Bu yazımızda, Uzak Masaüstü Hizmetleri (RDS)’in kullanılmadığı ve sadece RDP protokolü vasıtası ile bağlantı kurulan bir sunucuda dinleyici sertifikalarını yapılandırma yöntemlerini tanımlamaya çalışacağız.
Uzak Masaüstü sunucusu dinleyicisi nedir?
Dinleyici bileşeni Uzak Masaüstü sunucusunda çalışır ve yeni Uzak Masaüstü Protokolü (RDP) istemci bağlantılarının dinlenmesinden ve kabul edilmesinden sorumludur.
Bu durum, kullanıcıların Uzak Masaüstü sunucusunda yeni oturumlar oluşturmasına olanak tanır.
Uzak Masaüstü sunucusunda var olan her RDS bağlantısı için bir dinleyici bulunur. Bağlantılar, Uzak Masaüstü Hizmetleri Yapılandırma aracı kullanılarak oluşturulabilir ve yapılandırılabilir.
Dinleyici Sertifikasını Yapılandırma Yöntemleri
Windows Server 2003, Windows Server 2008 veya Windows Server 2008 R2’de Uzak Masaüstü Yapılandırma Yöneticisi MMC ek bileşeni, RDP dinleyicisine doğrudan erişmenizi sağlar.
Ek bileşende dinleyiciye bir sertifika bağlayabilir ve bunun karşılığında RDP oturumları için SSL güvenliğini zorunlu kılabilirsiniz.
Windows Server 2012 ve daha üst sürümlerinde, söz konusu MMC ek bileşeni mevcut değildir.
Bu nedenle sistem, RDP dinleyicisine doğrudan erişim sağlamaz.
Windows Server 2012 ve üzeri versiyonlarda dinleyici sertifikalarını yapılandırmak için aşağıdaki yöntemlerden birini kullanmamız gerekiyor.
1. ilk olarak Windows Yönetim Araçları (WMI) komut dosyası bileşeninin kullanımına bakalım:
RDS dinleyicisinin yapılandırma verileri, Windows Yönetim Araçlarındaki “Win32_TSGeneralSetting” sınıfında “Root\CimV2\TerminalServices” ad alanı altında depolanır.
RDS dinleyicisinin sertifikasına, SSLCertificateSHA1Hash özelliğindeki her sertifikanın benzersiz Parmak İzi değeri (Thumbprint value) aracılığıyla başvurulur.
Ayrıca, Windows Yönetim Araçları komutlarını çalıştırmadan önce, kullanmak istediğiniz sertifikanın bilgisayar hesabının Kişisel sertifika deposuna aktarılması gerekir.
Söz konusu sunucuya Sertifikanın kurulumu doğru bir şekilde yapılmamış ise, Geçersiz Parametre hatası ile karşılaşırsınız.
Sistem üzerinde kurulu olan her hangi bir sertifikayı WMI komutlarını kullanarak uzak masa üstü oturumu ile aşağıdaki adımlar aracılığı ile ilişkilendirebiliriz.
-
Sertifikanızın özellikler iletişim kutusunu açın ve Ayrıntılar sekmesini seçin.
-
“Thumbprint” alanını bulana kadar aşağıya kaydırın ve boşlukla ayrılmış olan dizeyi Not Defteri gibi bir text bileşenine kopyalayın.
Dizedeki boşlukları kaldırdıktan sonra bile dize yalnızca komut isteminde görülebilen görünmez ASCII karakterini hâlâ içerir.
Sertifikayı içe aktarma komutunu çalıştırmadan önce bu ASCII karakterinin kaldırıldığından emin olun.
-
Komut isteminde, 3. adımda elde ettiğiniz parmak izi değeriyle birlikte aşağıdaki wmic komutunu çalıştırın:
wmic /namespace:\\root\cimv2\TerminalServices PATH Win32_TSGeneralSetting Set SSLCertificateSHA1Hash=”THUMBPRINT”
2. Ayrıca, yukarıdaki işlem kayıt defteri düzenleyicisi aracılığı ile de uygulanabilir.
-
Öncelikle Kişisel sertifika deposuna (Personal certificate store) geçerli bir sunucu kimlik doğrulama sertifikası yükleyin.
-
Bu özel sertifikayı, TLS’yi destekleyecek şekilde varsayılan self-signed sertifika ile değiştirmek için sertifikanın SHA1 karmasını içeren aşağıdaki kayıt defteri değerini oluşturun.
söz konusu değer kayıt defterinde
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp
anahtarı altında bulunur.Sağ bölmeden, değer türü “REG_BINARY” olan SSLCertificateSHA1Hash anahtarını bulun ve değerini yüklemek istediğiniz sertifikanın parmak izi değeri ile değiştirin.
Söz konusu değer, sertifikanın parmak izi olmalı ve boşluk bırakmadan virgül (,) ile ayrılmalıdır.
Örneğin bu anahtar dışa aktarılınca, SSLCertificateSHA1Hash değeri aşağıdaki gibi görünecektir.
SSLCertificateSHA1Hash=hex:42,49,e1,6e,0a,f0,a0,2e,63,c4,5c,93,fd,52,ad,09,27,82,1b,01.
-
Uzak Masaüstü Ana Bilgisayar Hizmetleri, NETWORK SERVICE account (AĞ HİZMETİ hesabı) altında çalışır.
Bu nedenle, RDS tarafından kullanılan anahtar dosyasının sistem erişim kontrol listesini (SACL), Okuma izinleriyle birlikte AĞ HİZMETİ’ni içerecek şekilde ayarlamanız gerekir.
İzinleri değiştirmek için yerel bilgisayarın Sertifikalar ek bileşeninde şu adımları izleyin:
A) Çalıştır’a certlm.msc yazıp tamam düğmesine tıklayarak sertifikalar bileşenini açın.
B) Sertifikalar ek bileşeninde, konsol ağacında Sertifikalar (Yerel Bilgisayar) seçeneğini genişletin, Kişisel seçeneğini genişletin ve ardından kullanmak istediğiniz SSL sertifikasını seçin.
C) Sertifikaya sağ tıklayın, Tüm Görevler’i ve ardından Özel Anahtarları Yönet’i seçin.
D) İzinler iletişim kutusunda Ekle düğmesine tıklayın, “NETWORK SERVICE” yazın, Tamam’a tıklayın, İzin Ver bölümünde “Read” onay kutusunu seçin ve ardından Tamam’a tıklayın.
Yukarıda anlattığımız yöntemlerden birini kullanarak geçerli sunucu sertifikanızı RDP protokolünü kullanan Uzak Masa Üstü yazılımına tanıttığınızda, daha güvenli bir şekilde iletişimin yanı sıra, uzak bilgisayara her bağlanıldığında “Geçersiz Sertifika Uyarısı” hatasını da gidermiş olacaksınız…
Kaynak: