В данном разделе предполагается, что пользователь имеет некоторое представление о работе цепочек доверия сертификатов, процессе подписания сертификатов, об инфраструктуре открытого ключа и общих принципов конфигурации сертификатов. Сведения о конфигурации инфраструктуры открытого ключа в Windows Server 2008 см. на странице «ITPROADD-204: расширенные возможности инфраструктуры открытых ключей в операционных системах Windows Vista и Windows Server 2008 (страница может быть на английском языке) (https://go.microsoft.com/fwlink/?LinkId=93995). Сведения о конфигурации инфраструктуры открытого ключа в Windows Server 2003 см. в разделе «Инфраструктура открытого ключа» (страница может быть на английском языке) (https://go.microsoft.com/fwlink/?LinkID=54917).

Для шифрования соединений между клиентами Службы удаленных рабочих столов и серверами Шлюз удаленных рабочих столов при подключениях через Интернет по умолчанию применяется протокол TLS 1.0. Протокол TLS является стандартным протоколом, который используется для организации безопасных веб-соединений в интрасетях и в Интернете. Данный протокол представляет собой самую последнюю и наиболее защищенную версию протокола SSL. Дополнительные сведения о протоколе TLS см. в разделах:

Для правильной работы протокола TLS необходимо установить на сервере Шлюз удаленных рабочих столов SSL-совместимый сертификат X.509.

Обзор процесса установки и настройки сертификата

Процесс получения, установки и настройки сертификата для сервера Шлюз удаленных рабочих столов состоит из трех шагов.

Шаг 1. Получение сертификата для сервера шлюза удаленных рабочих столов

Получить сертификат для сервера Шлюз удаленных рабочих столов можно одним из следующих способов.

  • Если используемый автономный ЦС либо ЦС предприятия настроен на выдачу SSL-совместимых сертификатов X.509, удовлетворяющих требованиям сервера Шлюз удаленных рабочих столов, можно создать и предоставить запрос на сертификат несколькими способами, в зависимости от политик и настройки ЦС организации. Способы получения сертификата перечислены ниже.

    • Отправка заявки из оснастки «Сертификаты».

    • Запрос сертификатов с помощью мастера запроса сертификата.

    • Запрос сертификата через Интернет.

      Примечание

      Если используется ЦС в составе Windows Server 2003, убедитесь, что механизм регистрации через Интернет служб сертификации Windows Server 2003 использует элемент управления ActiveX с именем Xenroll. Этот элемент управления ActiveX присутствует в операционных системах Microsoft Windows Server 2003, Windows 2000 и Windows XP. Однако в Windows Server 2008 и Windows Vista элемент Xenroll считается устаревшим и поэтому отсутствует. В веб-страницах с примерами регистрации сертификатов, которые включены в первоначальную версию выпуска Windows Server 2003, Windows Server 2003 с пакетом обновления 1 (SP1) и Windows Server 2003 с пакетом обновления 2 (SP2), не учтены изменения, коснувшиеся операций, выполняемых Windows Server 2008 и Windows Vista при регистрации сертификатов через Интернет. Дополнительные сведения об устранении данной проблемы см. в статье 922706 базы знаний Майкрософт (https://go.microsoft.com/fwlink/?LinkId=94472) (на английском языке).

    • Использование средства командной строки Certreq.

    Дополнительные сведения об использовании перечисленных методов получения сертификатов для Windows Server 2008 R2 см. в разделе «Получение сертификата» в справке оснастки «Сертификаты», а также в разделе «Certreq» справочника по командам Windows Server 2008 R2. Для просмотра разделов справки оснастки «Сертификаты» нажмите кнопку Пуск, выберите пункт Выполнить, введите команду hh certmgr.chm и нажмите кнопку ОК. Дополнительные сведения о запросе сертификатов для Windows Server 2003 см. в разделе «Запрос сертификатов» (https://go.microsoft.com/fwlink/?LinkID=19638) (на английском языке).

    Сертификат, выданный автономным ЦС либо ЦС предприятия, также должен быть подписан открытым доверенным ЦС, являющимся членом программы корневых сертификатов Майкрософт (https://go.microsoft.com/fwlink/?LinkID=59547) (на английском языке). В противном случае пользователи домашних компьютеров или киосков, вероятно, не смогут подключиться к серверам Шлюз служб терминалов или Шлюз удаленных рабочих столов. Невозможность подключения вызвана тем, что корень ЦС может не быть доверенным для домашних и прочих компьютеров, не являющихся членами домена.

  • Если организация не имеет собственного автономного ЦС или ЦС предприятия, настроенного на выдачу SSL-совместимых сертификатов X.509, сертификат можно приобрести у доверенного открытого ЦС, являющегося участником программы корневых сертификатов корпорации Майкрософт (https://go.microsoft.com/fwlink/?LinkID=59547) (на английском языке). Некоторые из таких открытых ЦС могут бесплатно предоставлять сертификаты в целях тестирования.

  • Кроме того, если организация не имеет собственного автономного ЦС или ЦС предприятия, а совместимый сертификат от доверенного открытого ЦС отсутствует, то для технической оценки и тестирования можно создать и импортировать самозаверяющий сертификат для сервера Шлюз удаленных рабочих столов. Дополнительные сведения см. в разделе Создание самозаверяющего сертификата для сервера шлюза удаленных рабочих столов.

    Важно!

    Если для получения сертификата используется любой из первых двух методов (то есть сертификат получен от автономного ЦС или ЦС предприятия, либо от доверенного открытого ЦС), то также необходимо Импорт сертификата на сервер шлюза удаленных рабочих столов и Выбор существующего сертификата для шлюза удаленных рабочих столов. Однако, если самозаверяющий сертификат создается с использованием мастера добавления ролей в процессе установки службы роли шлюза удаленных рабочих столов либо с использованием Диспетчер шлюза удаленных рабочих столов после установки (в соответствии с инструкциями, приведенными в разделе Создание самозаверяющего сертификата для сервера шлюза удаленных рабочих столов), не требуется ни устанавливать, ни сопоставлять сертификат с сервером Шлюз удаленных рабочих столов. В этом случае сертификат создается, устанавливается в требуемом расположении на сервере Шлюз удаленных рабочих столов и сопоставляется с сервером Шлюз удаленных рабочих столов автоматически.

    Обратите внимание, что в хранилище доверенных корневых центров сертификации клиентов Службы удаленных рабочих столов должен присутствовать сертификат ЦС, выдавшего сертификат сервера. Пошаговые инструкции по установке сертификата на клиентском компьютере см. в разделе Установка корневого сертификата сервера шлюза удаленных рабочих столов на клиенте служб удаленных рабочих столов.

    Если используется один из первых двух способов получения сертификата и клиентский компьютер Службы удаленных рабочих столов доверяет ЦС, выдавшему сертификат, не требуется устанавливать сертификат ЦС, выдавшего сертификат сервера, в хранилище сертификатов клиентского компьютера. Например, не требуется устанавливать сертификат ЦС, выдавшего сертификат, в хранилище сертификатов клиентского компьютера, если на сервере Шлюз удаленных рабочих столов установлен сертификат компании VeriSign либо любого другого открытого доверенного ЦС. Если для получения сертификата используется третий способ (то есть, если создается самозаверяющий сертификат), не требуется устанавливать сертификат ЦС, который выдал сертификат сервера в хранилище доверенных корневых центров сертификации на клиентском компьютере. Дополнительные сведения см. в разделе Установка корневого сертификата сервера шлюза удаленных рабочих столов на клиенте служб удаленных рабочих столов.

Шаг 2. Импорт сертификата

После получения сертификата можно импортировать его на сервер Шлюз удаленных рабочих столов одним из следующих способов.

Дополнительные источники информации

Содержание