リモートデスクトップ接続にCA証明書を使用する

管理の必要性のために、リモートデスクトップ接続経由でWeb経由でリモートのWindows Server 2012 R2に接続しています。ADなどのない単一のWebおよびデータベースサーバーです。

リモートデスクトップサービス/ターミナルサーバーのことではなく、コントロールパネル>システム>リモート設定を介してアクティブ化されるシンプルなリモートデスクトップ機能だけです。サーバーは、自己署名証明書を自動的に作成して接続を暗号化し、リモートデスクトップ接続クライアントは、信頼できないCAによる証明書エラーを表示します。

このサーバーのFQDNに対して発行され、サーバー認証に有効なCA署名付き証明書を持っています（MSSQLサーバーのリモートアクセスに使用しています）。

RDP接続にもこれを使用したいと思います。これまで見つかったすべてのチュートリアル（この質問のような）では、リモートデスクトップサービスまたはターミナルサービスのプロセスについて説明しています。証明書を設定するコマンドを示すこの質問を見つけましたwmicが、自分が何をしているか正確にわからないときに値を設定してみたくありません。私が行ったことは、自動生成された自己署名もあるローカルコンピューターのリモートデスクトップ証明書にそれを追加することです。

それは可能ですか？はいの場合、何をしなければなりませんか？

ありがとう！

wmic証明書のprint印値を設定するために使用することについて言及していることがわかった質問は、追加の機能をインストールしなくても機能します。ここで、同様の質問をもう少し詳しく尋ねて答えました。また、wmicコマンドに相当するPowerShellもあります。ただし、ここでも説明を追加します。

既にこの証明書をMSSQL SSLに使用しているので、システム上の証明書ストアの1つに既にインストールされていると思います。MSSQLを実行しているサービスアカウントのコンテキストでインストールした場合は、「ローカルコンピューター」のパーソナルまたはリモートデスクトップストアにもインストールする必要があります。

いったんそれが入ったら、前の質問のコマンドのいずれかを使用して、それを指すようにSSLCertificateSHA1Hash値を更新する必要Win32_TSGeneralSettingがあります。

現在設定されている値を確認し、自己署名証明書と比較する場合は、wmicコマンドを次のように変更できます。これを使用して、設定しようとした新しいnew印値が正しいことを検証することもできます。

wmic /namespace:\\root\cimv2\TerminalServices PATH Win32_TSGeneralSetting Get SSLCertificateSHA1Hash

出力は次のようになります。

リモートデスクトップサービス/ターミナルサービスに関するガイドは、デフォルトのRDPサービスを実行しているサーバーにも適用できます。これは、同じサービスのより限定されたインスタンスです。

これらのガイドから欠落しているのは、サービスを管理するツールです。サービスを管理できるように、リモートデスクトップサービスの役割管理ツールをインストールする必要があります。

Install-WindowsFeature -Name RSAT-RDS-Tools