In diesem Thema werden grundlegende Kenntnisse über Zertifikatsvertrauensketten, Zertifikatsignaturen und die allgemeinen Prinzipien der Public Key-Infrastruktur (Public Key Infrastructure, PKI) und der Zertifikatkonfiguration vorausgesetzt. Informationen zur PKI-Konfiguration unter Windows Server 2008 finden Sie im Artikel ITPROADD-204: über die PKI-Verbesserungen unter Windows Vista und Windows Server 2008 unter https://go.microsoft.com/fwlink/?LinkId=93995 (möglicherweise in englischer Sprache). Informationen zur PKI-Konfiguration unter Windows Server 2003 finden Sie im Artikel über die Public Key-Infrastruktur
(Public Key Infrastructure, PKI) (https://go.microsoft.com/fwlink/?LinkID=54917, möglicherweise in englischer Sprache).

Standardmäßig wird TLS 1.0 (Transport Layer Security) zur Verschlüsselung der Kommunikation zwischen Remotedesktopdienste-Clients und RD-Gatewayservern über das Internet verwendet. TLS ist ein Standardprotokoll, das zur Bereitstellung einer sicheren Webkommunikation über das Internet oder über Intranets verwendet wird. TLS ist die neueste und sicherste Version des SSL-Protokolls (Secure Sockets Layer). Weitere Informationen zu TLS finden Sie unter:

Damit TLS ordnungsgemäß ausgeführt werden kann, müssen Sie ein SSL-kompatibles X.509-Zertifikat auf dem RD-Gatewayserver installieren.

Vorgang zur Installation und Konfiguration eines Zertifikats (Übersicht)

Der Vorgang zum Abrufen, Installieren und Konfigurieren eines Zertifikats für den RD-Gatewayserver umfasst die folgenden Schritte.

Schritt 1: Abrufen eines Zertifikats für den Remotedesktop-Gatewayserver

Sie können ein Zertifikat für den RD-Gatewayserver mit einer der folgenden Methoden abrufen:

  • Wenn Ihr Unternehmen über eine eigenständige Zertifizierungsstelle oder eine Unternehmenszertifizierungsstelle verfügt, die für das Ausstellen von SSL-kompatiblen X.509-Zertifikaten konfiguriert ist, die den Anforderungen von RD-Gateway entsprechen, können Sie je nach den Richtlinien und der Konfiguration der Zertifizierungsstelle Ihres Unternehmens Zertifikatanforderungen auf verschiedene Weise generieren und übermitteln. Zu den Methoden zum Abrufen eines Zertifikats gehören Folgende:

    • Initiierung der automatischen Registrierung über das Zertifikat-Snap-In

    • Anforderung von Zertifikaten mithilfe des Zertifikatanforderungs-Assistenten

    • Anforderung eines Zertifikats über das Web

      Hinweis

      Wenn Sie über eine Windows Server 2003-Zertifizierungsstelle verfügen, müssen Sie beachten, dass die Webregistrierungsfunktion der Windows Server 2003-Zertifikatsdienste von einem ActiveX-Steuerelement mit der Bezeichnung Xenroll abhängig ist. Dieses ActiveX-Steuerelement ist unter Microsoft Windows Server 2003, Windows 2000 und Windows XP verfügbar. Unter Windows Server 2008 und Windows Vista wird Xenroll jedoch nicht mehr verwendet. Die Beispielwebseiten für die Zertifikatregistrierung, die in der ursprünglichen Version von Windows Server 2003, Windows Server 2003 Service Pack 1 (SP1) und Windows Server 2003 Service Pack 2 (SP2) enthalten sind, spiegeln die Änderungen, die unter Windows Server 2008 und Windows Vista an den Vorgängen für die webbasierte Zertifikatregistrierung vorgenommen wurden, nicht wider. Weitere Informationen zu den Schritten für die Behebung dieses Problems finden Sie in Artikel 922706 der Microsoft Knowledge Base (https://go.microsoft.com/fwlink/?LinkId=94472, möglicherweise in englischer Sprache).

    • Verwendung des Befehlszeilentools Certreq

    Weitere Informationen zur Verwendung dieser Methoden zum Abrufen von Zertifikaten für Windows Server 2008 R2 finden Sie im Thema über das Abrufen eines Zertifikats in der Hilfe des Zertifikat-Snap-Ins sowie im Thema über Certreq in der Befehlszeilenreferenz für Windows Server 2008 R2. Zum Anzeigen der Hilfethemen im Zertifikat-Snap-In klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie hh certmgr.chm ein, und klicken Sie dann auf OK. Informationen zur Anforderung von Zertifikaten für Windows Server 2003 finden Sie im Abschnitt über das Anfordern von Zertifikaten (https://go.microsoft.com/fwlink/?LinkID=19638, möglicherweise in englischer Sprache).

    Ein von einer eigenständigen Zertifizierungsstelle oder Unternehmenszertifizierungsstelle ausgestelltes Zertifikat muss von einer vertrauenswürdigen öffentlichen Zertifizierungsstelle mitsigniert werden, die am Microsoft-Programm für Stammzertifikate teilnimmt (https://go.microsoft.com/fwlink/?LinkID=59547, möglicherweise in englischer Sprache). Andernfalls können Benutzer, die an Heim- oder Kioskcomputern eine Verbindung herstellen möchten, keine Verbindung mit TS-Gateway- oder RD-Gatewayservern herstellen. Diese Verbindungsfehler können auftreten, weil das von der Zertifizierungsstelle ausgestellte Stammzertifikat von Computern, die keine Domänenmitglieder sind (z. B. Heim- oder Kioskcomputer), nicht als vertrauenswürdig eingestuft wird.

  • Wenn Ihr Unternehmen über keine eigenständige Zertifizierungsstelle oder Unternehmenszertifizierungsstelle verfügt, die für das Ausstellen von SSL-kompatiblen X.509-Zertifikaten konfiguriert ist, können Sie bei einer vertrauenswürdigen öffentlichen Zertifizierungsstelle, die am Microsoft-Programm für Stammzertifikate teilnimmt, ein Zertifikat erwerben (https://go.microsoft.com/fwlink/?LinkID=59547, möglicherweise in englischer Sprache). Einige dieser öffentlichen Zertifizierungsstellen bieten Zertifikate zu Testzwecken kostenlos an.

  • Wenn Ihr Unternehmen über keine eigenständige Zertifizierungsstelle oder Unternehmenszertifizierungsstelle verfügt und Sie kein kompatibles Zertifikat von einer vertrauenswürdigen öffentlichen Zertifizierungsstelle besitzen, können Sie zur technischen Auswertung und zu Testzwecken für Ihren RD-Gatewayserver auch ein selbstsigniertes Zertifikat erstellen und importieren. Weitere Informationen finden Sie unter Erstellen eines selbstsignierten Zertifikats für den Remotedesktop-Gatewayserver.

    Wichtig

    Wenn Sie eine der ersten beiden Methoden zum Abrufen eines Zertifikats verwenden (d. h., wenn Sie ein Zertifikat von einer eigenständigen Zertifizierungsstelle oder Unternehmenszertifizierungsstelle oder von einer vertrauenswürdigen öffentlichen Zertifizierungsstelle abrufen), müssen Sie auch die Schritte zum Importieren eines Zertifikats auf den Remotedesktop-Gatewayserver sowie zum Auswählen eines vorhandenen Zertifikats für Remotedesktopgateway ausführen. Wenn Sie jedoch mithilfe des Assistenten zum Hinzufügen von Rollen während der Installation des Remotedesktopgateway-Rollendiensts oder mithilfe von Remotedesktopgateway-Manager nach der Installation ein selbstsigniertes Zertifikat erstellen (wie unter Erstellen eines selbstsignierten Zertifikats für den Remotedesktop-Gatewayserver beschrieben), müssen Sie das Zertifikat nicht auf dem RD-Gatewayserver installieren bzw. es nicht zuordnen. In diesem Fall wird das Zertifikat automatisch erstellt, im entsprechenden Verzeichnis auf dem RD-Gatewayserver installiert und dem RD-Gatewayserver zugeordnet.

    Beachten Sie, dass sich auf Remotedesktopdienste-Clients das Zertifikat der Zertifizierungsstelle, die das Serverzertifikat ausgestellt hat, im Speicher für vertrauenswürdige Stammzertifizierungsstellen befinden muss. Eine schrittweise Anleitung zum Installieren des Zertifikats auf dem Client finden Sie unter Installieren des Remotedesktop-Gatewayserver-Stammzertifikats auf dem Remotedesktopdienste-Client.

    Wenn Sie eine der ersten beiden Methoden zum Abrufen eines Zertifikats verwendet haben und der Remotedesktopdienste-Clientcomputer der ausstellenden Zertifizierungsstelle vertraut, müssen Sie das Zertifikat der Zertifizierungsstelle, die das Serverzertifikat ausgestellt hat, nicht im Zertifikatspeicher des Clientcomputers installieren. Beispielsweise müssen Sie das Zertifikat der ausstellenden Zertifizierungsstelle nicht im Zertifikatspeicher des Clientcomputers installieren, wenn ein VeriSign-Zertifikat oder ein anderes Zertifikat einer vertrauenswürdigen öffentlichen Zertifizierungsstelle auf dem RD-Gatewayserver installiert ist. Wenn Sie die dritte Methode zum Abrufen eines Zertifikats verwendet haben (d. h., wenn Sie ein selbstsigniertes Zertifikat erstellen), müssen Sie das Zertifikat der Zertifizierungsstelle, die das Serverzertifikat ausgestellt hat, im Speicher für vertrauenswürdige Stammzertifizierungsstellen des Clientcomputers installieren. Weitere Informationen finden Sie unter Installieren des Remotedesktop-Gatewayserver-Stammzertifikats auf dem Remotedesktopdienste-Client.

Schritt 2: Importieren eines Zertifikats

Nachdem Sie ein Zertifikat abgerufen haben, können Sie es auf den RD-Gatewayserver importieren, indem Sie eine der folgenden Methoden verwenden:

Weitere Verweise


Inhaltsverzeichnis