Сервер Windows: Використання надійних сертифікатів зі службами віддаленого робочого стола

Summary: У цій статті описано, як настроїти служби віддалених робочих столів (RDS) на використання довіреного сертифіката від стороннього центру сертифікації (CA).

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Деякі компоненти RDS можуть використовувати сертифікати для забезпечення безпечного зв'язку. Можна використовувати самопідписані сертифікати, але їх потрібно вручну встановити на клієнти, щоб викликати довіру. Сертифікати, видані довіреним центром сертифікації, автоматично довіряються клієнтам, але налаштувати RDS для використання цих сертифікатів не так просто з двох причин:

  • У рамках RDS немає інтегрованого механізму створення запиту на підписання сертифіката (CSR).
  • Сертифікат, отриманий від ЦС, має бути прив'язаний до його закритого ключа, перш ніж RDS зможе його використовувати.

У цій статті описано, як створити CSR, використовувати виданий сертифікат для завершення CSR і настроїти RDS для використання сертифіката.

Згенеруйте CSR та надішліть його до ЦС.

Примітка: У наведених нижче кроках для створення та заповнення CSR використовується диспетчер інформаційних служб Інтернету (IIS). У більшості розгортань RDS компоненти IIS інстальовано принаймні на одному сервері для використання веб-доступом до віддаленого робочого стола. Диспетчер IIS надає графічний інтерфейс для виконання цих кроків, але існують інші способи їх виконання, наприклад certreq команда.
  1. Запустіть диспетчер інформаційних служб Інтернету (IIS) із меню Знаряддя диспетчера серверів.
  2. Виберіть сервер на лівій панелі та двічі клацніть «Сертифікати сервера » на середній панелі.
  3. У меню «Дії» виберіть «Створити запит на сертифікат».
    Знімок екрана сертифікатів сервера в диспетчері IIS з виділеним посиланням Малюнок 1: Натисніть «Створити запит на сертифікат », щоб розпочати процес створення CSR.
  4. Надайте запитувану інформацію майстру КСВ.
  5. Укажіть ім'я файлу та шлях до файлу CSR і натисніть Готово.
    Діалогове вікно з пропозицією ввести ім'я файлу та шлях для CSR 
    Малюнок 2: Укажіть ім'я файлу та шлях до запиту сертифіката.
  6. Надішліть КСВ до ЦС. Процедура це не може бути задокументована тут, оскільки це залежить від ЦС.

 

Завантажте сертифікат, заповніть CSR та експортуйте його.

Примітка: Сертифікат, виданий ЦС, швидше за все, матиме .cer або .crt розширення, але RDS вимагає .pfx файл. Щоб перетворити виданий сертифікат на .pfx , прив'яжіть його до приватного ключа, виконавши наступні дії. Для виконання цих дій тут знову використовується диспетчер IIS, але є й інші методи.
  1. Завантажте сертифікат, виданий ЦС у відповідь на КСВ.
  2. Запустіть диспетчер IIS і поверніться до розділу «Сертифікати сервера ».
  3. Натисніть Завершити запит на сертифікат.
    Знімок екрана сертифікатів сервера в диспетчері IIS з виділеним посиланням Малюнок 3: Натисніть «Завершити запит на сертифікат», щоб завершити CSR за допомогою сертифіката, виданого центром сертифікації.
  4. Укажіть шлях та ім'я файлу сертифіката, його зрозуміле ім'я та сховище сертифікатів, де він має зберігатися. Доброзичливе ім'я може бути будь-яким, і перевага віддається персональному магазину. Натисніть кнопку «OK». Це пов'язує сертифікат із закритим ключем, який було створено разом із CSR.
    Діалогове вікно із запитом шляху до сертифіката, виданого центром сертифікації, його дружнього імені та сховища сертифікатів, яке міститиме його 
    Малюнок 4: Вкажіть шлях до сертифіката, його зрозумілу назву та сховище сертифікатів.
  5. Двічі клацніть сертифікат. Підтвердьте наявність відповідного закритого ключа та натисніть OK.
    Властивості сертифіката, що показують, що існує відповідний закритий ключ 
    Малюнок 5: Властивості сертифіката, що вказують на наявність його закритого ключа
  6. Вибравши сертифікат, натисніть Експортувати.
    Знімок екрана сертифікатів сервера в диспетчері IIS з виділеним посиланням Малюнок 6: Натисніть Експортувати , щоб експортувати сертифікат і його закритий ключ. 
  7. Укажіть ім'я файлу та шлях до експортованого сертифіката. Укажіть пароль і підтвердьте його, а потім натисніть «OK».
    Діалогове вікно з пропозицією ввести ім'я файлу, шлях і пароль експортованого сертифіката 
    Малюнок 7: Укажіть ім'я файлу, шлях і пароль експортованого сертифіката.

 

Налаштуйте RDS для використання сертифіката.

  1. У розділі «Служби віддаленого робочого стола » диспетчера серверів виберіть «Редагувати властивості розгортання».
    Знімок екрана служб віддаленого робочого столу в диспетчері серверів із посиланням  
    Малюнок 8: Натисніть «Редагувати властивості розгортання », щоб налаштувати використання сертифіката в RDS.
  2. У вікні властивостей виберіть Сертифікати.
  3. Виконайте наступні кроки для кожного рольового сервісу:
    1. Виберіть службу ролей і натисніть Вибрати існуючий сертифікат.
      Скріншот розділу Сертифікати вікна властивостей розгортання RDS, з виділеною кнопкою
      Малюнок 9: Натисніть Вибрати наявний сертифікат , щоб указати сертифікат для кожної служби ролей.  
    2. У пункті Вибрати інший сертифікат укажіть шлях до експортованого сертифіката та пароль до нього. Виберіть пункт Дозволити додавання сертифіката до сховища сертифікатів довірених кореневих центрів сертифікації на цільових комп'ютерах.
      Діалогове вікно з пропозицією вказати шлях і пароль сертифіката, який потрібно використовувати 
      Малюнок 10: Вкажіть шлях і пароль сертифіката до використовуваного, після чого встановіть галочку в полі Дозволити сертифікат... .
    3. Натисніть кнопку «OK».
    4. Натисніть Застосувати.
  4. Переконайтеся, що в стовпці «Рівень» відображається статус «Довірений» для кожної служби ролей, і натисніть «OK».
    Знімок екрана розділу «Сертифікати» вікна властивостей розгортання RDS, який показує, що всі сертифікати є довіреними 
    Малюнок 11: Сертифікати, які використовуються всіма службами ролей RDS, тепер є надійними.

Affected Products

Microsoft Windows Server 2016, Microsoft Windows Server 2019, Microsoft Windows Server 2022, Microsoft Windows Server 2025
Article Properties
Article Number: 000273687
Article Type: How To
Last Modified: 28 May 2025
Version:  4
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.