Serveur d'impression

Configurations de certificats d'écoute dans Windows Server 2012/2012 – R2 – Microsoft Tech Community – Serveur d’impression

Le 3 février 2020 - 5 minutes de lecture

Publié pour la première fois sur TECHNET le 28 mai 2014

Bonjour AskPerf! Kiran Kadaba ici pour parler de la configuration des certificats d'écoute.

Lorsque le rôle Hôte de session Bureau à distance est installé sur un serveur, ou que le serveur fait partie d'une collection / déploiement RDS, il est assez facile de configurer le certificat via l'interface utilisateur du courtier de connexion.

Nous avons reçu un grand nombre de demandes de renseignements sur la façon dont nous pouvons configurer des certificats si le serveur ne fait pas partie d’un déploiement et est simplement configuré pour ‘Remote Desktop for Administration’.

Dans Windows 2003/2008/2008 R2, nous avions le composant logiciel enfichable MMC «Gestionnaire de configuration de bureau à distance» qui nous permettait d'accéder directement à l'écouteur RDP. Ici, nous pourrions lier un certificat à l'écouteur et à son tour, appliquer la sécurité SSL pour les sessions RDP.

Dans Windows 2012, nous n'avons plus ce composant logiciel enfichable MMC, ni nous avons un accès direct à l'écouteur RDP. Vous pouvez suivre les étapes ci-dessous pour configurer les certificats sous Windows 2012/2012 R2.

Ceci peut être réalisé de 2 manières:

Méthode 1: utiliser WMI

Les données de configuration de l'écouteur RDS sont stockées dans la classe ‘Win32_TSGeneralSetting’ dans WMI sous l’espace de noms ‘Root CimV2 TerminalServices’.

Le certificat de l'écouteur RDS est référencé via la valeur «Thumbprint» de ce certificat sur une propriété appelée «SSLCertificateSHA1Hash».

Cette valeur d'empreinte numérique est unique pour chaque certificat. Vous pouvez trouver la valeur en procédant comme suit:

1. Ouvrez la boîte de dialogue des propriétés de votre certificat et sélectionnez l'onglet Détails

2. Faites défiler jusqu'au champ Empreinte numérique et copiez la chaîne hexadécimale délimitée par des espaces dans quelque chose comme le Bloc-notes

Voici à quoi ressemblera l'empreinte numérique du certificat dans les propriétés du certificat:

Une fois que je l'ai copié dans le bloc-notes, il se présente comme suit:

Après avoir supprimé les espaces, il contiendra toujours le caractère ASCII invisible qui ne sera visible que dans l'invite de commande (ci-dessous):

Assurez-vous que ce caractère ASCII est supprimé avant d'exécuter la commande pour importer le certificat

3. Supprimez tous les espaces de la chaîne. (Gardez à l'esprit qu'il peut y avoir un caractère ACSII «invisible» qui est également copié. Ce n'est pas visible dans le Bloc-notes. La seule façon de valider serait de copier directement dans la fenêtre d'invite de commandes.)

4. Il s'agit de la valeur que vous devez définir dans WMI. Il devrait ressembler à ceci: 1ea1fd5b25b8c327be2c4e4852263efdb4d16af4.

Maintenant que vous avez la valeur d'empreinte numérique, voici une ligne unique que vous pouvez utiliser pour définir la valeur à l'aide de wmic:

wmic / namespace: \ root cimv2 TerminalServices PATH Win32_TSGeneralSetting Set SSLCertificateSHA1Hash = "THUMBPRINT"

Cette solution fonctionnerait également sur les systèmes Windows 7 et Windows 8.

Remarque: Le certificat que vous souhaitez utiliser doit être importé dans le magasin de certificats «personnel» pour le compte d'ordinateur, avant d'exécuter les commandes ci-dessus. Le non-respect de cette consigne entraînera une erreur «Paramètre non valide».

Option 2: modifications du registre

  1. Installez un certificat d'authentification de serveur dans le magasin de certificats «personnel» à l'aide du compte d'ordinateur.

  2. Créez la valeur de registre suivante contenant le hachage SHA1 du certificat pour configurer ce certificat personnalisé pour prendre en charge TLS au lieu d'utiliser le certificat auto-signé par défaut.

    HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Control Terminal Server WinStations RDP-Tcp

    Nom de la valeur: SSLCertificateSHA1Hash

    Type de valeur: REG_BINARY

    Données de valeur:

    La valeur doit être l'empreinte numérique du certificat séparée par une virgule «,» et aucun espace vide. Par exemple, si vous deviez exporter cette clé de registre, la valeur SSLCertificateSHA1Hash ressemblerait à ceci:

    "SSLCertificateSHA1Hash" = hex: 42,49, e1,6e, 0a, f0, a0,2e, 63, c4,5c, 93, fd, 52, ad, 09,27,82,1b, 01

3. Le service Remote Desktop Host Services s'exécute sous le compte NETWORK SERVICE. Par conséquent, il est nécessaire de définir l'ACL du fichier de clé utilisé par RDS (référencé par le certificat nommé dans la valeur de Registre SSLCertificateSHA1Hash) pour inclure NETWORK SERVICE avec les autorisations «Lecture». Pour modifier les autorisations, procédez comme suit:

Ouvrez le

Certificats

composant logiciel enfichable pour l'ordinateur local:

    1. Cliquez sur

      Début

      , Cliquez sur

      Courir

      , tapez

      mmc

      et cliquez sur

      D'accord

      .

    2. Sur le

      Fichier

      menu, cliquez sur

      Ajouter / supprimer un composant logiciel enfichable

      .

    3. dans le

      Ajouter ou supprimer des composants logiciels enfichables

      dans la boîte de dialogue

      Composants logiciels enfichables disponibles

      liste, cliquez sur

      Certificats

      et cliquez sur

      Ajouter

      .

    4. dans le

      Certificats

      boîte de dialogue composant logiciel enfichable, cliquez sur

      Compte d'ordinateur

      et cliquez sur

      Prochain

      .

    5. dans le

      Sélectionnez un ordinateur

      boîte de dialogue, cliquez sur

      Ordinateur local: (l'ordinateur sur lequel cette console fonctionne)

      et cliquez sur

      terminer

      .

    6. dans le

      Ajouter ou supprimer des composants logiciels enfichables

      boîte de dialogue, cliquez sur

      D'accord

      .

    7. dans le

      Certificats

      composant logiciel enfichable, dans l'arborescence de la console, développez

      Certificats (ordinateur local)

      , développer

      Personnel

      et accédez au certificat SSL que vous souhaitez utiliser.

    8. Cliquez avec le bouton droit sur le certificat, sélectionnez

      Toutes les tâches

      et sélectionnez

      Gérer les clés privées

      .

    9. dans le

      Autorisations

      boîte de dialogue, cliquez sur

      Ajouter,

      type

      SERVICE RÉSEAU

      , Cliquez sur

      D'ACCORD,

      sélectionner

      Lis

      sous le

      Autoriser

      case à cocher, puis cliquez sur

      D'accord

      .

-Kiran

Commentaires

Laisser un commentaire

Votre commentaire sera révisé par les administrateurs si besoin.