I det här avsnittet förutsätts du vara införstådd med kedjor med betrodda certifikat, certifikatsignering och allmän PKI (infrastruktur för offentliga nycklar) och certifikatkonfigurationsprinciper. Information om PKI-konfiguration i Windows Server 2008 finns i ITPROADD-204: PKI Enhancement i Windows Vista och Windows Server 2008 (https://go.microsoft.com/fwlink/?LinkId=93995 (sidan kan vara på engelska)). Mer information om PKI-konfiguration i Windows Server 2003, se PKI (Public Key Infrastructure) (https://go.microsoft.com/fwlink/?LinkId=54917).

Som standard används TLS 1.0 (Transport Layer Security) för kryptering av kommunikation mellan Fjärrskrivbordstjänster-klienter och Fjärrskrivbordsgateway-servrar via Internet. TLS är ett standardprotokoll som används för att tillhandahålla säker webbkommunikation via Internet eller intranät. TLS är den senaste och säkraste versionen av SSL-protokollet (Secure Sockets Layer). Mer information om TLS finns i:

För att TLS ska fungera korrekt måste du installera ett SSL-kompatibelt X.509-certifikat på Fjärrskrivbordsgateway-servern.

Översikt över certifikatinstallation och konfigurationsprocessen

Processen för att skaffa, installera och konfigurera ett certifikat för Fjärrskrivbordsgateway-servern omfattar följande steg.

Steg 1: Skaffa ett certifikat för servern för fjärrskrivbordsgateway

Du kan skaffa ett certifikat för Fjärrskrivbordsgateway-servern på något av följande sätt:

  • Om företaget har en fristående certifikatutfärdare eller företagscertifikatutfärdare som konfigurerats att utfärda SSL-kompatibla X.509-certifikat som uppfyller Fjärrskrivbordsgateway-kraven kan du generera och lämna in en certifikatbegäran på flera olika sätt, beroende på principerna och konfigurationen för din organisations certifikatutfärdare. Metoderna för att skaffa ett certifikat omfattar:

    • Initera automatisk registrering via snapin-modulen Certifikat.

    • Begära certifikat med hjälp av guiden Certifikatbegäran.

    • Begära ett certifikat över webben.

      OBS

      Om du har en certifikatutfärdare för Windows Server 2003 bör du vara medveten om att Windows Server 2003:s webbfunktionalitet för registrering av certifikattjänster bygger på en ActiveX-kontroll kallad Xenroll. Den här ActiveX-kontrollen är tillgänglig i Microsoft Windows Server 2003, Windows 2000 och Windows XP. Xenroll har dock upphört i Windows Server 2008 och Windows Vista. Webbsidorna med exempelcertifikatregistreringen som medföljer den ursprungliga versionen av Windows Server 2003, Windows Server 2003 Service Pack 1 (SP1) och Windows Server 2003 Service Pack 2 (SP2) är inte avsedda att hantera förändringen för hur Windows Server 2008 och Windows Vista utför webbaserad certifikatregistrering. Information om de steg du kan vidta för att åtgärda detta problem finns i artikel 922706 i Microsoft Knowledge Base (https://go.microsoft.com/fwlink/?LinkId=94472).

    • Använda kommandoradsverktyget Certreq.

    Mer information om användning av någon av dessa metoder för att skaffa certifikat för Windows Server 2008 R2 finns i avsnittet "Skaffa ett certifikat" i hjälpen för snapin-modulen för certifikat och i avsnittet "Certreq" i referenshandboken för Windows Server 2008 R2. Om du vill visa hjälpavsnitten för snapinmodulen Certifikat klickar du på Start, klickar på Kör, skriver hh certmgr.chm och klickar sedan på OK. Information om hur du begär certifikat för Windows Server 2003 finns i Begära certifikat (https://go.microsoft.com/fwlink/?LinkId=19638).

    Ett certifikat utfärdat av en fristående certifikatutfärdare eller företagscertifikatutfärdare måste också signeras av en betrodd offentlig certifikatutfärdare som deltar i Microsofts rotcertifikatprogram (https://go.microsoft.com/fwlink/?LinkID=59547). Annars kan användare som ansluter från hemdatorer eller offentliga terminaler inte ansluta till TS Gateway och Fjärrskrivbordsgateway-servrar. Dessa anslutningar kan misslyckas för att roten certifikatutfärdaren utfärdat inte är betrodd av datorer som inte är medlemmar i domäner, t.ex. hemdatorer eller offentliga terminaler.

  • Om företaget inte har någon fristående certifikatutfärdare eller företagscertifikatutfärdare som konfigurerats att utfärda SSL-kompatibla X.509-certifikat kan du köpa ett certifikat från en betrodd offentlig certifikatutfärdare som deltar i Microsofts rotcertifikatprogram (https://go.microsoft.com/fwlink/?LinkID=59547). Vissa av dessa offentliga certifikatutfärdare kan erbjuda certifikat utan kostnad på prov.

  • Om företaget inte har en fristående certifikatutfärdare eller företagscertifikatutfärdare och du inte har något kompatibelt certifikat från en betrodd offentlig certifikatutfärdare, kan du skapa och importera ett självsignerat certifikat för din Fjärrskrivbordsgateway-server för teknisk utvärdering och i testningssyfte. Mer information finns i Skapa ett självsignerat certifikat för servern för fjärrskrivbordsgateway.

    Viktigt!

    Om du använder någon av de första två metoderna för att skaffa ett certifikat (d.v.s. om du skaffar ett certifikat från en fristående certifikatutfärdare eller företagscertifikatutfärdare eller från en betrodd offentlig certifikatutfärdare) måste du också Importera ett certifikat till servern för fjärrskrivbordsgateway och Välja ett befintligt certifikat för fjärrskrivbordsgateway. Om du däremot skapar ett självsignerat certifikat med guiden Lägg till roller under installationen av rolltjänsten för fjärrskrivbordsgateway eller med Hanteraren för fjärrskrivbordsgateway efter installationen (enligt beskrivningen i Skapa ett självsignerat certifikat för servern för fjärrskrivbordsgateway) behöver du inte installera eller mappa certifikatet till Fjärrskrivbordsgateway-servern. I det här fallet skapas certifikatet automatiskt, installeras på rätt plats på Fjärrskrivbordsgateway-servern och mappas till Fjärrskrivbordsgateway-servern.

    Observera att Fjärrskrivbordstjänster-klienter måste ha certifikatet från den certifikatutfärdare som har utfärdat servercertifikatet i sitt arkiv för Betrodda rotcertifikatutfärdare. Steg för steg-instruktioner för installation av certifikatet på klienten finns i Installera rotcertifikatet för servern för fjärrskrivbordsgateway på klienten för Fjärrskrivbordstjänster.

    Om du har använt någon av de första två metoderna för att skaffa ett certifikat och Fjärrskrivbordstjänster-klientdatorn har förtroende för den utfärdande certifikatutfärdaren behöver du inte installera certifikatet för certifikatutfärdaren som utfärdat servercertifikatet i klientdatorns certifikatarkiv. Du behöver t.ex. inte installera certifikatet för den utfärdande certifikatutfärdaren i klientdatorns certifikatarkiv om ett certifikat från en VeriSign eller någon annan offentlig, betrodd certifikatutfärdare är installerad på Fjärrskrivbordsgateway-servern. Om du använder den tredje metoden för att skaffa ett certifikat (d.v.s. om du skapar ett självsignerat certifikat) behöver du inte installera certifikatet för certifikatutfärdaren som utfärdat servercertifikatet i klientdatorns arkiv för Betrodda certifikatutfärdare. Mer information finns i Installera rotcertifikatet för servern för fjärrskrivbordsgateway på klienten för Fjärrskrivbordstjänster.

Steg 2: Importera ett certifikat

När du har hämtat ett certifikat kan du importera det till Fjärrskrivbordsgateway-servern med någon av följande metoder:

Ytterligare referenser


Innehåll