For the complete documentation index, see llms.txt. This page is also available as Markdown.

Certificat serveur RDP

En utilisant le RdpServer modèle, vous pouvez configurer des ordinateurs et des serveurs pour qu’ils utilisent des certificats gérés fournis aux clients qui y accèdent via le protocole Bureau à distance.

1

Créer l’objet de modèle dans Active Directory

Lors de l’inscription et de l’association du certificat, le SessionEnv service recherchera le modèle de certificat configuré dans Active Directory, même si le modèle de certificat doit être utilisé à partir du service CEP déjà configuré de SCEPman. Pour satisfaire cette recherche, nous allons créer un objet de modèle de certificat vide à l’emplacement attendu. Cela nécessite des autorisations d’écriture sur le conteneur Services de clés publiques dans la forêt, par exemple avec le rôle Administrateur de l’entreprise.

Un Administrateur de l’entreprise est requis pour effectuer cette création d’objet — sauf si vous avez attribué des autorisations à d’autres rôles sur le conteneur Services de clés publiques.

$ConfigPath = (Get-ADRootDSE).configurationNamingContext
$TemplateContainer = "CN=Certificate Templates,CN=Public Key Services,CN=Services,$ConfigPath"
$Name = "SCEPmanRdpServer"

New-ADObject -Name $Name `
             -Type pKICertificateTemplate `
             -Path $TemplateContainer `
             -OtherAttributes @{
                "displayName" = $Name;
                "msPKI-Cert-Template-OID" = "1.3.6.1.4.1.311.21.8.$(Get-Random 9999999).$(Get-Random 9999999)";
                "msPKI-Template-Schema-Version" = 1;
                "msPKI-Template-Minor-Revision" = 1;
                "msPKI-RA-Signature" = 0;
                "flags" = 0
             }
2

Activer le modèle de certificat dans SCEPman

Comme pour les autres modèles de certificat, celui-ci peut être configuré en ajoutant les variables d’environnement suivantes au service d’application SCEPman :

Paramètre
Valeur
Description

AppConfig:ActiveDirectory:RdpServer:Enabled

vrai

Activer le modèle de certificat

AppConfig:ActiveDirectory:RdpServer:GroupFilter

SID du groupe

Facultatif : autoriser uniquement les membres de ce groupe à inscrire des certificats à l’aide de ce modèle.

3

Configurer la stratégie de groupe

Dans une stratégie de groupe, nous configurons le nom du modèle de certificat et demandons également aux machines d’imposer une couche de sécurité spécifique lors des connexions.

Emplacement du paramètre dans l’Éditeur de gestion des stratégies de groupe (gpmc.msc)
Configuration de l’ordinateur

└-Stratégies
  └-Modèles d’administration
    └-Composants Windows
      └-Services Bureau à distance
        └-Hôte de session Bureau à distance
          └-Sécurité
            └-Modèle de certificat d’authentification du serveur
            └-Exiger l’utilisation d’une couche de sécurité spécifique pour les connexions à distance (RDP)

Modèle de certificat d’authentification du serveur

Entrez le nom du modèle de certificat à utiliser pour l’authentification du serveur RDP. Par défaut, il s’agit de SCEPmanRdpServer.

Exiger l’utilisation d’une couche de sécurité spécifique pour les connexions à distance (RDP)

Sélectionnez SSL ici pour imposer l’utilisation du certificat utilisé.

Une fois la configuration en place, le SessionEnv service peut être redémarré pour appliquer l’inscription et l’association du certificat.

Sur l’ordinateur lui-même, vous pouvez confirmer le certificat utilisé en exécutant la commande suivante :

(Get-CimInstance -Class Win32_TSGeneralSetting -Namespace root\cimv2\terminalservices -Filter "TerminalName='RDP-tcp'").SSLCertificateSHA1Hash

Cela affichera l’empreinte du certificat RDP actif.

Le journal des événements indiquera également qu’un nouveau certificat a été utilisé :

Afficher les entrées de journal des événements pertinentes
Get-WinEvent -LogName "System" | Where-Object { $_.ProviderName -eq "Microsoft-Windows-TerminalServices-RemoteConnectionManager" } | Select-Object -First 10 | Format-List Message, TimeCreated

Un nouveau certificat basé sur un modèle, à utiliser par le serveur Hôte de session RD pour l’authentification et le chiffrement via Transport Layer Security (TLS) 1.0\Secure Sockets Layer (SSL), a été installé. Le nom de ce certificat est svr01.Conitoso.local. Le hachage SHA1 du certificat est fourni dans les données de l’événement.

Mis à jour

Ce contenu vous a-t-il été utile ?