 del certificado para que pueda configurar este certificado personalizado para admitir TLS en lugar de usar el certificado autofirmado predeterminado.

      • Ruta de acceso del Registro: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp
      • Nombre del valor: SSLCertificateSHA1Hash
      • Tipo de valor: REG_BINARY
      • Datos de valor: huella digital del certificado

      El valor debe ser la huella digital del certificado y estar separados por coma (,) sin espacios vacíos. Por ejemplo, si fuera a exportar esa clave del Registro, el valor SSLCertificateSHA1Hash sería el siguiente:

      SSLCertificateSHA1Hash=hex:42,49,e1,6e,0a,f0,a0,2e,63,c4,5c,93,fd,52,ad,09,27,82,1b,01

    3. Los servicios host de Escritorio remoto se ejecutan en la cuenta DE SERVICIO DE RED. Por lo tanto, debe establecer la lista de control de acceso del sistema (SACL) del archivo de clave que usa RDS para incluir NETWORK SERVICE junto con los permisos de lectura .

      Para cambiar los permisos, siga estos pasos en el complemento Certificados para el equipo local:

      1. Haga clic en Inicio, haga clic en Ejecutar, escriba mmcy, a continuación, haga clic en Aceptar.
      2. En el menú Archivo , haga clic en Agregar o quitar complemento.
      3. En el cuadro de diálogo Agregar o quitar complementos , en la lista Complementos disponibles, haga clic en Certificados y, a continuación, haga clic en Agregar.
      4. En el cuadro de diálogo Complemento de certificados, haga clic en Cuenta de equipo y, a continuación, haga clic en Siguiente.
      5. En el cuadro de diálogo Seleccionar equipo , haga clic en Equipo local: (el equipo en el que se ejecuta esta consola) y, a continuación, haga clic en Finalizar.
      6. En el cuadro de diálogo Agregar o quitar complementos , haga clic en Aceptar.
      7. En el complemento Certificados , en el árbol de consola, expanda Certificados (equipo local), expanda Personal y, a continuación, seleccione el certificado SSL que desea usar.
      8. Haga clic con el botón derecho en el certificado, seleccione Todas las tareas y, luego, seleccione Administrar claves privadas.
      9. En el cuadro de diálogo Permisos , haga clic en Agregar, escriba NETWORK SERVICE, haga clic en Aceptar, seleccione Leer en la casilla Permitiry , a continuación, haga clic en Aceptar.