Bu konu, sertifika güven zinciri, sertifika imzalama ve genel ortak anahtar altyapısı ile sertifika yapılandırma ilkeleri üzerine bilgi sahibi olduğunuzu varsayar. Windows Server 2008'da PKI yapılandırması ile ilgili bilgi için bkz. ITPROADD-204: Windows Vista ve Windows Server 2008 işletim sistemlerindeki PKI Geliştirme (
Varsayılan olarak, Uzak Masaüstü Hizmetleri istemcileri ile RD Ağ Geçidi sunucuları arasında Internet'ten iletişimi şifrelemek için Aktarım Katmanı Güvenliği (TLS) 1.0 kullanılır. TLS, Internet veya intranetler üzerinde güvenli Web iletişimi sağlamak için kullanılan standart bir protokoldür. TLS, Güvenli Yuva Katmanı (SSL) protokolünün en son ve en güvenli sürümüdür. TLS ile ilgili daha fazla bilgi için, bkz:
- Windows Server 2003'te SSL/TLS (
https://go.microsoft.com/fwlink/?LinkId=19646 ) (Bu sayfa İngilizce içeriğe sahip olabilir.) - RFC 2246, TLS Protokolü Sürüm 1.0 (
https://go.microsoft.com/fwlink/?LinkID=40979 ) (Bu sayfa İngilizce içeriğe sahip olabilir.)
TLS'nin düzgün çalışması için, RD Ağ Geçidi sunucusuna SSL uyumlu X.509 sertifikası yüklemeniz gerekir.
Sertifika yükleme ve yapılandırma işlemine genel bakış
RD Ağ Geçidi sunucusu için sertifika edinme, yükleme ve yapılandırma işlemi aşağıdaki adımlardan oluşur.
Adım 1: Uzak Masaüstü Ağ Geçidi sunucusu için sertifika edinme
Aşağıdaki yöntemlerden birini kullanarak RD Ağ Geçidi sunucusu için sertifika edinebilirsiniz:
- Şirketinizde, RD Ağ Geçidi gereksinimlerini karşılayan SSL uyumlu X.509 sertifikaları yayımlayacak şekilde yapılandırılan bağımsız ya da kurumsal bir sertifika yetkilisi (CA) varsa, kuruluşunuzun sertifika yetkilisinin ilkelerine ve yapılandırmasına bağlı olarak bir sertifika isteğini çeşitli şekillerde oluşturabilir ve gönderebilirsiniz. Sertifika edinme yöntemleri şunları içerir:
- Sertifikalar ek bileşeninden otomatik kayıt başlatarak.
- Sertifika İsteği Sihirbazı'nı kullanarak sertifika isteyerek.
- Web üzerinden sertifika isteyerek.
Not Windows Server 2003 CA'ya sahipseniz, Windows Server 2003 Sertifika Hizmetleri Web kayıt işlevinin Xenroll adı verilen ActiveX denetimine bağlı olduğunu göz önünde bulundurun. ActiveX denetimi, Microsoft Windows Server 2003, Windows 2000 ve Windows XP işletim sistemlerinde bulunur. Ancak Xenroll Windows Server 2008 ve Windows Vista ile kaldırılmıştır. Windows Server 2003, Windows Server 2003 Service Pack 1 (SP1) ve Windows Server 2003 Service Pack 2 (SP2) işletim sistemlerinin özgün sürümünde bulunan örnek sertifika kayıt Web sayfaları Windows Server 2008 ve Windows Vista işletim sistemlerinde Web tabanlı sertifika kayıt işlemlerindeki değişikliği işleyecek şekilde tasarlanmamıştır. Bu sorunu çözmek için gerekli adımlarla ilgili bilgiyi Microsoft Bilgi Bankası'nda 922706 numaralı makalede bulabilirsiniz (
https://go.microsoft.com/fwlink/?LinkId=94472 ). (Bu sayfa İngilizce içeriğe sahip olabilir.) - Certreq Komut Satırı Aracını Kullanma
https://go.microsoft.com/fwlink/?LinkID=19638 ). (Bu sayfa İngilizce içeriğe sahip olabilir.)
Bağımsız ya da kurumsa CA tarafından yayınlanan sertifika, Microsoft Kök Sertifika Program Üyeleri programına katılan güvenilen bir genel CA tarafından ortak imzalanması gerekir (https://go.microsoft.com/fwlink/?LinkID=59547 . (Bu sayfa İngilizce içeriğe sahip olabilir.) Aksi takdirde, ev bilgisayarlarından veya bilgi noktalarından bağlanan kullanıcılar TH Ağ Geçidi veya RD Ağ Geçidi sunucularına bağlanamayabilir. Bu bağlantılar, CA tarafından yayınlanan köke, ev bilgisayarları veya bilgi noktaları gibi etki alanlarının üyesi olmayan bilgisayarlar tarafından güvenilmeyeceği için başarısız olur. - Sertifikalar ek bileşeninden otomatik kayıt başlatarak.
- Şirketiniz, SSL uyumlu X.509 sertifikaları yayınlayacak şekilde yapılandırılna bağımsız veya kurumsal CA'ya sahip değilse, Microsoft Kök Sertifika Program Üyeleri programına katılan güvenilen bir genel CA'dan bir sertifika satın alabilirsiniz. (
https://go.microsoft.com/fwlink/?LinkID=59547 ). (Bu sayfa İngilizce içeriğe sahip olabilir.) Bu genel CA'ların bazıları deneme amaçlı olarak ücretsiz sertifikalar sağlayabilir. - Diğer bir seçenek olarak, şirketiniz bağımsız veya kurumsal bir CA'ya sahip değilse ve güvenilen bir genel CA'dan uyumlu bir sertifikanız yoksa, teknik değerlendirme ve sınama amacıyla RD Ağ Geçidi sunucunuz için otomatik olarak imzalanan bir sertifika oluşturabilir ve alabilirsiniz. Daha fazla bilgi için, bkz. Uzak Masaüstü Ağ Geçidi Sunucusu İçin Otomatik Olarak İmzalanan Sertifika Oluşturma.
Uzak Masaüstü Hizmetleri istemcilerinin, Güvenilen Kök Sertifika Yetkilileri deposunda sunucu sertifikasını yayımlayan sertifika yetkilisinin (CA) sertifikasının bulunması gerektiğine dikkat edin. Sertifikayı istemciye yüklemeye ilişkin adım adım yönergeler için, bkz. Uzak Masaüstü Hizmetleri İstemcisine Uzak Masaüstü Ağ Geçidi Sunucusu Kök Sertifikası Yükleme.Önemli Sertifika edinmek için ilk iki yöntemden birini (bağımsız veya kurumsal CA'dan veya güvenilen genel CA'dan sertifika edinirseniz) kullanırsanız, sertifikayı Uzak Masaüstü Ağ Geçidi Sunucusu'na Sertifika Alma ve Uzak Masaüstü Ağ Geçidi İçin Varolan Sertifikayı Seçme gerekir. Ancak, Uzak Masaüstü Ağ Geçidi rol hizmetini yüklerken Rol Ekleme Sihirbazı'nı ya da yüklemeden sonra Uzak Masaüstü Ağ Geçidi Yöneticisi uygulamasını kullanarak otomatik olarak imzalanan bir sertifika oluşturursanız (Uzak Masaüstü Ağ Geçidi Sunucusu İçin Otomatik Olarak İmzalanan Sertifika Oluşturma başlıklı konuda açıklandığı şekilde), sertifikayı RD Ağ Geçidi sunucusuna yüklemenize veya eşlemenize gerek yoktur. Bu durumda, sertifika otomatik olarak oluşturulur, RD Ağ Geçidi sunucusunda doğru konuma yüklenir ve RD Ağ Geçidi sunucusuyla eşlenir.
Sertifika edinmek için ilk iki yöntemden birini kullandıysanız ve Uzak Masaüstü Hizmetleri istemci bilgisayarı verilen CA'ya güveniyorsa, sunucu sertifikasını istemci bilgisayar sertifika deposunda veren CA'nın sertifikasını yüklemenize gerek yoktur. Örneğin, VeriSign veya diğer genel, güvenilen CA sertifikası RD Ağ Geçidi sunucusunda yüklüyse, yayınlayan CA'nın sertifikasını istemci bilgisayar sertifika deposuna yüklemenize gerek yoktur. Sertifika edinmek için üçüncü yöntemi kullanırsanız (otomatik olarak imzalanan sertifika oluşturursanız), sunucu sertifikasını yayınlayan CA'nın sertifikasını istemci bilgisayardaki Güvenilen Kök Sertifika Yetkilileri deposuna yüklemeniz gerekir. Daha fazla bilgi için, bkz. Uzak Masaüstü Hizmetleri İstemcisine Uzak Masaüstü Ağ Geçidi Sunucusu Kök Sertifikası Yükleme.
Adım 2: Sertifika alma
Sertifika edindikten sonra, aşağıdaki yöntemlerden birini kullanarak sertifikayı RD Ağ Geçidi sunucusuna alabilirsiniz:
- Sertifika deposuna bir sertifika yüklemek ve sertifikayı RD Ağ Geçidi sunucusuna almak için, bkz. Uzak Masaüstü Ağ Geçidi Sunucusu'na Sertifika Alma.
- Varolan bir sertifikayı sertifika deposundan RD Ağ Geçidi sunucusuna almak için, bkz. Uzak Masaüstü Ağ Geçidi İçin Varolan Sertifikayı Seçme.