Usar um certificado de autenticação de servidor personalizado para TLS

edjcav
Site Admin
Mensagens: 54
Registrado em: 26 Jan 2021 20:41

Usar um certificado de autenticação de servidor personalizado para TLS

Mensagem por edjcav »

Instale um certificado de autenticação de servidor de uma autoridade de certificação.

1. Execute o comando no CMD ou PowerShell:

Código: Selecionar todos

wmic /namespace:\\root\cimv2\TerminalServices PATH Win32_TSGeneralSetting Set SSLCertificateSHA1Hash="THUMBPRINT"
2. Crie o seguinte valor de registro que contém o hash SHA1 do certificado para configurar esse certificado personalizado para dar suporte ao TLS em vez de usar o certificado autoassinado padrão.
  • Localização: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp
  • Nome do valor: SSLCertificateSHA1Hash
  • Tipo de valor: REG_BINARY
  • Dados de valor: <impressão digital do certificado>
O valor deve ser a impressão digital do certificado separado por vírgula (,) e nenhum espaço vazio. Por exemplo, se você fosse exportar essa chave do Registro, o valor SSLCertificateSHA1Hash teria esta aparência:

SSLCertificateSHA1Hash=hex:42,49,e1,6e,0a,f0,a0,2e,63,c4,5c,93,fd,52,ad,09,27,82,1b,01

É necessário editar o registro diretamente porque não há nenhuma interface do usuário em SKUs de cliente do Windows para configurar um certificado do servidor.

3. O serviço Serviços de Host da Área de Trabalho Remota é executado na conta NETWORK SERVICE. Portanto, é necessário definir a ACL do arquivo de chave usado pelo RDS (referenciado pelo certificado nomeado no valor do registro SSLCertificateSHA1Hash) para incluir NETWORK SERVICE com permissões de leitura. Para modificar as permissões, siga estas etapas:

Abra o snap-in Certificados para o computador local:
  • Clique em Iniciar, clique em Executar, digite mmc e clique em OK.
  • No menu Arquivo, clique em Adicionar/Remover Snap-in.
  • Na caixa de diálogo Adicionar ou Remover Snap-ins , na lista de snap-ins disponíveis, clique em Certificados e clique em Adicionar.
  • Na caixa de diálogo Snap-in Certificados, clique em Conta de computador e clique em Avançar.
  • Na caixa de diálogo Selecionar Computador, clique em Computador local: (o computador em que este console está sendo executado) e clique em Concluir.
  • Na caixa de diálogo Adicionar ou Remover Snap-ins , clique em OK.
  • No snap-in Certificados , na árvore de console, expanda Certificados (Computador Local), expanda Pessoal e navegue até o certificado SSL que você deseja usar.
  • Clique com o botão direito do mouse no certificado, selecione Todas as Tarefas e selecione Gerenciar Chaves Privadas.
  • Na caixa de diálogo Permissões, clique em Adicionar, digite NETWORK SERVICE, clique em OK, selecione Ler na caixa de seleção Permitir e clique em OK.

Fonte: https://learn.microsoft.com/pt-br/troub ... mendations
Responder