V tomto tématu se předpokládá znalost principů vytváření řetězů certifikátů, podepisování certifikátů a konfigurace obecné infrastruktury veřejných klíčů a certifikátů. Informace o konfiguraci infrastruktury veřejných klíčů v systému Windows Server 2008 naleznete v článku ITPROADD-204: Vylepšení infrastruktury veřejných klíčů v systémech Windows Vista a Windows Server 2008 (
K šifrování komunikace mezi klienty služby Vzdálená plocha a servery služby Brána VP přes Internet slouží ve výchozím nastavení protokol TLS (Transport Layer Security) 1.0. Protokol TLS představuje standardní protokol zajišťující zabezpečenou webovou komunikaci v Internetu nebo v intranetech. Protokol TLS je nejnovější a nejzabezpečenější verzí protokolu SSL (Secure Sockets Layer). Další informace o protokolu TLS naleznete v následujících zdrojích informací:
- článek věnovaný protokolu SSL/TLS v systému Windows Server 2003 (
https://go.microsoft.com/fwlink/?LinkID=19646 ) (stránka může být v angličtině), - dokument RFC 2246 věnovaný protokolu TLS verze 1.0 (
https://go.microsoft.com/fwlink/?LinkID=40979 ) (stránka může být v angličtině).
Protokol TLS bude fungovat správně pouze v případě, že na server služby Brána VP nainstalujete certifikát X.509 kompatibilní s protokolem SSL.
Přehled procesu instalace a konfigurace certifikátu
Proces získání, instalace a konfigurace certifikátu pro server služby Brána VP spočívá v následujících krocích.
Krok 1: Získání certifikátu pro server služby Brána vzdálené plochy
Certifikát pro server služby Brána VP lze získat pomocí jedné z následujících metod:
- Pokud vaše společnost spravuje samostatnou certifikační autoritu nebo certifikační autoritu rozlehlé sítě nakonfigurovanou tak, aby vystavovala certifikáty X.509 kompatibilní s protokolem SSL, které splňují požadavky služby Brána VP, můžete v závislosti na zásadách a konfiguraci certifikační autority vaší organizace generovat a odesílat žádost o certifikát několika způsoby. Certifikát lze získat pomocí následujících metod:
- spuštění automatického zápisu z modulu snap-in Certifikáty,
- vyžádání certifikátu pomocí Průvodce podáním žádosti o certifikát,
- vyžádání certifikátu prostřednictvím webu,
Poznámka Používáte-li certifikační autoritu systému Windows Server 2003, je třeba si uvědomit, že se funkce webového zápisu Certifikační služby systému Windows Server 2003 opírá o ovládací prvek ActiveX označovaný jako Xenroll. Tento ovládací prvek ActiveX je k dispozici v systémech Microsoft Windows Server 2003, Windows 2000 a Windows XP. V systémech Windows Server 2008 a Windows Vista však bylo od prvku Xenroll upuštěno. Ukázkové webové stránky pro zápis certifikátů, které jsou součástí původních verzí systémů Windows Server 2003, Windows Server 2003 Service Pack 1 (SP1) a Windows Server 2003 Service Pack 2 (SP2), nezahrnují změnu ve způsobu provádění operací webového zápisu certifikátů v systémech Windows Server 2008 a Windows Vista. Informace o krocích, pomocí nichž lze tento problém vyřešit, naleznete v článku 922706 znalostní báze Microsoft Knowledge Base (
https://go.microsoft.com/fwlink/?LinkId=94472 ) (stránka může být v angličtině). - použití nástroje příkazového řádku Certreq.
https://go.microsoft.com/fwlink/?LinkID=19638 ) (stránka může být v angličtině).
Certifikát vystavený samostatnou certifikační autoritou nebo certifikační autoritou rozlehlé sítě musí být podepsán také důvěryhodnou veřejnou certifikační autoritou, která je členem programu Microsoft Root Certification Program (https://go.microsoft.com/fwlink/?LinkID=59547 ) (stránka může být v angličtině). Jinak se může stát, že se uživatelé, kteří se připojují z domácích počítačů nebo terminálů, nebudou moci k serverům služby Brána TS nebo Brána VP připojit. Taková připojení se pravděpodobně nezdaří, protože počítače, které nejsou členy domén, jako jsou například domácí počítače nebo terminály, nebudou kořenový certifikát vystavený certifikační autoritou považovat za důvěryhodný. - spuštění automatického zápisu z modulu snap-in Certifikáty,
- Pokud vaše společnost nespravuje samostatnou certifikační autoritu nebo certifikační autoritu rozlehlé sítě nakonfigurovanou tak, aby vystavovala certifikáty X.509 kompatibilní s protokolem SSL, můžete si certifikát zakoupit u důvěryhodné veřejné certifikační autority, která je členem programu Microsoft Root Certificate Program (
https://go.microsoft.com/fwlink/?LinkID=59547 ) (stránka může být v angličtině). Některé z těchto veřejných certifikačních autorit mohou nabízet certifikáty bezplatně nebo na zkoušku. - Pokud vaše společnost nespravuje samostatnou certifikační autoritu nebo certifikační autoritu rozlehlé sítě a nevlastníte kompatibilní certifikát důvěryhodné veřejné certifikační autority, můžete také za účelem testování a technického vyhodnocení vytvořit a importovat pro server služby Brána VP certifikát podepsaný svým držitelem. Další informace naleznete v tématu Vytvoření certifikátu podepsaného svým držitelem pro server služby Brána vzdálené plochy.
Povšimněte si, že klienti služby Vzdálená plocha musí mít ve svém úložišti důvěryhodných kořenových certifikačních autorit uložen certifikát certifikační autority, která vystavila příslušný certifikát serveru. Podrobné pokyny týkající se instalace certifikátu do klientského počítače naleznete v tématu Instalace kořenového certifikátu serveru služby Brána vzdálené plochy do klienta služby Vzdálená plocha.Důležité informace Použijete-li k získání certifikátu některou z prvních dvou metod (to znamená, že jej získáte od samostatné certifikační autority či certifikační autority rozlehlé sítě nebo od důvěryhodné veřejné certifikační autority), je nutné také Import certifikátu na server služby Brána vzdálené plochy a Výběr existujícího certifikátu pro službu Brána vzdálené plochy. Pokud však vytvoříte certifikát podepsaný svým držitelem pomocí Průvodce přidáním rolí během instalace služby role Brána vzdálené plochy nebo pomocí nástroje Správce brány vzdálené plochy po instalaci (podle popisu uvedeného v tématu Vytvoření certifikátu podepsaného svým držitelem pro server služby Brána vzdálené plochy), nebude nutné certifikát na server služby Brána VP instalovat ani jej k němu mapovat. V takovém případě je certifikát automaticky vytvořen, nainstalován do správného umístění na serveru služby Brána VP a mapován k serveru služby Brána VP.
Pokud jste k získání certifikátu použili jednu z prvních dvou metod a klientský počítač služby Vzdálená plocha považuje vystavující certifikační autoritu za důvěryhodnou, není nutné do úložiště certifikátů v klientském počítači instalovat certifikát certifikační autority, která příslušný certifikát serveru vystavila. Certifikát vystavující certifikační autority není nutné instalovat do úložiště certifikátů v klientském počítači například v případě, že je na serveru služby Brána VP nainstalován certifikát společnosti VeriSign nebo certifikát jiné veřejné důvěryhodné certifikační autority. Jestliže k získání certifikátu použijete třetí metodu (to znamená, že vytvoříte certifikát podepsaný svým držitelem), není nutné instalovat do úložiště důvěryhodných kořenových certifikačních autorit v klientském počítači certifikát certifikační autority, která příslušný certifikát serveru vystavila. Další informace naleznete v tématu Instalace kořenového certifikátu serveru služby Brána vzdálené plochy do klienta služby Vzdálená plocha.
Krok 2: Import certifikátu
Po získání můžete certifikát importovat na server služby Brána VP, a to pomocí jedné z následujících metod:
- Chcete-li certifikát nainstalovat do úložiště certifikátů a importovat jej na server služby Brána VP, nahlédněte do tématu Import certifikátu na server služby Brána vzdálené plochy.
- Chcete-li importovat existující certifikát z úložiště certifikátů na server služby Brána VP, nahlédněte do tématu Výběr existujícího certifikátu pro službu Brána vzdálené plochy.