Ez a témakör feltételezi a tanúsítványok megbízhatósági láncának, a tanúsítványok aláírásának, az általános nyilvános kulcsokra épülő infrastruktúra és a tanúsítványok konfigurációs alapelveinek megértését. A nyilvános kulcsokra épülő infrastruktúra konfigurációjáról a Windows Server 2008 esetén a következő helyen talál további információkat: ITPROADD-204: A nyilvános kulcsokra épülő infrastruktúra bővítése a Windows Vista és a Windows Server 2008 rendszerben (
Alapértelmezés szerint a Távoli asztali szolgáltatások ügyfelek és a Távoli asztali átjáró kiszolgálók között az interneten keresztül folyó kommunikáció titkosítása a TLS (Transport Layer Security) 1.0 protokollal történik. A TLS (Transport Layer Security) egy szabványos protokoll, amely biztonságos webkommunikációt biztosít az interneten vagy az intraneten. A TLS az SSL (Secure Sockets Layer) protokoll legújabb és legbiztonságosabb verziója. További információk a TLS protokollról:
- SSL/TLS a Windows Server 2003 rendszerben (
https://go.microsoft.com/fwlink/?LinkID=19646 ) (előfordulhat, hogy a lap angol nyelven jelenik meg) - A 2246-os, a TLS protokoll 1.0-ás verzióját ismertető RFC szabványjavaslat (
https://go.microsoft.com/fwlink/?LinkID=40979 ) (előfordulhat, hogy a lap angol nyelven jelenik meg)
Ahhoz, hogy a TLS megfelelően működjön, egy SSL-kompatibilis X.509 tanúsítványt kell a Távoli asztali átjáró kiszolgálóra telepíteni.
Tanúsítványok telepítési és a konfigurálási folyamat – áttekintés
A következő lépések a Távoli asztali átjáró kiszolgálókhoz tartozó tanúsítványok megszerzését, telepítését és konfigurálását érintik.
1. lépés: Tanúsítvány beszerzése a távoli asztali átjárókiszolgálóhoz
A Távoli asztali átjáró kiszolgálókhoz való tanúsítványok a következő módszerek valamelyikével szerezhetők be:
- Ha a vállalata olyan önálló vagy vállalati hitelesítésszolgáltatóval van kapcsolatban, amely a Távoli asztali átjáró követelményeinek megfelelő SSL-kompatibilis X.509 tanúsítványok kibocsátására van konfigurálva, akkor a tanúsítványkérelmek létrehozása és elküldése több módon is lehetséges, a szervezet hitelesítésszolgáltatójának házirendjeitől és konfigurációjától függően. A tanúsítványok beszerzésének módszerei a következők:
- Automatikus igénylés indítása a Tanúsítványkezelő beépülő modulból.
- Tanúsítvány igénylése a Tanúsítványkérelmező varázslóval
- Tanúsítvány igénylése weben keresztül
Megjegyzés Ha Windows Server 2003 rendszerű hitelesítésszolgáltatóval rendelkezik, vegye figyelembe, hogy a Windows Server 2003 tanúsítványszolgáltatások webes igénylés funkciója a Xenroll nevű ActiveX-vezérlőn alapul. Ez az ActiveX-vezérlő megtalálható a Microsoft Windows Server 2003, Windows 2000 és Windows XP rendszerekben. Ugyanakkor, a Xenroll a Windows Server 2008 és a Windows Vista rendszerekben már elavult. Azok a minta tanúsítványigénylési weblapok, amelyek a Windows Server 2003, Windows Server 2003 Service Pack 1 (SP1) és Windows Server 2003 Service Pack 2 (SP2) eredetileg kiadott verzióiban megtalálhatók, nem úgy lettek kialakítva, hogy kezeljék a Windows Server 2008 és Windows Vista rendszerekben a webalapú tanúsítványigénylési műveletek végrehajtásában beállt változásokat. A probléma kezeléséről további információkat a Microsoft Tudásbázis 922706-os számú cikkében találhat (
https://go.microsoft.com/fwlink/?LinkId=94472 ) (előfordulhat, hogy a lap angol nyelven jelenik meg). - A Certreq parancssori eszköz használata.
https://go.microsoft.com/fwlink/?LinkID=19638 ) című cikkben talált (előfordulhat, hogy a lap angol nyelven jelenik meg).
Az önálló vagy vállalati hitelesítésszolgáltatók által kibocsátott tanúsítványokat egy olyan megbízható nyilvános hitelesítésszolgáltatónak is alá kell írnia, amely részt vesz a Microsoft Root Certification Program Members programban (https://go.microsoft.com/fwlink/?LinkID=59547 , előfordulhat, hogy a lap angol nyelven jelenik meg). Máskülönben az otthoni vagy kihelyezett számítógépekről kapcsolódó felhasználók esetleg nem tudnak majd kapcsolódni Terminálszolgáltatási átjáró vagy Távoli asztali átjáró kiszolgálókhoz. Ezek a kapcsolatok azért lehetnek sikertelenek, mert a hitelesítésszolgáltató által kibocsátott főtanúsítványt esetleg nem tekintik megbízhatónak az olyan számítógépek, amelyek nem a tartomány tagjai, például az otthoni számítógépek vagy a kihelyezett gépek. - Automatikus igénylés indítása a Tanúsítványkezelő beépülő modulból.
- Ha a vállalata nem tart fenn olyan önálló vagy vállalati hitelesítésszolgáltatót, amely SSL-kompatibilis X.509 tanúsítványok kibocsátására van konfigurálva, akkor megvásárolhat egy, a Microsoft Root Certificate Program Members programban (
https://go.microsoft.com/fwlink/?LinkID=59547 , előfordulhat, hogy a lap angol nyelven jelenik meg) részt vevő megbízható nyilvános hitelesítésszolgáltatótól származó tanúsítványt. Néhány ilyen nyilvános hitelesítésszolgáltató rendelkezik ingyenes, kipróbálási tanúsítványi ajánlatokkal is. - Másik megoldásként, ha a vállalata nem tart fenn önálló vagy vállalati hitelesítésszolgáltatót, és nem áll rendelkezésére megbízható nyilvános hitelesítésszolgáltatótól származó kompatibilis tanúsítvány, akkor technikai értékelés és tesztelés céljából létrehozhat és importálhat egy önaláírt tanúsítványt is a Távoli asztali átjáró kiszolgálóhoz. További információt a következő témakörben talál: Önaláírt tanúsítvány létrehozása a távoli asztali átjárókiszolgálóhoz.
Vegye figyelembe, hogy a Távoli asztali szolgáltatások ügyfeleknek rendelkezniük kell a kiszolgáló tanúsítványát kibocsátó hitelesítésszolgáltató tanúsítványával a Megbízható legfelső szintű hitelesítésszolgáltatók tárolóban. A tanúsítványoknak az ügyfélre való telepítéséhez a következő témakörben talál részletes útmutatót: Távoli asztali átjárókiszolgáló főtanúsítványának telepítése távoli asztali ügyfélre.
Fontos! Ha az első két módszer valamelyikét használja a tanúsítvány beszerzésére (vagyis ha a tanúsítványt egy önálló vagy vállalati hitelesítésszolgáltatótól, vagy pedig egy megbízható nyilvános hitelesítésszolgáltatótól szerzi be), akkor emellett Tanúsítvány importálása távoli asztali átjárókiszolgálóra, és el kell végeznie Létező tanúsítvány kiválasztása a távoli asztali átjáróhoz is. Ha az önaláírt tanúsítványt a Szerepkörök hozzáadása varázslóval a Távoli asztali átjáró szerepkör-szolgáltatás telepítése során vagy a Távoli asztali átjárókezelő telepítés utáni használatával hozza létre (ennek leírása a következő témakörben található: Önaláírt tanúsítvány létrehozása a távoli asztali átjárókiszolgálóhoz), akkor nincs szükség a tanúsítvány telepítésére vagy hozzárendelésére a Távoli asztali átjáró kiszolgálóhoz. Ebben az esetben a tanúsítvány automatikusan létrejön, a Távoli asztali átjáró kiszolgálón a megfelelő helyre települ, és hozzá lesz rendelve a Távoli asztali átjáró kiszolgálóhoz.
Ha az első két módszer valamelyikével szerezte be a tanúsítványt, és a Távoli asztali szolgáltatások ügyfélszámítógép megbízhatónak tartja a kibocsátó hitelesítésszolgáltatót, akkor nem szükséges a kiszolgálótanúsítványt kibocsátó hitelesítésszolgáltató tanúsítványát az ügyfélszámítógép tanúsítványtárolójába telepíteni. Nem kell például telepítenie a kibocsátó hitelesítésszolgáltató tanúsítványát az ügyfélszámítógép tanúsítványtárolójába, ha a VeriSign vagy más nyilvános, megbízható hitelesítésszolgáltató tanúsítványa telepítve van a Távoli asztali átjáró kiszolgálón. Ha a harmadik módszert használja a tanúsítványok beszerzésére (vagyis önaláírt tanúsítványt hoz létre), akkor telepítenie kell a kiszolgálótanúsítványt kibocsátó hitelesítésszolgáltató tanúsítványát az ügyfélszámítógép Megbízható legfelső szintű hitelesítésszolgáltatók tárolójába. További információt a következő témakörben talál: Távoli asztali átjárókiszolgáló főtanúsítványának telepítése távoli asztali ügyfélre.
2. lépés: Tanúsítvány importálása
Miután beszerzett egy tanúsítványt, a következő módszerek egyikével importálhatja azt a Távoli asztali átjáró kiszolgálóra:
- Tanúsítványok tanúsítványtárolóba történő telepítéséről valamint tanúsítványok Távoli asztali átjáró kiszolgálóra történő importálásáról a Tanúsítvány importálása távoli asztali átjárókiszolgálóra témakörben talál további információt.
- Létező tanúsítványok tanúsítványtárolóból Távoli asztali átjáró kiszolgálóra történő importálásáról a Létező tanúsítvány kiválasztása a távoli asztali átjáróhoz témakörben tájékozódhat.