Uzak Masaüstü dinleyicisi sertifika yapılandırmaları

  • Makale

Bu makalede, Uzak Masaüstü Hizmetleri (RDS) dağıtımının parçası olmayan Windows Server 2012 veya Windows Server 2012 tabanlı bir sunucuda dinleyici sertifikalarını yapılandırma yöntemleri açıklanmaktadır.

Özgün KB numarası: 3042780

Uzak Masaüstü sunucu dinleyicisi kullanılabilirliği hakkında

Dinleyici bileşeni Uzak Masaüstü sunucusunda çalışır ve yeni Uzak Masaüstü Protokolü (RDP) istemci bağlantılarını dinlemekten ve kabul etmekten sorumludur. Bu, kullanıcıların Uzak Masaüstü sunucusunda yeni uzak oturumlar oluşturmasına olanak tanır. Uzak Masaüstü sunucusunda bulunan her Uzak Masaüstü Hizmetleri bağlantısı için bir dinleyici vardır. Uzak Masaüstü Hizmetleri Yapılandırma aracı kullanılarak bağlantılar oluşturulabilir ve yapılandırılabilir.

Dinleyici sertifikasını yapılandırma yöntemleri

Windows Server 2003, Windows Server 2008 veya Windows Server 2008 R2'de, Uzak Masaüstü Configuration Manager MMC ek bileşeni RDP dinleyicisine doğrudan erişim sağlar. Ek bileşende, bir sertifikayı dinleyiciye bağlayabilir ve ardından RDP oturumları için SSL güvenliğini zorunlu kılabilirsiniz.

Windows Server 2012 veya Windows Server 2012 R2'de bu MMC ek bileşeni yoktur. Bu nedenle, sistem RDP dinleyicisine doğrudan erişim sağlamaz. Windows Server 2012 veya Windows Server 2012 R2'de dinleyici sertifikalarını yapılandırmak için aşağıdaki yöntemleri kullanın.

  • Yöntem 1: Windows Yönetim Araçları (WMI) betiğini kullanma

    RDS dinleyicisinin yapılandırma verileri, wmi sınıfında Win32_TSGeneralSetting ad alanının altında Root\CimV2\TerminalServices depolanır.

    RDS dinleyicisi sertifikasına, SSLCertificateSHA1Hash özelliğinde bu sertifikanın Parmak izi değeri üzerinden başvurulur. Parmak izi değeri her sertifika için benzersizdir.

    Not

    Wmic komutlarını çalıştırmadan önce, kullanmak istediğiniz sertifika bilgisayar hesabının Kişisel sertifika deposuna aktarılmalıdır. Sertifikayı içeri aktarmazsanız Geçersiz Parametre hatası alırsınız.

    WMI kullanarak sertifika yapılandırmak için şu adımları izleyin:

    1. Sertifikanızın özellikler iletişim kutusunu açın ve Ayrıntılar sekmesini seçin.

    2. Parmak İzi alanına kadar aşağı kaydırın ve boşlukla sınırlandırılmış onaltılık dizeyi Not Defteri gibi bir yere kopyalayın.

      Aşağıdaki ekran görüntüsü, Sertifika özelliklerindeki sertifika parmak izi örneğidir:

      Sertifika özelliklerindeki sertifika parmak izi örneği.

      Dizeyi Not Defteri'ne kopyalarsanız aşağıdaki ekran görüntüsüne benzer olmalıdır:

      Parmak izi dizesini kopyalayıp Not Defteri'ne yapıştırın.

      Dizedeki boşlukları kaldırdıktan sonra, yine de yalnızca komut isteminde görünen görünmez ASCII karakterini içerir. Aşağıdaki ekran görüntüsü bir örnektir:

      Yalnızca komut isteminde gösterilen görünmez ASCII karakteri.

      Sertifikayı içeri aktarmak için komutu çalıştırmadan önce bu ASCII karakterinin kaldırıldığından emin olun.

    3. Dizedeki tüm boşlukları kaldırın. Ayrıca kopyalanan görünmez bir ACSII karakteri olabilir. Bu, Not Defteri'nde görünmez. Doğrulamanın tek yolu doğrudan Komut İstemi penceresine kopyalamaktır.

    4. Komut isteminde, 3. adımda aldığınız parmak izi değeriyle birlikte aşağıdaki wmic komutunu çalıştırın:

      wmic /namespace:\\root\cimv2\TerminalServices PATH Win32_TSGeneralSetting Set SSLCertificateSHA1Hash="THUMBPRINT"

      Aşağıdaki ekran görüntüsü başarılı bir örnektir:

      3. adımda elde ettiğiniz parmak izi değeriyle wmic komutunu çalıştırmanın başarılı bir örneği.

  • Yöntem 2: Kayıt defteri düzenleyicisini kullanma

    Önemli

    Bu bölümdeki adımları dikkatlice izleyin. Kayıt defterini hatalı olarak değiştirirseniz önemli sorunlar oluşabilir. Değiştirmeden önce, Sorun oluşması durumunda Windows'ta kayıt defterini yedekleme ve geri yükleme.

    Kayıt defteri düzenleyicisini kullanarak sertifika yapılandırmak için şu adımları izleyin:

    1. Bilgisayar hesabı kullanarak Kişisel sertifika deposuna bir sunucu kimlik doğrulama sertifikası yükleyin.

    2. Bu özel sertifikayı varsayılan otomatik olarak imzalanan sertifikayı kullanmak yerine TLS'yi destekleyecek şekilde yapılandırabilmek için sertifikanın SHA1 karması içeren aşağıdaki kayıt defteri değerini oluşturun.

      • Kayıt defteri yolu: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp
      • Değer adı: SSLCertificateSHA1Hash
      • Değer türü: REG_BINARY
      • Değer verileri: sertifika parmak izi

      Değer, sertifikanın parmak izi olmalı ve boşluk bırakmadan virgülle (,) ayrılmalıdır. Örneğin, bu kayıt defteri anahtarını dışarı aktaracaksanız SSLCertificateSHA1Hash değeri aşağıdaki gibi olacaktır:

      SSLCertificateSHA1Hash=hex:42,49,e1,6e,0a,f0,a0,2e,63,c4,5c,93,fd,52,ad,09,27,82,1b,01

    3. Uzak Masaüstü Ana Bilgisayar Hizmetleri, NETWORK SERVICE hesabı altında çalışır. Bu nedenle, RDS tarafından kullanılan anahtar dosyasının sistem erişim denetim listesini (SACL) AĞ HİzMETİ'ni Okuma izinleriyle birlikte içerecek şekilde ayarlamanız gerekir.

      İzinleri değiştirmek için, yerel bilgisayarın Sertifikalar ek bileşeninde şu adımları izleyin:

      1. Başlat'a tıklayın, Çalıştır'a tıklayın, mmc yazın ve tamam'a tıklayın.
      2. ÜzerindeDosyamenüsünde tıklatınEkle/Kaldır ek bileşenini.
      3. Ek Bileşen Ekle veya Kaldır iletişim kutusunda, Kullanılabilir ek bileşenler listesinde Sertifikalar'a ve ardından Ekle'ye tıklayın.
      4. Sertifikalar ek bileşeni iletişim kutusunda Bilgisayar hesabı'na ve ardından İleri'ye tıklayın.
      5. Bilgisayar Seç iletişim kutusunda Yerel bilgisayar: (bu konsolun üzerinde çalıştığı bilgisayar) seçeneğine ve ardından Son'a tıklayın.
      6. Ek Bileşen Ekle veya Kaldır iletişim kutusunda Tamam'a tıklayın.
      7. Sertifikalar ek bileşenindeki konsol ağacında Sertifikalar (Yerel Bilgisayar) öğesini genişletin, Kişisel'i genişletin ve ardından kullanmak istediğiniz SSL sertifikasını seçin.
      8. Sertifikaya sağ tıklayın, Tüm Görevler'i ve ardından Özel Anahtarları Yönet'i seçin.
      9. İzinler iletişim kutusunda Ekle'ye tıklayın, AĞ HİzMETİ yazın, Tamam'a tıklayın, İzin ver onay kutusunun altında Oku'ya tıklayın ve ardından Tamam'a tıklayın.