遠(yuǎn)程桌面?zhèn)陕犉髯C書配置

09/08/2020

本文內(nèi)容

本文介紹在基于 Windows Server 2012 或基于 Windows Server 2012 的服務(wù)器上配置偵聽器證書的方法，該服務(wù)器不是遠(yuǎn)程桌面服務(wù) (RDS) 的一部分。

適用于： ?Windows Server 2012R2

原始 KB 編號(hào)： ? 3042780

關(guān)于遠(yuǎn)程桌面服務(wù)器偵聽器可用性

偵聽器組件在遠(yuǎn)程桌面服務(wù)器上運(yùn)行，負(fù)責(zé)偵聽并接受 RDP 中新的遠(yuǎn)程桌面協(xié)議 (RDP) 客戶端連接。 這允許用戶在遠(yuǎn)程桌面服務(wù)器上建立新的遠(yuǎn)程會(huì)話。 遠(yuǎn)程桌面服務(wù)器上存在每個(gè)遠(yuǎn)程桌面服務(wù)連接的偵聽器。 可以使用遠(yuǎn)程桌面服務(wù)配置工具創(chuàng)建和配置連接。

配置偵聽器證書的方法

在 Windows Server 2003、Windows Server 2008 或 Windows Server 2008 R2 中，遠(yuǎn)程桌面配置管理器 MMC 管理單元允許你直接訪問(wèn) RDP 偵聽器。 在管理單元中，你可以將證書綁定到偵聽器，然后對(duì) RDP 會(huì)話強(qiáng)制執(zhí)行 SSL 安全性。

在 Windows Server 2012 或 Windows Server 2012 R2 中，此 MMC 管理單元不存在。 因此，系統(tǒng)不提供對(duì) RDP 偵聽器的直接訪問(wèn)。 若要在 Windows Server 2012 或 Windows Server 2012 R2 中配置偵聽器證書，請(qǐng)使用以下方法。

方法 1：使用 Windows Management Instrumentation (WMI) 腳本

RDS 偵聽器的配置數(shù)據(jù)存儲(chǔ)在命名空間下的 Win32_TSGeneralSetting WMI 類 Root\CimV2\TerminalServices 中。

RDS 偵聽器的證書通過(guò) SSLCertificateSHA1Hash 屬性上該證書的 Thumbprint 值進(jìn)行引用。 指紋值對(duì)于每個(gè)證書都是唯一的。

備注

在運(yùn)行 wmic 命令之前，必須使用的證書必須導(dǎo)入到計(jì)算機(jī)帳戶的個(gè)人證書存儲(chǔ)中。 如果不導(dǎo)入證書，將收到"參數(shù) 無(wú)效" 錯(cuò)誤。

若要使用 WMI 配置證書，請(qǐng)按照以下步驟操作：

打開證書的屬性對(duì)話框，然后選擇" 詳細(xì)信息" 選項(xiàng)卡。

向下滾動(dòng)到 Thumbprint 字段，將用十六進(jìn)制字符串分隔的空格復(fù)制到記事本。

以下屏幕截圖是 Certificate 屬性中的 證書指紋示例 ：

如果將字符串復(fù)制到 記事本，它應(yīng)類似于以下屏幕截圖：

刪除字符串中的空格后，它仍然包含不可見的 ASCII 字符，該字符僅在命令提示符處可見。 以下屏幕截圖是一個(gè)示例：

在運(yùn)行命令以導(dǎo)入證書之前，請(qǐng)確保刪除此 ASCII 字符。

從字符串中刪除所有空格。 可能還復(fù)制了不可見的 ACSII 字符。 此狀態(tài)在記事本。 驗(yàn)證的唯一方法就是直接復(fù)制到命令提示符窗口中。

在命令提示符下，運(yùn)行以下 wmic 命令以及你在步驟 3 中獲得的指紋值：

wmic /namespace:\\root\cimv2\TerminalServices PATH Win32_TSGeneralSetting Set SSLCertificateSHA1Hash="THUMBPRINT"

以下屏幕截圖是一個(gè)成功示例：

方法 2：使用注冊(cè)表編輯器

重要

請(qǐng)仔細(xì)遵循本部分中的步驟進(jìn)行操作。 對(duì)注冊(cè)表修改不當(dāng)可能會(huì)導(dǎo)致嚴(yán)重問(wèn)題。 修改之前，如何在注冊(cè)表中備份和還原Windows以防出現(xiàn)問(wèn)題。

若要使用注冊(cè)表編輯器配置證書，請(qǐng)按照以下步驟操作：

使用計(jì)算機(jī)帳戶將服務(wù)器身份驗(yàn)證證書安裝到個(gè)人證書存儲(chǔ)。

創(chuàng)建以下包含證書 SHA1 哈希的注冊(cè)表值，以便你可以配置此自定義證書以支持 TLS，而不是使用默認(rèn)的自簽名證書。

注冊(cè)表路徑： HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp

值名稱 ：SSLCertificateSHA1Hash

值類型：REG_BINARY

值數(shù)據(jù)： 證書指紋

該值應(yīng)為證書的指紋，用逗號(hào)分隔 (，) 不帶空格。 例如，如果要導(dǎo)出該注冊(cè)表項(xiàng)， 則 SSLCertificateSHA1Hash 值將如下所示：

SSLCertificateSHA1Hash=hex：42，49，e1，6e，0a，f0，a0，2e，63，c4，5c，93，fd，52，ad，09，27，82，1b，01

遠(yuǎn)程桌面主機(jī)服務(wù)在 NETWORK SERVICE 帳戶下運(yùn)行。 因此，您必須將系統(tǒng)訪問(wèn)控制列表設(shè)置為 (RDS) 的 SACL 列表，以將 NETWORK SERVICE 與 讀取 權(quán)限一起包含。

若要更改權(quán)限，請(qǐng)按照本地計(jì)算機(jī)的證書管理單元上的以下步驟操作：

單擊 “開始”，再單擊 “運(yùn)行”，鍵入 mmc，然后單擊 “確定”。

在 “文件” 菜單上，單擊 “添加/刪除管理單元”。

在"添加或刪除管理單元"對(duì)話框中 的"可用管理單元"列表中，單擊 "證書"，然后單擊"添加 "。

在"證書管理 單元"對(duì)話框中，單擊"計(jì)算機(jī)帳戶"，然后單擊"下一步 "。

在"選擇計(jì)算機(jī)"對(duì)話框中，單擊"本地計(jì)算機(jī)： (運(yùn)行此控制臺(tái)的計(jì)算機(jī) ) ， 然后單擊"完成 "。

在"添加或刪除管理單元"對(duì)話框中，單擊"確定 "。

在 "證書"管理單元的控制臺(tái)樹中，展開"證書 (本地計(jì)算機(jī) ) "，展開"個(gè)人"， 然后選擇想要使用的 SSL 證書。

右鍵單擊證書，選擇"所有任務(wù)"， 然后選擇"管理私鑰"。

在"權(quán)限" 對(duì)話框中，單擊"添加"，鍵入 NETWORK SERVICE， 單擊 "確定"，選中"允許"復(fù)選框下的"讀取"，然后單擊"確定 "。

總結(jié)

以上是生活随笔為你收集整理的此计算机支持多个rdp侦听程序,远程桌面侦听器证书配置的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。