Dieser Artikel wurde automatisch übersetzt. Die Übersetzung kann Ungenauigkeiten enthalten.
Zur englischen Originalversion wechseln.
Ctrlk
For the complete documentation index, see llms.txt. This page is also available as Markdown.

RDP-Serverzertifikat

Unter Verwendung der RdpServer Vorlage können Sie Computer und Server so konfigurieren, dass verwaltete Zertifikate verwendet werden, die Clients zur Verfügung gestellt werden, die über das Remote Desktop Protocol auf sie zugreifen.

1

Vorlagenobjekt in Active Directory erstellen

Während der Registrierung und Zuordnung des Zertifikats wird der SessionEnv Dienst die konfigurierte Zertifikatvorlage in Active Directory nachschlagen, selbst wenn die Zertifikatvorlage vom bereits konfigurierten CEP-Dienst von SCEPman verwendet werden soll. Um diese Suche zu erfüllen, erstellen wir ein leeres Zertifikatvorlagenobjekt am erwarteten Speicherort. Dafür sind Schreibberechtigungen für den Public-Key-Services-Container in der Gesamtstruktur erforderlich, beispielsweise mit der Rolle Enterprise Admin.

Für das Erstellen dieses Objekts ist ein Enterprise Admin erforderlich — sofern Sie dem Public-Key-Services-Container keine Berechtigungen für weitere Rollen zugewiesen haben.

$ConfigPath = (Get-ADRootDSE).configurationNamingContext
$TemplateContainer = "CN=Certificate Templates,CN=Public Key Services,CN=Services,$ConfigPath"
$Name = "SCEPmanRdpServer"

New-ADObject -Name $Name `
             -Type pKICertificateTemplate `
             -Path $TemplateContainer `
             -OtherAttributes @{
                "displayName" = $Name;
                "msPKI-Cert-Template-OID" = "1.3.6.1.4.1.311.21.8.$(Get-Random 9999999).$(Get-Random 9999999)";
                "msPKI-Template-Schema-Version" = 1;
                "msPKI-Template-Minor-Revision" = 1;
                "msPKI-RA-Signature" = 0;
                "flags" = 0
             }
2

Zertifikatvorlage in SCEPman aktivieren

Wie andere Zertifikatvorlagen kann auch diese konfiguriert werden, indem die folgenden Umgebungsvariablen dem SCEPman-App-Dienst hinzugefügt werden:

Einstellung
Wert
Beschreibung

AppConfig:ActiveDirectory:RdpServer:Enabled

wahr

Die Zertifikatvorlage aktivieren

AppConfig:ActiveDirectory:RdpServer:GroupFilter

Gruppen-SID

Optional: Nur Mitgliedern dieser Gruppe das Registrieren von Zertifikaten mit dieser Vorlage erlauben.

3

Gruppenrichtlinie konfigurieren

In einer Gruppenrichtlinie konfigurieren wir den Namen der Zertifikatvorlage und weisen die Computer außerdem an, während der Verbindungen eine bestimmte Sicherheitsebene zu erzwingen.

Speicherort der Einstellung im Gruppenrichtlinienverwaltungs-Editor (gpmc.msc)
Computerkonfiguration

└-Richtlinien
  └-Administrative Vorlagen
    └-Windows-Komponenten
      └-Remotedesktopdienste
        └-Remotedesktopsitzungshost
          └-Sicherheit
            └-Zertifikatvorlage für Serverauthentifizierung
            └-Verwendung einer bestimmten Sicherheitsebene für Remote (RDP)-Verbindungen erzwingen

Zertifikatvorlage für Serverauthentifizierung

Geben Sie den Namen der Zertifikatvorlage ein, die für die RDP-Serverauthentifizierung verwendet werden soll. Standardmäßig ist dies SCEPmanRdpServer.

Verwendung einer bestimmten Sicherheitsebene für Remote (RDP)-Verbindungen erzwingen

Wählen Sie hier SSL aus, um die Verwendung des verwendeten Zertifikats zu erzwingen.

Mit der vorhandenen Konfiguration wird der SessionEnv Dienst kann neu gestartet werden, um die Registrierung und Zuordnung des Zertifikats zu erzwingen.

Auf dem Computer selbst können Sie das verwendete Zertifikat bestätigen, indem Sie den folgenden Befehl ausführen:

(Get-CimInstance -Class Win32_TSGeneralSetting -Namespace root\cimv2\terminalservices -Filter "TerminalName='RDP-tcp'").SSLCertificateSHA1Hash

Dadurch wird der Fingerabdruck des aktiven RDP-Zertifikats ausgegeben.

Das Ereignisprotokoll zeigt außerdem, dass ein neues Zertifikat verwendet wurde:

Relevante Ereignisprotokolleinträge anzeigen
Get-WinEvent -LogName "System" | Where-Object { $_.ProviderName -eq "Microsoft-Windows-TerminalServices-RemoteConnectionManager" } | Select-Object -First 10 | Format-List Message, TimeCreated

Ein neues vorlagenbasiertes Zertifikat, das vom RD Session Host-Server für Transport Layer Security (TLS) 1.0\Secure Sockets Layer (SSL) Authentifizierung und Verschlüsselung verwendet werden soll, wurde installiert. Der Name dieses Zertifikats ist svr01.Conitoso.local. Der SHA1-Hash des Zertifikats wird in den Ereignisdaten bereitgestellt.

Zuletzt aktualisiert

War das hilfreich?