Bu konu, sertifika güven zinciri, sertifika imzalama ve genel ortak anahtar altyapısı ile sertifika yapılandırma ilkeleri üzerine bilgi sahibi olduğunuzu varsayar. Windows Server 2008'da PKI yapılandırması ile ilgili bilgi için bkz. ITPROADD-204: Windows Vista ve Windows Server 2008 işletim sistemlerindeki PKI Geliştirme (https://go.microsoft.com/fwlink/?LinkId=93995) (bu sayfa İngilizce içeriğe sahip olabilir). Windows Server 2003'te PKI yapılandırması ile ilgili bilgi için Ortak Anahtar Altyapısı başlıklı konuya bakın. (https://go.microsoft.com/fwlink/?LinkID=54917) (Bu sayfa İngilizce İçeriğe sahip olabilir.)

Varsayılan olarak, Uzak Masaüstü Hizmetleri istemcileri ile RD Ağ Geçidi sunucuları arasında Internet'ten iletişimi şifrelemek için Aktarım Katmanı Güvenliği (TLS) 1.0 kullanılır. TLS, Internet veya intranetler üzerinde güvenli Web iletişimi sağlamak için kullanılan standart bir protokoldür. TLS, Güvenli Yuva Katmanı (SSL) protokolünün en son ve en güvenli sürümüdür. TLS ile ilgili daha fazla bilgi için, bkz:

TLS'nin düzgün çalışması için, RD Ağ Geçidi sunucusuna SSL uyumlu X.509 sertifikası yüklemeniz gerekir.

Sertifika yükleme ve yapılandırma işlemine genel bakış

RD Ağ Geçidi sunucusu için sertifika edinme, yükleme ve yapılandırma işlemi aşağıdaki adımlardan oluşur.

Adım 1: Uzak Masaüstü Ağ Geçidi sunucusu için sertifika edinme

Aşağıdaki yöntemlerden birini kullanarak RD Ağ Geçidi sunucusu için sertifika edinebilirsiniz:

  • Şirketinizde, RD Ağ Geçidi gereksinimlerini karşılayan SSL uyumlu X.509 sertifikaları yayımlayacak şekilde yapılandırılan bağımsız ya da kurumsal bir sertifika yetkilisi (CA) varsa, kuruluşunuzun sertifika yetkilisinin ilkelerine ve yapılandırmasına bağlı olarak bir sertifika isteğini çeşitli şekillerde oluşturabilir ve gönderebilirsiniz. Sertifika edinme yöntemleri şunları içerir:

    • Sertifikalar ek bileşeninden otomatik kayıt başlatarak.

    • Sertifika İsteği Sihirbazı'nı kullanarak sertifika isteyerek.

    • Web üzerinden sertifika isteyerek.

      Not

      Windows Server 2003 CA'ya sahipseniz, Windows Server 2003 Sertifika Hizmetleri Web kayıt işlevinin Xenroll adı verilen ActiveX denetimine bağlı olduğunu göz önünde bulundurun. ActiveX denetimi, Microsoft Windows Server 2003, Windows 2000 ve Windows XP işletim sistemlerinde bulunur. Ancak Xenroll Windows Server 2008 ve Windows Vista ile kaldırılmıştır. Windows Server 2003, Windows Server 2003 Service Pack 1 (SP1) ve Windows Server 2003 Service Pack 2 (SP2) işletim sistemlerinin özgün sürümünde bulunan örnek sertifika kayıt Web sayfaları Windows Server 2008 ve Windows Vista işletim sistemlerinde Web tabanlı sertifika kayıt işlemlerindeki değişikliği işleyecek şekilde tasarlanmamıştır. Bu sorunu çözmek için gerekli adımlarla ilgili bilgiyi Microsoft Bilgi Bankası'nda 922706 numaralı makalede bulabilirsiniz (https://go.microsoft.com/fwlink/?LinkId=94472). (Bu sayfa İngilizce içeriğe sahip olabilir.)

    • Certreq Komut Satırı Aracını Kullanma

    Windows Server 2008 R2 için sertifika edinmek üzere bu yöntemlerden birini kullanmaya ilişkin ek bilgi için Sertifikalar ek bileşen Yardımı'nda "Sertifika Edinme" ve Windows Server 2008 R2 Komut Başvurusu'nda "Certreq" konusuna bakın. Bu Yardım konularını gözden geçirmek için Başlat'ı tıklatın, Çalıştır'ı tıklatın, hh certmgr.chm yazın ve ardından Tamam'ı tıklatın. Windows Server 2003 için nasıl sertifika isteneceğine ilişkin bilgi için, bkz. Sertifika İsteme (https://go.microsoft.com/fwlink/?LinkID=19638). (Bu sayfa İngilizce içeriğe sahip olabilir.)

    Bağımsız ya da kurumsa CA tarafından yayınlanan sertifika, Microsoft Kök Sertifika Program Üyeleri programına katılan güvenilen bir genel CA tarafından ortak imzalanması gerekir (https://go.microsoft.com/fwlink/?LinkID=59547. (Bu sayfa İngilizce içeriğe sahip olabilir.) Aksi takdirde, ev bilgisayarlarından veya bilgi noktalarından bağlanan kullanıcılar TH Ağ Geçidi veya RD Ağ Geçidi sunucularına bağlanamayabilir. Bu bağlantılar, CA tarafından yayınlanan köke, ev bilgisayarları veya bilgi noktaları gibi etki alanlarının üyesi olmayan bilgisayarlar tarafından güvenilmeyeceği için başarısız olur.

  • Şirketiniz, SSL uyumlu X.509 sertifikaları yayınlayacak şekilde yapılandırılna bağımsız veya kurumsal CA'ya sahip değilse, Microsoft Kök Sertifika Program Üyeleri programına katılan güvenilen bir genel CA'dan bir sertifika satın alabilirsiniz. (https://go.microsoft.com/fwlink/?LinkID=59547). (Bu sayfa İngilizce içeriğe sahip olabilir.) Bu genel CA'ların bazıları deneme amaçlı olarak ücretsiz sertifikalar sağlayabilir.

  • Diğer bir seçenek olarak, şirketiniz bağımsız veya kurumsal bir CA'ya sahip değilse ve güvenilen bir genel CA'dan uyumlu bir sertifikanız yoksa, teknik değerlendirme ve sınama amacıyla RD Ağ Geçidi sunucunuz için otomatik olarak imzalanan bir sertifika oluşturabilir ve alabilirsiniz. Daha fazla bilgi için, bkz. Uzak Masaüstü Ağ Geçidi Sunucusu İçin Otomatik Olarak İmzalanan Sertifika Oluşturma.

    Önemli

    Sertifika edinmek için ilk iki yöntemden birini (bağımsız veya kurumsal CA'dan veya güvenilen genel CA'dan sertifika edinirseniz) kullanırsanız, sertifikayı Uzak Masaüstü Ağ Geçidi Sunucusu'na Sertifika Alma ve Uzak Masaüstü Ağ Geçidi İçin Varolan Sertifikayı Seçme gerekir. Ancak, Uzak Masaüstü Ağ Geçidi rol hizmetini yüklerken Rol Ekleme Sihirbazı'nı ya da yüklemeden sonra Uzak Masaüstü Ağ Geçidi Yöneticisi uygulamasını kullanarak otomatik olarak imzalanan bir sertifika oluşturursanız (Uzak Masaüstü Ağ Geçidi Sunucusu İçin Otomatik Olarak İmzalanan Sertifika Oluşturma başlıklı konuda açıklandığı şekilde), sertifikayı RD Ağ Geçidi sunucusuna yüklemenize veya eşlemenize gerek yoktur. Bu durumda, sertifika otomatik olarak oluşturulur, RD Ağ Geçidi sunucusunda doğru konuma yüklenir ve RD Ağ Geçidi sunucusuyla eşlenir.

    Uzak Masaüstü Hizmetleri istemcilerinin, Güvenilen Kök Sertifika Yetkilileri deposunda sunucu sertifikasını yayımlayan sertifika yetkilisinin (CA) sertifikasının bulunması gerektiğine dikkat edin. Sertifikayı istemciye yüklemeye ilişkin adım adım yönergeler için, bkz. Uzak Masaüstü Hizmetleri İstemcisine Uzak Masaüstü Ağ Geçidi Sunucusu Kök Sertifikası Yükleme.

    Sertifika edinmek için ilk iki yöntemden birini kullandıysanız ve Uzak Masaüstü Hizmetleri istemci bilgisayarı verilen CA'ya güveniyorsa, sunucu sertifikasını istemci bilgisayar sertifika deposunda veren CA'nın sertifikasını yüklemenize gerek yoktur. Örneğin, VeriSign veya diğer genel, güvenilen CA sertifikası RD Ağ Geçidi sunucusunda yüklüyse, yayınlayan CA'nın sertifikasını istemci bilgisayar sertifika deposuna yüklemenize gerek yoktur. Sertifika edinmek için üçüncü yöntemi kullanırsanız (otomatik olarak imzalanan sertifika oluşturursanız), sunucu sertifikasını yayınlayan CA'nın sertifikasını istemci bilgisayardaki Güvenilen Kök Sertifika Yetkilileri deposuna yüklemeniz gerekir. Daha fazla bilgi için, bkz. Uzak Masaüstü Hizmetleri İstemcisine Uzak Masaüstü Ağ Geçidi Sunucusu Kök Sertifikası Yükleme.

Adım 2: Sertifika alma

Sertifika edindikten sonra, aşağıdaki yöntemlerden birini kullanarak sertifikayı RD Ağ Geçidi sunucusuna alabilirsiniz:

Ek başvurular


İçindekiler