TS: Проверка и ручная замена сертификата службы терминалов
В Windows Server 2003, 2008, 2008R2 использовалась MMC оснастка: диспетчер конфигурации удаленного рабочего стола (Remote Desktop Session Host Configuration), которая позволяла получать доступ к параметрам RDP-listener. В этой оснастке можно было через графический интерфейс управлять различными параметрами и, в том числе, сертификатом службы терминалов. Начиная с Windows Server 2012 этой оснастки уже нет, теперь, просмотр и управление параметрами службы терминалов (Terminal Services) сервера возможно через PowerShell, через GPO или через реестр. Ниже описан порядок действий для определения текущего отпечатка (Thumbprint) сертификата службы терминалов и порядок действий для замены сертификата службы терминалов.
Через PowerShell:
Через редактор реестра Regedit: информация о том, в какой сертификат используется службой терминалов можно получить в ветке реестра:
Искомая информация об отпечатке сертификата службы терминалов, хранится в параметре: SSLCertificateSHA1Hash.
При определении действующего Thumbprint сертификата службы терминалов, также стоит обратить внимание на значение параметра: SSLCertificateSHA1HashType. По этому параметру можно определить источник появления этого сертификата.
1. Установить сертификат в локальное хранилище сертификатов компьютера, на котором необходимо заменить сертификат
2. Получить Thumbprint установленных сертификатов, например, через командлет ниже, и выбрать среди них нужный
Выше описанные шаги могут помочь в диагностике проблем с RDP подключениями, либо при ручной замене сертификатов службы терминалов.
Определение отпечатка службы терминалов
Для определения отпечатка службы терминалов можно использовать следующие способы:Через PowerShell:
Get-WmiObject "Win32_TSGeneralSetting" -Namespace root\cimv2\terminalservices -Filter "TerminalName='RDP-tcp'"Через редактор реестра Regedit: информация о том, в какой сертификат используется службой терминалов можно получить в ветке реестра:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-TcpИскомая информация об отпечатке сертификата службы терминалов, хранится в параметре: SSLCertificateSHA1Hash.
При определении действующего Thumbprint сертификата службы терминалов, также стоит обратить внимание на значение параметра: SSLCertificateSHA1HashType. По этому параметру можно определить источник появления этого сертификата.
| Значение | Описание значения |
| 0 (0x0) | Недопустимо |
| 1 (0x1) | Самозаверяющий по умолчанию |
| 2 (0x2) | Принудительное применение групповой политики по умолчанию |
| 3 (0x3) | Другой |
Замена сертификата службы терминалов
Для замены сертификата службы терминалов, необходимо:1. Установить сертификат в локальное хранилище сертификатов компьютера, на котором необходимо заменить сертификат
2. Получить Thumbprint установленных сертификатов, например, через командлет ниже, и выбрать среди них нужный
Get-ChildItem "Cert:\LocalMachine\my"wmic /namespace:\\root\cimv2\TerminalServices PATH Win32_TSGeneralSetting Set SSLCertificateSHA1Hash="<Thumbprint сертификата из шага 2>"Get-WmiObject "Win32_TSGeneralSetting" -Namespace root\cimv2\terminalservices -Filter "TerminalName='RDP-tcp'"Выше описанные шаги могут помочь в диагностике проблем с RDP подключениями, либо при ручной замене сертификатов службы терминалов.
Похожие статьи:
16 август 2022, Вторник
TS: Ошибка при проверки подлинности 0x607
18 апрель 2022, Понедельник
Обновление сертификата на подчиненном центре сертификации
01 июль 2020, Среда
Управление службой времени Windows (W32tm)
20 август 2018, Понедельник
Как изменить порт RDP подключения
13 декабрь 2017, Среда
Как сбросить пароль root для MySQL в среде Windows
Комментарии: