遠程桌面偵聽器證書配置

09/08/2020

本文內容

本文介紹在基于 Windows Server 2012 或基于 Windows Server 2012 的服務器上配置偵聽器證書的方法，該服務器不是遠程桌面服務 (RDS) 的一部分。

適用于： ?Windows Server 2012R2

原始 KB 編號： ? 3042780

關于遠程桌面服務器偵聽器可用性

偵聽器組件在遠程桌面服務器上運行，負責偵聽并接受 RDP 中新的遠程桌面協議 (RDP) 客戶端連接。 這允許用戶在遠程桌面服務器上建立新的遠程會話。 遠程桌面服務器上存在每個遠程桌面服務連接的偵聽器。 可以使用遠程桌面服務配置工具創建和配置連接。

配置偵聽器證書的方法

在 Windows Server 2003、Windows Server 2008 或 Windows Server 2008 R2 中，遠程桌面配置管理器 MMC 管理單元允許你直接訪問 RDP 偵聽器。 在管理單元中，你可以將證書綁定到偵聽器，然后對 RDP 會話強制執行 SSL 安全性。

在 Windows Server 2012 或 Windows Server 2012 R2 中，此 MMC 管理單元不存在。 因此，系統不提供對 RDP 偵聽器的直接訪問。 若要在 Windows Server 2012 或 Windows Server 2012 R2 中配置偵聽器證書，請使用以下方法。

方法 1：使用 Windows Management Instrumentation (WMI) 腳本

RDS 偵聽器的配置數據存儲在命名空間下的 Win32_TSGeneralSetting WMI 類 Root\CimV2\TerminalServices 中。

RDS 偵聽器的證書通過 SSLCertificateSHA1Hash 屬性上該證書的 Thumbprint 值進行引用。 指紋值對于每個證書都是唯一的。

備注

在運行 wmic 命令之前，必須使用的證書必須導入到計算機帳戶的個人證書存儲中。 如果不導入證書，將收到"參數 無效" 錯誤。

若要使用 WMI 配置證書，請按照以下步驟操作：

打開證書的屬性對話框，然后選擇" 詳細信息" 選項卡。

向下滾動到 Thumbprint 字段，將用十六進制字符串分隔的空格復制到記事本。

以下屏幕截圖是 Certificate 屬性中的 證書指紋示例 ：

如果將字符串復制到 記事本，它應類似于以下屏幕截圖：

刪除字符串中的空格后，它仍然包含不可見的 ASCII 字符，該字符僅在命令提示符處可見。 以下屏幕截圖是一個示例：

在運行命令以導入證書之前，請確保刪除此 ASCII 字符。

從字符串中刪除所有空格。 可能還復制了不可見的 ACSII 字符。 此狀態在記事本。 驗證的唯一方法就是直接復制到命令提示符窗口中。

在命令提示符下，運行以下 wmic 命令以及你在步驟 3 中獲得的指紋值：

wmic /namespace:\\root\cimv2\TerminalServices PATH Win32_TSGeneralSetting Set SSLCertificateSHA1Hash="THUMBPRINT"

以下屏幕截圖是一個成功示例：

方法 2：使用注冊表編輯器

重要

請仔細遵循本部分中的步驟進行操作。 對注冊表修改不當可能會導致嚴重問題。 修改之前，如何在注冊表中備份和還原Windows以防出現問題。

若要使用注冊表編輯器配置證書，請按照以下步驟操作：

使用計算機帳戶將服務器身份驗證證書安裝到個人證書存儲。

創建以下包含證書 SHA1 哈希的注冊表值，以便你可以配置此自定義證書以支持 TLS，而不是使用默認的自簽名證書。

注冊表路徑： HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp

值名稱 ：SSLCertificateSHA1Hash

值類型：REG_BINARY

值數據： 證書指紋

該值應為證書的指紋，用逗號分隔 (，) 不帶空格。 例如，如果要導出該注冊表項， 則 SSLCertificateSHA1Hash 值將如下所示：

SSLCertificateSHA1Hash=hex：42，49，e1，6e，0a，f0，a0，2e，63，c4，5c，93，fd，52，ad，09，27，82，1b，01

遠程桌面主機服務在 NETWORK SERVICE 帳戶下運行。 因此，您必須將系統訪問控制列表設置為 (RDS) 的 SACL 列表，以將 NETWORK SERVICE 與 讀取 權限一起包含。

若要更改權限，請按照本地計算機的證書管理單元上的以下步驟操作：

單擊 “開始”，再單擊 “運行”，鍵入 mmc，然后單擊 “確定”。

在 “文件” 菜單上，單擊 “添加/刪除管理單元”。

在"添加或刪除管理單元"對話框中 的"可用管理單元"列表中，單擊 "證書"，然后單擊"添加 "。

在"證書管理 單元"對話框中，單擊"計算機帳戶"，然后單擊"下一步 "。

在"選擇計算機"對話框中，單擊"本地計算機： (運行此控制臺的計算機 ) ， 然后單擊"完成 "。

在"添加或刪除管理單元"對話框中，單擊"確定 "。

在 "證書"管理單元的控制臺樹中，展開"證書 (本地計算機 ) "，展開"個人"， 然后選擇想要使用的 SSL 證書。

右鍵單擊證書，選擇"所有任務"， 然后選擇"管理私鑰"。

在"權限" 對話框中，單擊"添加"，鍵入 NETWORK SERVICE， 單擊 "確定"，選中"允許"復選框下的"讀取"，然后單擊"確定 "。

總結

以上是生活随笔為你收集整理的此计算机支持多个rdp侦听程序,远程桌面侦听器证书配置的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。