Настроить собственный SSL-сертификат для RDP на Windows Server 2012 в режиме удаленного администрирования?

Question

Настроить собственный SSL-сертификат для RDP на Windows Server 2012 в режиме удаленного администрирования?

Таким образом, в выпуске Windows Server 2012 было удалено множество старых утилит настройки, связанных с удаленным рабочим столом. В частности, больше не существует утилиты " Конфигурация узла сеанса удаленного рабочего стола", которая давала бы вам доступ к диалоговому окну свойств RDP-Tcp, позволяющему настроить настраиваемый сертификат для использования RDSH. На его месте новый приятный консолидированный графический интерфейс, который является частью общего рабочего процесса "редактирования свойств развертывания" в новом диспетчере сервера. Суть в том, что вы получаете доступ к этому рабочему процессу, только если у вас установлена роль Службы удаленных рабочих столов (насколько я могу судить).

Это похоже на недосмотр со стороны Microsoft. Как настроить настраиваемый сертификат SSL для RDP в Windows Server 2012, когда он работает в режиме удаленного администрирования по умолчанию, без необходимости устанавливать роль служб удаленных рабочих столов?

59

ssl windows-server-2012 rdp remote-desktop-services

Источник

Ryan Bolger 01 ноя '12 в 07:15

3 ответа

Решение

Если вы получаете "Неверный параметр" при попытке решения Райана, убедитесь, что вы используете командную строку с повышенными правами (запуск от имени администратора).

5

Источник

David Literak 27 фев '18 в 21:32

Есть ли способ заставить сервер принудительно использовать действующий сертификат клиента? Похоже, я могу выбрать из клиента RDP игнорировать недействительные сертификаты. Я хочу, чтобы клиент не смог подключиться, если сертификат недействителен.

0

Источник

Progger 25 апр '17 в 03:14

Тебе нужен твой domain.pfx & отпечаток пальца в текстовом файле SSLCertificateSHA1Hash.txt,

Затем запустите это в CMD:

pushd %~dp0
cls
::FreeSoftwareServers.com

certutil.exe -p "" -importpfx "%~dp0domain.pfx"
set /p FingerPrint=<"%~dp0SSLCertificateSHA1Hash.txt"
wmic /namespace:\\root\CIMV2\TerminalServices PATH Win32_TSGeneralSetting Set SSLCertificateSHA1Hash="%FingerPrint%"
icacls.exe "C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys\*" /grant "NETWORK SERVICE":R
shutdown /r /t 5

0

Источник

FreeSoftwareServers 29 авг '19 в 03:56

Другие вопросы по тегам ssl windows-server-2012 rdp remote-desktop-services

Ryan Bolger 01 ноя '12 в 07:15 2012-11-01 07:15 · Accepted Answer · 2012-11-01 07:15

Оказывается, что большая часть данных конфигурации для RDSH хранится в Win32_TSGeneralSetting класс в WMI в root\cimv2\TerminalServices Пространство имен. На настроенный сертификат для данного соединения ссылается значение Thumbprint этого сертификата в свойстве с именем SSLCertificateSHA1Hash,

ОБНОВЛЕНИЕ: Вот обобщенное решение Powershell, которое захватывает и устанавливает отпечаток первого сертификата SSL в персональном хранилище компьютера. Если ваша система имеет несколько сертификатов, вы должны добавить -Filter вариант к gci Команда, чтобы убедиться, что вы ссылаетесь на правильный сертификат. Я оставил свой оригинальный ответ без изменений ниже для справки.

# get a reference to the config instance
$tsgs = gwmi -class "Win32_TSGeneralSetting" -Namespace root\cimv2\terminalservices -Filter "TerminalName='RDP-tcp'"

# grab the thumbprint of the first SSL cert in the computer store
$thumb = (gci -path cert:/LocalMachine/My | select -first 1).Thumbprint

# set the new thumbprint value
swmi -path $tsgs.__path -argument @{SSLCertificateSHA1Hash="$thumb"}

Для того, чтобы получить значение отпечатка

Откройте диалоговое окно свойств для вашего сертификата и выберите вкладку Подробнее
Прокрутите вниз до поля "Отпечаток" и скопируйте шестнадцатеричную строку, разделенную пробелом, в блокнот
Удалите все пробелы из строки. Вы также захотите следить и удалять не-ascii-символы, которые иногда копируются непосредственно перед первым символом в строке. Это не видно в блокноте.
Это значение, которое вам нужно установить в WMI. Это должно выглядеть примерно так: 1ea1fd5b25b8c327be2c4e4852263efdb4d16af4.

Теперь, когда у вас есть значение отпечатка, вот одна строка, которую вы можете использовать для установки значения с помощью wmic:

wmic /namespace:\\root\cimv2\TerminalServices PATH Win32_TSGeneralSetting Set SSLCertificateSHA1Hash="THUMBPRINT"

Или, если PowerShell - ваша вещь, вы можете использовать это вместо:

$path = (Get-WmiObject -class "Win32_TSGeneralSetting" -Namespace root\cimv2\terminalservices -Filter "TerminalName='RDP-tcp'").__path
Set-WmiInstance -Path $path -argument @{SSLCertificateSHA1Hash="THUMBPRINT"}

Примечание: сертификат должен находиться в "Персональном" хранилище сертификатов для учетной записи компьютера.