TS: Проверка и ручная замена сертификата службы терминалов

15 август 2022, Понедельник
611
0
0 0
В Windows Server 2003, 2008, 2008R2 использовалась MMC оснастка: диспетчер конфигурации удаленного рабочего стола (Remote Desktop Session Host Configuration), которая позволяла получать доступ к параметрам RDP-listener. В этой оснастке можно было через графический интерфейс управлять различными параметрами и, в том числе, сертификатом службы терминалов. Начиная с Windows Server 2012 этой оснастки уже нет, теперь, просмотр и управление параметрами службы терминалов (Terminal Services) сервера возможно через PowerShell, через GPO или через реестр. Ниже описан порядок действий для определения текущего отпечатка (Thumbprint) сертификата службы терминалов и порядок действий для замены сертификата службы терминалов.

Определение отпечатка службы терминалов

Для определения отпечатка службы терминалов можно использовать следующие способы: 
Через PowerShell:
Get-WmiObject "Win32_TSGeneralSetting" -Namespace root\cimv2\terminalservices -Filter "TerminalName='RDP-tcp'"

Через редактор реестра Regedit: информация о том, в какой сертификат используется службой терминалов можно получить в ветке реестра: 
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp

Искомая информация об отпечатке сертификата службы терминалов, хранится в параметре: SSLCertificateSHA1Hash.

При определении действующего Thumbprint сертификата службы терминалов, также стоит обратить внимание на значение параметра: SSLCertificateSHA1HashType. По этому параметру можно определить источник появления этого сертификата.

ЗначениеОписание значения
0 (0x0)Недопустимо
1 (0x1)Самозаверяющий по умолчанию
2 (0x2)Принудительное применение групповой политики по умолчанию
3 (0x3)Другой


Замена сертификата службы терминалов

Для замены сертификата службы терминалов, необходимо:
1. Установить сертификат в локальное хранилище сертификатов компьютера, на котором необходимо заменить сертификат
2. Получить Thumbprint установленных сертификатов, например, через командлет ниже, и выбрать среди них нужный
Get-ChildItem "Cert:\LocalMachine\my"
3. Заменить текущий сертификат службы терминалов, через командлет запущенный от имени администратора:
wmic /namespace:\\root\cimv2\TerminalServices PATH Win32_TSGeneralSetting Set SSLCertificateSHA1Hash="<Thumbprint сертификата из шага 2>"
4. Проверить корректность установки сертификата:
Get-WmiObject "Win32_TSGeneralSetting" -Namespace root\cimv2\terminalservices -Filter "TerminalName='RDP-tcp'"


Выше описанные шаги могут помочь в диагностике проблем с RDP подключениями, либо при ручной замене сертификатов службы терминалов.
Комментарии:
Прокомментировать
При использовании материалов ссылка на сайт UserMan.ru обязательна.
Политика конфиденциальности
Пользовательское соглашение
UserMan.ru © 2017-2022
Соцсети: VK