Windows 10 Pro als RDP-Host mit SSL-Zertifikat. Wie?

Question 1

Auf dem Client gelten dieselben Regeln. Sie müssen der RDS-Konfiguration ein Zertifikat zuweisen. Beispielsweise mit PowerShell:

$path = (Get-WmiObject -class "Win32_TSGeneralSetting" -Namespace root\cimv2\terminalservices -Filter "TerminalName='RDP-tcp'").__path
Set-WmiInstance -Path $path -argument @{SSLCertificateSHA1Hash="THUMBPRINT"}

wo THUMBPRINTsich ein Fingerabdruck Ihres Zertifikats befindet. Diese Befehle müssen in einer Shell mit erhöhten Rechten ausgeführt werden.

Answer

Auf dem Client gelten dieselben Regeln. Sie müssen der RDS-Konfiguration ein Zertifikat zuweisen. Beispielsweise mit PowerShell:

$path = (Get-WmiObject -class "Win32_TSGeneralSetting" -Namespace root\cimv2\terminalservices -Filter "TerminalName='RDP-tcp'").__path
Set-WmiInstance -Path $path -argument @{SSLCertificateSHA1Hash="THUMBPRINT"}

wo THUMBPRINTsich ein Fingerabdruck Ihres Zertifikats befindet. Diese Befehle müssen in einer Shell mit erhöhten Rechten ausgeführt werden.

Question 2

Windows 11 Pro – Einrichten des Remotedesktop-SSL-Zertifikats

Basierend auf Artikeln:Remotedesktop-Listener-ZertifikatkonfigurationenUndRdpsign

Kaufenremote.example.com RapidSSL® DV-Zertifikatangetrieben vonDigicert®ausSSL-Speicher

VerwendenOpenSSLgenerierenPrivater RSA-SchlüsselundZertifikatsignieranforderungfürremote.example.com

openssl req -new -newkey rsa:4096 -nodes \
-out /home/user1/remote_example_com_csr.txt \
-keyout /home/user1/remote_example_com.key \
-subj "/C=US/ST=Utah/L=Salt Lake City/O=Example, Inc./CN=remote.example.com"

VerwendenZertifikatsignieranforderungremote_example_com_csr.txtzu generierende DateiSSL-ZertifikatbeiSSL-Speicher
Domänenbesitz bestätigenmithilfe von DNS-Einträgen:

2.1 ErstellenAAufzeichnen, woGastgeber=remote.beispiel.comUndWert=YOUR_PUBLIC_IPV4_ADDRESS

2.2 ErstellenTXTAufzeichnen, woGastgeber= remoteundWert= hs8s67k8g2y57ptjtt34rfhn0wl7ys6f. Dies wird bereitgestellt durchSSL-Speicherzur DNS-basierten Domänenverifizierung.

VerwendenOpenSSLZuSSL-Zertifikate kombinierenin einPKCS Nr. 12Datei.

openssl pkcs12 -export \
-out /home/user1/remote_example_com.pfx \
-inkey /home/user1/remote_example_com.key \
-in /home/user1/remote_example_com.crt \
-certfile /home/user1/certificate.bundle

Notiz: Sie werden aufgefordert, ein Export-/Importkennwort einzugeben. Dieses Feld kann leer gelassen werden, sollte es aber aus offensichtlichen Gründen NICHT leer gelassen werden.

Enter Export Password:
Verifying - Enter Export Password:

Datei remote_example_com.pfxistan einem sicheren Ort gespeichert.
certlm.mscZum Importieren verwendenPCKS Nr. 12Datei inpersönlich>Zertifikatspeichern.

Notiz: Bevor Sie die wmicBefehle ausführen, das Zertifikat, das Sie verwenden möchtenmuss seinimportiert in diePersönlicher Zertifikatsspeicher der lokalen Maschine. Wenn Sie das Zertifikat nicht importieren, erhalten Sie eineUngültiger ParameterFehler.
Startmenü > Geben Sie ein certlm.mscund drücken Sie die Eingabetaste.
Navigieren Sie zu „Persönlich“ > „Zertifikatsspeicher“.
Klicken Sie mit der rechten Maustaste auf „Alle Aufgaben“ > „Importieren …“.
Folgen Sie dem Assistenten, um das SSL-Zertifikat zu importieren.
Doppelklicken Sie auf SSL-Zertifikat, klicken Sie aufEinzelheitenRegisterkarte, um das Zertifikat zu findenDaumenabdruckFeld.
Kopieren Sie den Fingerabdruck in den Notizblock.
```
b363f15095137d374f78d11913a186c5c3ddd44c
```
Verwenden vonEingabeaufforderungalsAdministratorführen Sie den folgenden wmicBefehl zusammen mit dem Fingerabdruckwert aus, den Sie in Schritt 13 erhalten haben.
```
wmic /namespace:\\root\cimv2\TerminalServices PATH Win32_TSGeneralSetting Set SSLCertificateSHA1Hash="b363f15095137d374f78d11913a186c5c3ddd44c"
```

Bei Erfolg wird die folgende Ausgabe angezeigt.

Updating property(s) of...
Property(s) update successful.

Remote Desktop Protocol-Datei (.rdp)

Basierend auf Artikel:Unterstützte Remotedesktop-RDP-Dateieinstellungen

Basierend auf Artikel:mtsc

Erstellt Verbindungen zu Remotedesktop-Sitzungshostservern oder anderen Remotecomputern und bearbeitet eine vorhandene Remotedesktopverbindungs-Konfigurationsdatei (.rdp).

Zum Öffnen neuerRemotedesktopverbindung zum Bearbeiten:

mstsc

So stellen Sie eine Verbindung über die Befehlszeile herdirekt aufHafen 25301

mstsc /v:remote.example.com:25301

Notiz: Im Allgemeinen erlaubt Ihr DNS-Hosting-Anbieter nicht, benutzerdefinierte Ports mit dem DNS festzulegenADatensatz erstellt für remote.example.com. Um diese Einschränkung zu beheben,Port-Weiterleitungist eingerichtet in IhremWLAN router.

Siehe WikipediaListe der TCP- und UDP-Portnummernum sicherzustellen, dass Sie Wählen Sie einen Port, der nicht in Konflikt gerätmit jedem vorhandenen Dienst.Verwenden Sie NICHT den Standardport 3389als externer Port.

So bearbeiten Sie vorhandene remote_example_com.rdpDatei

mstsc /edit remote_example_com.rdp

RDP-Signierung

Basierend auf Artikel:Rdpsign

Signieren Sie eine Remote Desktop Protocol- .rdpDatei digital.

rdpsign /sha256 f6f6622c5f0a8ad0b7fabf0f37e32bc4922172fb remote_example_com.rdp

Der Hashwert stellt den Fingerabdruck des SHA1-Zertifikats ohne Leerzeichen dar.

Answer

Windows 11 Pro – Einrichten des Remotedesktop-SSL-Zertifikats

Basierend auf Artikeln:Remotedesktop-Listener-ZertifikatkonfigurationenUndRdpsign

Kaufenremote.example.com RapidSSL® DV-Zertifikatangetrieben vonDigicert®ausSSL-Speicher

VerwendenOpenSSLgenerierenPrivater RSA-SchlüsselundZertifikatsignieranforderungfürremote.example.com

openssl req -new -newkey rsa:4096 -nodes \
-out /home/user1/remote_example_com_csr.txt \
-keyout /home/user1/remote_example_com.key \
-subj "/C=US/ST=Utah/L=Salt Lake City/O=Example, Inc./CN=remote.example.com"

VerwendenZertifikatsignieranforderungremote_example_com_csr.txtzu generierende DateiSSL-ZertifikatbeiSSL-Speicher
Domänenbesitz bestätigenmithilfe von DNS-Einträgen:

2.1 ErstellenAAufzeichnen, woGastgeber=remote.beispiel.comUndWert=YOUR_PUBLIC_IPV4_ADDRESS

2.2 ErstellenTXTAufzeichnen, woGastgeber= remoteundWert= hs8s67k8g2y57ptjtt34rfhn0wl7ys6f. Dies wird bereitgestellt durchSSL-Speicherzur DNS-basierten Domänenverifizierung.

VerwendenOpenSSLZuSSL-Zertifikate kombinierenin einPKCS Nr. 12Datei.

openssl pkcs12 -export \
-out /home/user1/remote_example_com.pfx \
-inkey /home/user1/remote_example_com.key \
-in /home/user1/remote_example_com.crt \
-certfile /home/user1/certificate.bundle

Notiz: Sie werden aufgefordert, ein Export-/Importkennwort einzugeben. Dieses Feld kann leer gelassen werden, sollte es aber aus offensichtlichen Gründen NICHT leer gelassen werden.

Enter Export Password:
Verifying - Enter Export Password:

Datei remote_example_com.pfxistan einem sicheren Ort gespeichert.
certlm.mscZum Importieren verwendenPCKS Nr. 12Datei inpersönlich>Zertifikatspeichern.

Notiz: Bevor Sie die wmicBefehle ausführen, das Zertifikat, das Sie verwenden möchtenmuss seinimportiert in diePersönlicher Zertifikatsspeicher der lokalen Maschine. Wenn Sie das Zertifikat nicht importieren, erhalten Sie eineUngültiger ParameterFehler.
Startmenü > Geben Sie ein certlm.mscund drücken Sie die Eingabetaste.
Navigieren Sie zu „Persönlich“ > „Zertifikatsspeicher“.
Klicken Sie mit der rechten Maustaste auf „Alle Aufgaben“ > „Importieren …“.
Folgen Sie dem Assistenten, um das SSL-Zertifikat zu importieren.
Doppelklicken Sie auf SSL-Zertifikat, klicken Sie aufEinzelheitenRegisterkarte, um das Zertifikat zu findenDaumenabdruckFeld.
Kopieren Sie den Fingerabdruck in den Notizblock.
```
b363f15095137d374f78d11913a186c5c3ddd44c
```
Verwenden vonEingabeaufforderungalsAdministratorführen Sie den folgenden wmicBefehl zusammen mit dem Fingerabdruckwert aus, den Sie in Schritt 13 erhalten haben.
```
wmic /namespace:\\root\cimv2\TerminalServices PATH Win32_TSGeneralSetting Set SSLCertificateSHA1Hash="b363f15095137d374f78d11913a186c5c3ddd44c"
```

Bei Erfolg wird die folgende Ausgabe angezeigt.

Updating property(s) of...
Property(s) update successful.

Remote Desktop Protocol-Datei (.rdp)

Basierend auf Artikel:Unterstützte Remotedesktop-RDP-Dateieinstellungen

Basierend auf Artikel:mtsc

Erstellt Verbindungen zu Remotedesktop-Sitzungshostservern oder anderen Remotecomputern und bearbeitet eine vorhandene Remotedesktopverbindungs-Konfigurationsdatei (.rdp).

Zum Öffnen neuerRemotedesktopverbindung zum Bearbeiten:

mstsc

So stellen Sie eine Verbindung über die Befehlszeile herdirekt aufHafen 25301

mstsc /v:remote.example.com:25301

Notiz: Im Allgemeinen erlaubt Ihr DNS-Hosting-Anbieter nicht, benutzerdefinierte Ports mit dem DNS festzulegenADatensatz erstellt für remote.example.com. Um diese Einschränkung zu beheben,Port-Weiterleitungist eingerichtet in IhremWLAN router.

Siehe WikipediaListe der TCP- und UDP-Portnummernum sicherzustellen, dass Sie Wählen Sie einen Port, der nicht in Konflikt gerätmit jedem vorhandenen Dienst.Verwenden Sie NICHT den Standardport 3389als externer Port.

So bearbeiten Sie vorhandene remote_example_com.rdpDatei

mstsc /edit remote_example_com.rdp

RDP-Signierung

Basierend auf Artikel:Rdpsign

Signieren Sie eine Remote Desktop Protocol- .rdpDatei digital.

rdpsign /sha256 f6f6622c5f0a8ad0b7fabf0f37e32bc4922172fb remote_example_com.rdp

Der Hashwert stellt den Fingerabdruck des SHA1-Zertifikats ohne Leerzeichen dar.

Windows 10 Pro als RDP-Host mit SSL-Zertifikat. Wie?

Antwort1

Antwort2

Windows 11 Pro – Einrichten des Remotedesktop-SSL-Zertifikats

Basierend auf Artikeln:Remotedesktop-Listener-ZertifikatkonfigurationenUndRdpsign

Remote Desktop Protocol-Datei (.rdp)

Basierend auf Artikel:Unterstützte Remotedesktop-RDP-Dateieinstellungen

Basierend auf Artikel:mtsc

RDP-Signierung

Basierend auf Artikel:Rdpsign

verwandte Informationen