Configurações de certificado de ouvinte da Área de Trabalho Remota

Este artigo descreve os métodos para configurar certificados de ouvinte em um servidor baseado no Windows Server 2012 ou no Windows Server 2012 que não faz parte de uma implantação de Serviços de Área de Trabalho Remota (RDS).

Número original do KB: 3042780

Sobre a disponibilidade do ouvinte do servidor da Área de Trabalho Remota

O componente ouvinte é executado no servidor da Área de Trabalho Remota e é responsável por ouvir e aceitar novas conexões de cliente RDP (Remote Desktop Protocol). Isso permite que os usuários estabeleçam novas sessões remotas no servidor da Área de Trabalho Remota. Há um ouvinte para cada conexão dos Serviços de Área de Trabalho Remota que existe no servidor da Área de Trabalho Remota. As conexões podem ser criadas e configuradas usando a ferramenta Configuração dos Serviços de Área de Trabalho Remota.

Métodos para configurar o certificado do ouvinte

No Windows Server 2003, Windows Server 2008 ou Windows Server 2008 R2, o snap-in MMC do Gerenciador de Configuração da Área de Trabalho Remota permite que você direcione o acesso ao ouvinte RDP. No snap-in, você pode vincular um certificado ao ouvinte e, por sua vez, impor a segurança SSL para as sessões RDP.

No Windows Server 2012 ou Windows Server 2012 R2, esse snap-in do MMC não existe. Portanto, o sistema não fornece acesso direto ao ouvinte RDP. Para configurar os certificados de ouvinte no Windows Server 2012 ou Windows Server 2012 R2, use os métodos a seguir.

  • Método 1: Usar o script WMI (Instrumentação de Gerenciamento do Windows)

    Os dados de configuração do ouvinte do RDS são armazenados na Win32_TSGeneralSetting classe no WMI no Root\CimV2\TerminalServices namespace.

    O certificado para o ouvinte do RDS é referenciado por meio do valor Thumbprint desse certificado em uma propriedade SSLCertificateSHA1Hash. O valor da impressão digital é exclusivo para cada certificado.

    Observação

    Antes de executar os comandos wmic, o certificado que você deseja usar deve ser importado para o repositório de certificados pessoais da conta do computador. Se você não importar o certificado, receberá um erro de parâmetro inválido.

    Para configurar um certificado usando o WMI, siga estas etapas:

    1. Abra a caixa de diálogo de propriedades do certificado e selecione a guia Detalhes .

    2. Role para baixo até o campo Impressão digital e copie a string hexadecimal delimitada por espaço em algo como o Bloco de Notas.

      A captura de tela a seguir é um exemplo da impressão digital do certificado nas propriedades do certificado :

      Um exemplo da impressão digital do certificado nas propriedades do certificado.

      Se você copiar a cadeia de caracteres para o Bloco de Notas, ela deverá ser semelhante à seguinte captura de tela:

      Copie e cole a cadeia de caracteres de impressão digital no Bloco de Notas.

      Depois de remover os espaços na cadeia de caracteres, ela ainda contém o caractere ASCII invisível que só é visível no prompt de comando. A captura de tela a seguir é um exemplo:

      O caractere ASCII invisível que só é mostrado no prompt de comando.

      Certifique-se de que esse caractere ASCII seja removido antes de executar o comando para importar o certificado.

    3. Remova todos os espaços da string. Pode haver um caractere ACSII invisível que também é copiado. Isso não é visível no Bloco de Notas. A única maneira de validar é copiar diretamente para a janela do prompt de comando.

    4. No prompt de comando, execute o seguinte comando wmic junto com o valor de impressão digital obtido na etapa 3:

      wmic /namespace:\\root\cimv2\TerminalServices PATH Win32_TSGeneralSetting Set SSLCertificateSHA1Hash="THUMBPRINT"
      

      A captura de tela a seguir é um exemplo bem-sucedido:

      Um exemplo bem-sucedido de execução do comando wmic junto com o valor da impressão digital que você obtém na etapa 3.

  • Método 2: Use o editor de registro

    Importante

    Siga as etapas nesta seção com cuidado. Problemas sérios podem ocorrer se você modificar o Registro incorretamente. Antes de modificá-lo, Como fazer backup e restaurar o registro no Windows caso ocorram problemas.

    Para configurar um certificado usando o editor do Registro, siga estas etapas:

    1. Instale um certificado de autenticação de servidor no repositório de certificados pessoais usando uma conta de computador.

    2. Crie o valor do Registro a seguir que contém o hash SHA1 do certificado para que você possa configurar esse certificado personalizado para dar suporte ao TLS em vez de usar o certificado autoassinado padrão.

      • Caminho do Registro: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp
      • Nome do valor: SSLCertificateSHA1Hash
      • Tipo de valor: REG_BINARY
      • Dados do valor: impressão digital do certificado

      O valor deve ser a impressão digital do certificado e ser separado por vírgula (,) sem espaços vazios. Por exemplo, se você exportasse essa chave do Registro, o valor SSLCertificateSHA1Hash seria o seguinte:

      SSLCertificateSHA1Hash=hex:42,49,e1,6e,0a,f0,a0,2e,63,c4,5c,93,fd,52,ad,09,27,82,1b,01

    3. Os Serviços de Host da Área de Trabalho Remota são executados na conta SERVIÇO DE REDE. Portanto, você precisa definir a lista de controle de acesso do sistema (SACL) do arquivo de chave usado pelo RDS para incluir NETWORK SERVICE junto com as permissões de leitura .

      Para alterar as permissões, siga estas etapas no snap-in Certificados do computador local:

      1. Clique em Iniciar, clique em Executar, digite mmc e clique em OK.
      2. No menu Arquivo , clique em Adicionar/Remover Snap-in.
      3. Na caixa de diálogo Adicionar ou Remover Snap-ins, na lista Snap-ins disponíveis, clique em Certificados e, em seguida, clique em Adicionar.
      4. Na caixa de diálogo Snap-in Certificados, clique em Conta de computador e clique em Avançar.
      5. Na caixa de diálogo Selecionar Computador , clique em Computador local: (o computador em que este console está sendo executado) e clique em Concluir.
      6. Na caixa de diálogo Adicionar ou Remover Snap-ins , clique em OK.
      7. No snap-in Certificados, na árvore de console, expanda Certificados (Computador Local), expanda Pessoal e selecione o certificado SSL que deseja usar.
      8. Clique com o botão direito do mouse no certificado, selecione Todas as Tarefas, e depois selecione Gerenciar Chaves Privadas.
      9. Na caixa de diálogo Permissões, clique em Adicionar, digite SERVIÇO DE REDE, clique em OK, selecione Ler na caixa de seleção Permitir e clique em OK.