Configurations de certificats d'écoute dans Windows Server 2012/2012 – R2 – Microsoft Tech Community – Serveur d’impression
Publié pour la première fois sur TECHNET le 28 mai 2014
Bonjour AskPerf! Kiran Kadaba ici pour parler de la configuration des certificats d'écoute.
Lorsque le rôle Hôte de session Bureau à distance est installé sur un serveur, ou que le serveur fait partie d'une collection / déploiement RDS, il est assez facile de configurer le certificat via l'interface utilisateur du courtier de connexion.
Nous avons reçu un grand nombre de demandes de renseignements sur la façon dont nous pouvons configurer des certificats si le serveur ne fait pas partie d’un déploiement et est simplement configuré pour ‘Remote Desktop for Administration’.
Dans Windows 2003/2008/2008 R2, nous avions le composant logiciel enfichable MMC «Gestionnaire de configuration de bureau à distance» qui nous permettait d'accéder directement à l'écouteur RDP. Ici, nous pourrions lier un certificat à l'écouteur et à son tour, appliquer la sécurité SSL pour les sessions RDP.
Dans Windows 2012, nous n'avons plus ce composant logiciel enfichable MMC, ni nous avons un accès direct à l'écouteur RDP. Vous pouvez suivre les étapes ci-dessous pour configurer les certificats sous Windows 2012/2012 R2.
Ceci peut être réalisé de 2 manières:
Méthode 1: utiliser WMI
Les données de configuration de l'écouteur RDS sont stockées dans la classe ‘Win32_TSGeneralSetting’ dans WMI sous l’espace de noms ‘Root CimV2 TerminalServices’.
Le certificat de l'écouteur RDS est référencé via la valeur «Thumbprint» de ce certificat sur une propriété appelée «SSLCertificateSHA1Hash».
Cette valeur d'empreinte numérique est unique pour chaque certificat. Vous pouvez trouver la valeur en procédant comme suit:
1. Ouvrez la boîte de dialogue des propriétés de votre certificat et sélectionnez l'onglet Détails
2. Faites défiler jusqu'au champ Empreinte numérique et copiez la chaîne hexadécimale délimitée par des espaces dans quelque chose comme le Bloc-notes
Voici à quoi ressemblera l'empreinte numérique du certificat dans les propriétés du certificat:
Une fois que je l'ai copié dans le bloc-notes, il se présente comme suit:
Après avoir supprimé les espaces, il contiendra toujours le caractère ASCII invisible qui ne sera visible que dans l'invite de commande (ci-dessous):
Assurez-vous que ce caractère ASCII est supprimé avant d'exécuter la commande pour importer le certificat
3. Supprimez tous les espaces de la chaîne. (Gardez à l'esprit qu'il peut y avoir un caractère ACSII «invisible» qui est également copié. Ce n'est pas visible dans le Bloc-notes. La seule façon de valider serait de copier directement dans la fenêtre d'invite de commandes.)
4. Il s'agit de la valeur que vous devez définir dans WMI. Il devrait ressembler à ceci: 1ea1fd5b25b8c327be2c4e4852263efdb4d16af4.
Maintenant que vous avez la valeur d'empreinte numérique, voici une ligne unique que vous pouvez utiliser pour définir la valeur à l'aide de wmic:
wmic / namespace: \ root cimv2 TerminalServices PATH Win32_TSGeneralSetting Set SSLCertificateSHA1Hash = "THUMBPRINT"
Cette solution fonctionnerait également sur les systèmes Windows 7 et Windows 8.
Remarque: Le certificat que vous souhaitez utiliser doit être importé dans le magasin de certificats «personnel» pour le compte d'ordinateur, avant d'exécuter les commandes ci-dessus. Le non-respect de cette consigne entraînera une erreur «Paramètre non valide».
Option 2: modifications du registre
-
Installez un certificat d'authentification de serveur dans le magasin de certificats «personnel» à l'aide du compte d'ordinateur.
-
Créez la valeur de registre suivante contenant le hachage SHA1 du certificat pour configurer ce certificat personnalisé pour prendre en charge TLS au lieu d'utiliser le certificat auto-signé par défaut.
HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Control Terminal Server WinStations RDP-Tcp
Nom de la valeur: SSLCertificateSHA1Hash
Type de valeur: REG_BINARY
Données de valeur:
La valeur doit être l'empreinte numérique du certificat séparée par une virgule «,» et aucun espace vide. Par exemple, si vous deviez exporter cette clé de registre, la valeur SSLCertificateSHA1Hash ressemblerait à ceci:
"SSLCertificateSHA1Hash" = hex: 42,49, e1,6e, 0a, f0, a0,2e, 63, c4,5c, 93, fd, 52, ad, 09,27,82,1b, 01
3. Le service Remote Desktop Host Services s'exécute sous le compte NETWORK SERVICE. Par conséquent, il est nécessaire de définir l'ACL du fichier de clé utilisé par RDS (référencé par le certificat nommé dans la valeur de Registre SSLCertificateSHA1Hash) pour inclure NETWORK SERVICE avec les autorisations «Lecture». Pour modifier les autorisations, procédez comme suit:
Ouvrez le
Certificats
composant logiciel enfichable pour l'ordinateur local:
-
Cliquez sur
Début
, Cliquez sur
Courir
, tapez
mmc
et cliquez sur
D'accord
. -
Sur le
Fichier
menu, cliquez sur
Ajouter / supprimer un composant logiciel enfichable
. -
dans le
Ajouter ou supprimer des composants logiciels enfichables
dans la boîte de dialogue
Composants logiciels enfichables disponibles
liste, cliquez sur
Certificats
et cliquez sur
Ajouter
. -
dans le
Certificats
boîte de dialogue composant logiciel enfichable, cliquez sur
Compte d'ordinateur
et cliquez sur
Prochain
. -
dans le
Sélectionnez un ordinateur
boîte de dialogue, cliquez sur
Ordinateur local: (l'ordinateur sur lequel cette console fonctionne)
et cliquez sur
terminer
. -
dans le
Ajouter ou supprimer des composants logiciels enfichables
boîte de dialogue, cliquez sur
D'accord
. -
dans le
Certificats
composant logiciel enfichable, dans l'arborescence de la console, développez
Certificats (ordinateur local)
, développer
Personnel
et accédez au certificat SSL que vous souhaitez utiliser. -
Cliquez avec le bouton droit sur le certificat, sélectionnez
Toutes les tâches
et sélectionnez
Gérer les clés privées
. -
dans le
Autorisations
boîte de dialogue, cliquez sur
Ajouter,
type
SERVICE RÉSEAU
, Cliquez sur
D'ACCORD,
sélectionner
Lis
sous le
Autoriser
case à cocher, puis cliquez sur
D'accord
.
-Kiran
Articles relatifs:
Commentaires
Laisser un commentaire