In dit onderwerp wordt ervan uitgegaan dat u bekend bent met certificaatvertrouwensketens, het ondertekenen van certificaten, en de basisprincipes van de infrastructuur van openbare sleutels en de configuratie van certificaten. Zie de informatie over ITPROADD-204: PKI Enhancement in Windows Vista en Windows Server 2008 (https://go.microsoft.com/fwlink/?LinkId=93995 (de pagina is mogelijk Engelstalig)) voor informatie over PKI-configuratie in Windows Server 2008. Zie de informatie over PKI (Public Key Infrastructure) (https://go.microsoft.com/fwlink/?LinkID=54917 (de pagina is mogelijk Engelstalig)) voor informatie over de PKI-configuratie in Windows Server 2003.

Standaard wordt TLS 1.0 (Transport Layer Security) gebruikt voor het versleutelen van de communicatie tussen Extern bureaublad-servicesclients en RD-gatewayservers via internet. TLS is een standaardprotocol dat wordt gebruikt om beveiligde webcommunicatie te bieden op internet of intranetten. TLS is de nieuwste en veiligste versie van het SSL-protocol (Secure Sockets Layer). Zie de volgende onderwerpen voor meer informatie over TLS:

Voor een juiste werking van TLS moet u een SSL-compatibel X.509-certificaat installeren op de RD-gatewayserver.

Overzicht van het installatie- en configuratieproces van certificaten

Het proces van het verkrijgen, installeren en configureren van een certificaat voor de RD-gatewayserver bestaat uit de volgende stappen.

Stap 1: Certificaat voor de Extern bureaublad-gatewayservers verkrijgen

U kunt een certificaat verkrijgen voor de RD-gatewayserver door een van de volgende methoden te gebruiken:

  • Als in uw bedrijf een ondernemings- of een zelfstandige certificeringsinstantie wordt gebruikt die is geconfigureerd voor het verlenen van SSL-compatibele X.509-certificaten die voldoen aan de RD-gatewayvereisten, zijn er verschillende manieren om een certificaataanvraag te genereren en in te dienen (afhankelijk van het beleid en de configuratie van de certificeringsinstantie van uw organisatie). De methoden voor het verkrijgen van een certificaat zijn onder andere:

    • Automatische inschrijving starten vanuit de module Certificaten.

    • Certificaten aanvragen via de wizard Certificaat aanvragen.

    • Certificaten via het web aanvragen.

      Opmerking

      Als u beschikt over een Windows Server 2003-certificeringsinstantie, moet u eraan denken dat de functionaliteit voor webinschrijving van Windows Server 2003 Certificate Services afhankelijk is van een ActiveX-besturingselement met de naam Xenroll. Dit ActiveX-besturingselement is beschikbaar in Microsoft Windows Server 2003, Windows 2000 en Windows XP. Xenroll is echter afgeschaft in Windows Server 2008 en Windows Vista. In het ontwerp van de voorbeeldwebpagina's voor certificaatinschrijving die zijn geleverd bij de oorspronkelijke releaseversie van Windows Server 2003, Windows Server 2003 Service Pack 1 (SP1) en Windows Server 2003 Service Pack 2 (SP2) is geen rekening gehouden met de manier waarop webgebaseerde bewerkingen voor certificaatinschrijvingen worden uitgevoerd in Windows Server 2008 en Windows Vista. Zie artikel 922706 in de Microsoft Knowledge Base (https://go.microsoft.com/fwlink/?LinkId=94472 (de pagina is mogelijk Engelstalig)) voor informatie over de stappen die u kunt ondernemen om dit probleem op te lossen.

    • Het opdrachtregelprogramma Certreq gebruiken.

    Zie het onderwerp 'Certificaten verkrijgen' in de Help van de module Certificaten en het onderwerp 'Certreq' in het overzicht van opdrachtregelprogramma's van Windows Server 2008 R2 voor meer informatie over het gebruik van deze verschillende methoden om certificaten te verkrijgen voor Windows Server 2008 R2. Als u de Help-onderwerpen bij de module Certificaten wilt weergeven, klikt u achtereenvolgens op Start en Uitvoeren, voert u hh certmgr.chm in en klikt u op OK. Zie de informatie over certificaten aanvragen (https://go.microsoft.com/fwlink/?LinkID=19638 (de pagina is mogelijk Engelstalig)) voor meer informatie over het aanvragen van certificaten voor Windows Server 2003.

    Een certificaat dat is verleend door een ondernemings- of zelfstandige certificeringsinstantie, moet mede zijn ondertekend door een vertrouwde openbare certificeringsinstantie die deelneemt aan het Microsoft Basiscertificaatprogramma voor leden (https://go.microsoft.com/fwlink/?LinkID=59547). Als dit niet het geval is, is het mogelijk dat gebruikers die een verbinding tot stand willen brengen vanaf thuiscomputers of kiosks, geen verbinding met TS-gateway of RD-gatewayservers kunnen maken. Omdat de door de certificeringsinstantie uitgegeven basis mogelijk niet wordt vertrouwd door computers die geen deel uitmaken van domeinen (zoals thuiscomputers en kiosks), kunnen deze verbindingspogingen mislukken.

  • Als in uw bedrijf geen ondernemings- of zelfstandige certificeringsinstantie wordt gebruikt die is geconfigureerd voor het verlenen van SSL-compatibele X.509-certificaten, kunt u een certificaat aanschaffen bij een vertrouwde openbare certificeringsinstantie die deelneemt aan het Microsoft Basiscertificaatprogramma voor leden (https://go.microsoft.com/fwlink/?LinkID=59547). Mogelijk bieden sommige openbare certificeringsinstanties certificaten gratis aan voor evaluatiedoeleinden.

  • Als uw bedrijf geen ondernemings- of zelfstandige certificeringsinstantie gebruikt en u beschikt niet over een compatibel certificaat van een vertrouwde openbare certificeringsinstantie, kunt u ook een zelfondertekend certificaat maken en importeren voor uw RD-gatewayserver voor technische evaluatie- en testdoeleinden. Zie Zelfondertekende certificaten voor de Extern bureaublad-gatewayserver maken voor meer informatie.

    Belangrijk

    Als u een van de eerste twee methoden gebruikt om een certificaat te verkrijgen (dus als u een certificaat verkrijgt bij een ondernemings- of zelfstandige certificeringsinstantie, of bij een vertrouwde openbare certificeringsinstantie), moet u tevens Certificaten op Extern bureaublad-gatewayservers importeren en Bestaande certificaten voor Extern bureaublad-gateway selecteren. Als u echter een zelfondertekend certificaat maakt door de wizard Functies toevoegen te gebruiken tijdens de installatie van de functieservice Extern bureaublad-gateway of door Extern bureaublad-gatewaybeheer na de installatie te gebruiken (zoals is beschreven in Zelfondertekende certificaten voor de Extern bureaublad-gatewayserver maken), hoeft u het certificaat niet te installeren op of toe te wijzen aan de RD-gatewayserver. Het certificaat wordt in dit geval automatisch gemaakt, op de juiste locatie op de RD-gatewayserver geïnstalleerd en aan de RD-gatewayserver toegewezen.

    Het certificaat van de certificeringsinstantie die het servercertificaat heeft verleend, moet in het archief voor vertrouwde basiscertificeringsinstanties van Extern bureaublad-servicesclients staan. Zie Basiscertificaat van de Extern bureaublad-gatewayserver installeren op de Extern bureaublad-servicesclient voor stapsgewijze instructies voor het installeren van het certificaat op de client.

    Als u een van de eerste twee methoden hebt gebruikt om een certificaat te verkrijgen en de Extern bureaublad-servicesclientcomputer vertrouwt de certificeringsinstantie die het certificaat verleent, hoeft u het certificaat van de certificeringsinstantie die het servercertificaat heeft verleend, niet te installeren in het certificaatarchief van de clientcomputer. U hoeft bijvoorbeeld het certificaat van de certificeringsinstantie die het certificaat heeft verleend, niet te installeren in het certificaatarchief van de clientcomputer, als op de RD-gatewayserver een VeriSign-certificaat of een ander certificaat van een openbare, vertrouwde certificeringsinstantie is geïnstalleerd. Als u de derde methoden gebruikt om een certificaat te verkrijgen (dus als u een zelfondertekend certificaat maakt), hoeft u het certificaat van de certificeringsinstantie die het servercertificaat heeft verleend, niet te installeren in het archief voor vertrouwde basiscertificeringsinstanties op de clientcomputer. Zie Basiscertificaat van de Extern bureaublad-gatewayserver installeren op de Extern bureaublad-servicesclient voor meer informatie.

Stap 2: Een certificaat importeren

Nadat u een certificaat hebt verkregen, kunt u het certificaat op de RD-gatewayserver importeren met behulp van een van de volgende methoden:

Aanvullende naslaginformatie


Inhoudsopgave