Condividi tramite

Configurazioni del certificato del listener desktop remoto

  • Articolo

Questo articolo descrive i metodi per configurare i certificati del listener in un server basato su Windows Server 2012 o Windows Server 2012 che non fa parte di una distribuzione di Servizi Desktop remoto .This article describes the methods to configure listener certificates on a Windows Server 2012-based or Windows Server 2012-based server that is not part of a Remote Desktop Services (RDS).

Numero KB originale: 3042780

Informazioni sulla disponibilità del listener del server Desktop remoto

Il componente listener viene eseguito sul server Desktop remoto ed è responsabile dell'ascolto e dell'accettazione di nuove connessioni client RDP (Remote Desktop Protocol). In questo modo gli utenti stabiliscono nuove sessioni remote nel server Desktop remoto. Esiste un listener per ogni connessione di Servizi Desktop remoto presente nel server Desktop remoto. Le connessioni possono essere create e configurate utilizzando lo strumento Configurazione di Servizi Desktop remoto.

Metodi per configurare il certificato del listener

In Windows Server 2003, Windows Server 2008 o Windows Server 2008 R2, lo snap-in MMC gestione configurazione Desktop remoto consente di accedere direttamente al listener RDP. Nello snap-in è possibile associare un certificato al listener e a sua volta applicare la sicurezza SSL per le sessioni RDP.

In Windows Server 2012 o Windows Server 2012 R2 questo snap-in MMC non esiste. Pertanto, il sistema non fornisce accesso diretto al listener RDP. Per configurare i certificati del listener in Windows Server 2012 o Windows Server 2012 R2, usare i metodi seguenti.

  • Metodo 1: Usare lo script strumentazione gestione Windows (WMI)

    I dati di configurazione per il listener servizi Desktop remoto vengono archiviati nella classe in Win32_TSGeneralSetting WMI nello spazio dei Root\CimV2\TerminalServices nomi .

    Il certificato per il listener di Servizi Desktop remoto viene fatto riferimento tramite il valore identificazione personale di tale certificato in una proprietà SSLCertificateSHA1Hash . Il valore di identificazione personale è univoco per ogni certificato.

    Note

    Prima di eseguire i comandi wmic, il certificato da usare deve essere importato nell'archivio certificati personale per l'account computer. Se non si importa il certificato, verrà visualizzato un errore Parametro non valido.

    Per configurare un certificato tramite WMI, seguire questa procedura:

    1. Aprire la finestra di dialogo delle proprietà per il certificato e selezionare la scheda Dettagli .

    2. Scorrere verso il basso fino al campo Identificazione personale e copiare la stringa esadecimale delimitata da spazio in un elemento simile al Blocco note.

      Lo screenshot seguente è un esempio dell'identificazione personale del certificato nelle proprietà Certificate :

      Esempio di identificazione personale del certificato nelle proprietà Certificate.

      Se si copia la stringa nel Blocco note, dovrebbe essere simile allo screenshot seguente:

      Copiare e incollare la stringa di identificazione personale nel Blocco note.

      Dopo aver rimosso gli spazi nella stringa, contiene ancora il carattere ASCII invisibile che è visibile solo al prompt dei comandi. Lo screenshot seguente è un esempio:

      Carattere ASCII invisibile visualizzato solo al prompt dei comandi.

      Assicurarsi che questo carattere ASCII venga rimosso prima di eseguire il comando per importare il certificato.

    3. Rimuovere tutti gli spazi dalla stringa. Potrebbe essere presente un carattere INVISIBILII copiato anche. Non è visibile nel Blocco note. L'unico modo per convalidare consiste nel copiare direttamente nella finestra del prompt dei comandi.

    4. Al prompt dei comandi eseguire il comando wmic seguente insieme al valore di identificazione personale ottenuto nel passaggio 3:

      wmic /namespace:\\root\cimv2\TerminalServices PATH Win32_TSGeneralSetting Set SSLCertificateSHA1Hash="THUMBPRINT"

      Lo screenshot seguente è un esempio riuscito:

      Esempio di esecuzione del comando wmic insieme al valore di identificazione personale ottenuto nel passaggio 3.

  • Metodo 2: Usare l'editor del Registro di sistema

    Importante

    Seguire attentamente i passaggi in questa sezione. Se le modifiche al Registro di sistema vengono apportate in modo non corretto, possono verificarsi problemi gravi. Prima di modificarlo, come eseguire il backup e ripristinare il Registro di sistema in Windows in caso di problemi.

    Per configurare un certificato tramite l'editor del Registro di sistema, seguire questa procedura:

    1. Installare un certificato di autenticazione server nell'archivio certificati personale usando un account computer.

    2. Creare il valore del Registro di sistema seguente che contiene l'hash SHA1 del certificato in modo che sia possibile configurare questo certificato personalizzato per supportare TLS anziché usare il certificato autofirmato predefinito.

      • Percorso del Registro di sistema: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp
      • Nome valore: SSLCertificateSHA1Hash
      • Tipo di valore: REG_BINARY
      • Dati valore: identificazione personale del certificato

      Il valore deve essere l'identificazione personale del certificato e deve essere separato da virgola (,) senza spazi vuoti. Ad esempio, se si intende esportare tale chiave del Registro di sistema, il valore SSLCertificateSHA1Hash sarà il seguente:

      SSLCertificateSHA1Hash=hex:42,49,e1,6e,0a,f0,a0,2e,63,c4,5c,93,fd,52,ad,09,27,82,1b,01

    3. Servizi host Desktop remoto viene eseguito con l'account SERVIZIO DI RETE. Pertanto, è necessario impostare l'elenco di controllo di accesso di sistema (SACL) del file di chiave usato da SERVIZI Desktop remoto per includere NETWORK SERVICE insieme alle autorizzazioni di lettura .

      Per modificare le autorizzazioni, seguire questa procedura nello snap-in Certificati per il computer locale:

      1. Fare clic su Start, fare clic su Esegui, digitare mmc e quindi fare clic su OK.
      2. Scegliere Aggiungi/Rimuovi snap-in dal menu File.
      3. Nella finestra di dialogo Aggiungi o Rimuovi snap-in, nell'elenco Snap-in disponibili fare clic su Certificati e quindi su Aggiungi.
      4. Nella finestra di dialogo Snap-in Certificati fare clic su Account computer e quindi su Avanti.
      5. Nella finestra di dialogo Seleziona computer fare clic su Computer locale: (il computer in cui è in esecuzione la console) e quindi fare clic su Fine.
      6. Nella finestra di dialogo Aggiungi o rimuovi snap-in , fare clic su OK.
      7. Nello snap-in Certificati, nell'albero della console espandere Certificati (computer locale), espandere Personale e quindi selezionare il certificato SSL da usare.
      8. Fare clic con il pulsante destro del mouse sul certificato importato, selezionare Tutte le attività, quindi selezionare Gestisci chiavi private.
      9. Nella finestra di dialogo Autorizzazioni fare clic su Aggiungi, digitare SERVIZIO DI RETE, fare clic su OK, selezionare Lettura nella casella di controllo Consenti e quindi fare clic su OK.