Windows Terminal Server - Installatie certificaat

Na uitgifte ontvang je het certificaat per e-mail. Je kunt het certificaat ook downloaden in het Control Panel.

Het certificaatbestand heeft dezelfde naam als de domeinnaam waarvoor het is aangevraagd, bijvoorbeeld www_sslcertificaten_nl.crt,

Let op: De Terminal Server client heeft minimaal de RDP 5.2 client nodig om verbinding te kunnen maken met de server via TLS.

Inleiding

De instellingen voor encryptie op de Terminal Server zijn te wijzigen via Group Policy. De instellingen voor authenticatie via de Group Policy kunnen echter niet worden gewijzigd. Deze handleiding omschrijft dan ook hoe zowel authenticatie als encryptie kan worden ingesteld via het Terminal Services Configuration programma.

Om met TLS te kunnen werken op de terminal server moeten de volgende onderdelen geconfigureerd worden in het RDP-TCP eigenschappen venster:

  • Een certificaat dient te worden geïnstalleerd dat gebruikt kan worden door het Remote Desktop Protocol.
  • De beveiligingslaag moet ingesteld worden om te onderhandelen via SSL.
  • Het encryptieniveau dient op hoog gezet te worden, of er moet een FIPS-ondersteunde encryptie worden gebruikt.

TLS Authenticatie en encryptie instellen

  1. Klik op Menu Start Administrative ToolsTerminal Services Configuration om de Terminal Services Configuration tool te starten.
  2. Kies Connections in het linker scherm.
  3. Selecteer aan de rechterkant de verbinding dat moet worden ingesteld, en klik op Properties.
  4. Op tabblad General, klik op Edit naast Certificate.
  5. Kies het te gebruiken certificaat in het Select Certificate venster. Let er op dat zowel Server Authentication als Intended Purpose voor het certificaat moet zijn ingesteld. Hiervoor is ook toegang tot de private key van het certificaat nodig.
  6. Klik op OK.
  7. Klik in de Security layer lijst de volgende opties aan:
    • Negotiate: Deze methode gebruikt TLS 1.0 voor authenticatie naar de server indien TLS wordt ondersteund.
    • RDP Security Layer: Deze methode gebruikt Remote Desktop Protocol Encryption om de verbinding van server naar client te beveiligen; authenticatie naar de server vindt niet plaats.
    • SSL: Deze methode gebruikt TLS 1.0 voor authenticatie naar de server.
    Indien SSL wordt gebruikt, zet het encryptie niveau dan op hoog, en stel de FIPS ondersteunde encryptie in.
  8. Selecteer Use standard Windows logon interface om in te stellen dat gebruikers hun wachtwoord in het standaard Windows inlogvenster invoeren.
  9. Klik op OK.

TLS instellen op client

  1. Start Remote Desktop Connection
  2. Klik op Options, en daarna op de Security tab. Indien dit tabblad niet aanwezig is, dient eerst de Windows Server 2003 SP1 versie van RDP te worden geïnstalleerd.
  3. Selecteer Attempt authentication of Require authentication om te proberen een verbinding met TLS op te bouwen. TLS 1.0 wordt gebruikt voor de authenticatie van de terminal server. Attempt authentication biedt de mogelijkheid om toch door te gaan als er problemen worden gedetecteerd, met Require authentication is die mogelijkheid er niet.

Alle stappen voor de installatie van het certificaat zijn voltooid. Zorg dat de certificaatbestanden goed zijn beveiligd, en bewaar een backup van de private key en het certificaat op een veilige plek. Installeer ook de root en intermediate certificaten. Controleer met de SSLCheck of het certificaat juist is geinstalleerd en zorg voor een optimale configuratie van het SSL certificaat met deze tips en instellingen.

Aarzel niet om contact met ons op te nemen bij problemen of foutmeldingen, wij helpen je graag!

 

Gerelateerde artikelen:

Windows Terminal Server - Aanmaken CSR

SSLCheck

De SSLCheck controleert of je certificaat goed op je server is geïnstalleerd en of er mogelijke problemen zijn.