Certificados desempenham um papel importante em implantações de serviços de área de trabalho remota (RDS). Elas ajudam a proteger as comunicações entre cliente e servidor. Elas confirmam a identidade do servidor ou do Web site ao qual você está se conectando. Eles também assinar arquivos Remote Desktop Protocol (RDP) para assegurar-lhes que eles são de uma fonte confiável.

Você deve usar certificados com cada serviço de função RDS. Aqui está o que você precisa saber para instalar certificados em cada servidor de papel usando ferramentas local ou diretiva de grupo. Primeiro, configure todos os Host de Sessão RD por servidor segurança configurações de conexão do separador Geral do proto­caixa de diálogo de propriedades do ouvinte col da ferramenta de configuração do RD. Para chegar lá, vá em Ferramentas administrativas | Serviços de área de trabalho remota | Configuração do Host da sessão área de trabalho remota. Em seguida, faça duplo clique em RDP-Tcp na seção Connections do painel do meio. Esta é também onde você adiciona o certificado do servidor SSL.

Você pode definir essas configurações em uma base por servidor. Você também pode definir essas configurações usando a diretiva de grupo, aplicando o seguinte conjunto de configurações de objeto de diretiva de grupo (GPO) a unidade organizacional do Host de Sessão RD server (UO) de configuração do computador | Políticas | Modelos administrativos | Componentes do Windows | Serviços de área de trabalho remota | Host de sessão de área de trabalho remota | Segurança:

• Definir nível de criptografia da conexão de cliente
• Exigir a utilização de camada de segurança específicas para remotos conexões (RDP)
• Modelo de certificado de autenticação de servidor
• Exigir autenticação do usuário para conexões remotas usando autenticação no nível da rede (NLA)

Autenticação de rede

NLA não é exigida por padrão. Para requerer o uso de NLA para conexão com o servidor Host de Sessão RD, selecione a appropri­comeu a caixa de seleção. Ao fazê-lo irá impedir a conexão com o servidor de quaisquer clientes que não oferecem suporte a NLA (qualquer cliente que executam o RDC antes a versão 6. x e qualquer sistema operacional que não oferece suporte a provedor de suporte de segurança de credenciais ou CredSSP). Apenas clientes que executam o Windows 7, Windows Vista e Windows XP SP3 suportam CredSSP.

Autenticação do servidor

Defina o servidor configurações autenticação na seção de camada de segurança. O padrão é Nego­tiate, significado que cliente e servidor serão usar segurança de camada de transporte (TLS) para autenticação de servidor, que se sup­portado.

Você pode editar essa configuração para forçar a autenticação de servidor usando o protocolo TLS. Se você não puder autenticar o servidor, você pode definir o comportamento do cliente das configurações na guia Avançado do cliente Desktop remoto:

• Não conectar se a autenticação falhar
• Avisar se autenticação falhar
• Sempre conectar, mesmo se a autenticação falhar

Você pode escolher o certificado que o servidor deve usar para autenticar-se clicando em Selecione na parte inferior da tela. Se você clicar em Select, você pode obter mais detalhes sobre o certificado, incluindo o que ele é usado, o nome da autoridade de certificação (CA), e quando ela expira.

O certificado deve conter o nome DNS do servidor Host de Sessão RD. Isso será algo como rdsh1.domain.local, por exemplo. Se você implementou um farm de servidor, o certificado deve conter o nome DNS do farm de servidor Host de Sessão RD — por exemplo, farm.domain.local.

O servidor Host de Sessão RD é definido para usar um certificado auto-assinado, por padrão. Este certificado não se destina a ser usado em ambientes de produção por três razões:

• O autenticidade de certificado não é avaliado em tudo.
• O certificado não é confiável por clientes porque ele não é assinado por uma parte confiável (como uma CA pública ou a solução de infra-estrutura de chave pública interna da empresa).
• Se você estiver implementando um farm de servidores, o nome do certificado padrão não vai corresponder nome do farm de servidor RD sessão host, para que verificar a identidade do servidor falhará.

Assinatura de VMs em pool e pessoais

Você pode ter colocado em pool e pessoais máquinas virtuais (VMs) assinado por instalando um certificado SSL sobre o agente de conexão RD usando o Gerenciador de conexão de RD (se Figura 1).

Figura 1 você pode usar o Gerenciador de conexão de RD para assinar em pool ou único VMs.

Assinatura RemoteApps

Assinar RemoteApps usando o certificado instalado no Gerenciador de RemoteApp no servidor Host de Sessão RD (veja Figura 2).

Figura 2 você também pode assinar RemoteApps; Use o certificado no Gerenciador de RemoteApp.

Se você configurar um farm de servidores Host de Sessão RD, certifique-se de instalar o exato mesmo certificado em todos os servidores Host de Sessão RD no farm e em outras explorações agrícolas que você implanta. Dessa forma Web single sign-on (SSO) funcionará em todos os membros do farm de servidores e em todos os farms.

Para isso, exporte o certificado, incluindo a chave privada, de um servidor. Importá-lo para outro servidor usando o snap-in certificados no Microsoft Management Console (MMC) — adicionar a conta do computador, não a conta de usuário.

Se você estiver implementando o SSO da Web com acesso via Web RD e você estiver usando o agente de conexão RD como fonte de acesso via Web RD, em seguida, você deve instalar o mesmo certificado no agente de conexão RD como você faz em todos os servidores Host de Sessão RD (o mesmo certificado usado para assinar RemoteApps). Isso pode ser confuso por duas razões:

1. A seção onde você instala o certificado no agente de conexão RD é chamada “Virtual Desktops: Recursos e configuração,”que é enganosa. O certificado instalado aqui não é somente usado para a assinatura de infra-estrutura de desktop virtual (VDI) VMs, ele também é usado no processo de SSO da Web para a assinatura de RemoteApps quando agente de conexão RD está envolvido. Os certificados de autenticação no servidor Agente de conexão RD e Host de Sessão RD RemoteApp Manager devem corresponder ou SSO da Web falhará.
2. Quando você inicia um RemoteApp, e o certificado instalado no agente de conexão RD é diferente daquele instalado nos servidores Host de Sessão RD, SSO da Web não funcionará. Não há nenhuma indicação, no entanto, o certificado é realmente diferente no agente de conexão RD. A janela pop-up mostra apenas o certificado no Gerenciador de RemoteApp, por isso, é difícil dizer que há um problema de certificado.

Verifique blog “Introducing Web Single Sign-On para e Desktop conexões RemoteApp” para obter mais informações sobre como configurar o SSO da Web.

Protegendo o Site de acesso Web RD

Protegendo um site não é específico do RDS. Para proteger o site do acesso via Web RD, adicione um certificado com o nome DNS do Web site no IIS (consulte Figura 3).

Figura 3 Adicionar um certificado com o nome DNS pode proteger um site acesso via Web RD.

Certificados instalados para armazenamento do servidor do computador pessoal que tem a chave privada incluída aparecerão como opções na caixa de lista suspensa correspondente no menu Editar.

Configurando o Gateway RD com um certificado

A instalação de Gateway RD requer um certificado para criptografar as comunicações entre cliente e servidor, especialmente através da Internet. O certificado SSL deve conter o nome DNS do servidor Gateway RD que os usuários externos podem resolver (nome do DNS externo, por exemplo: rdgateway.Domain.com).

Instalar o certificado RD Gateway por meio da guia certificado SSL nas propriedades do Gerenciador de Gateway RD (veja Figura 4). Veja mais informações sobre certificados de Gateway RD na TechNet Library.

Figura 4 instalar o certificado de Gateway RD.

Você pode configurar certificados em sua implantação de RDS para comunicações seguras e autenticar o cliente e servidor. Não há requisitos de certificado específico para cada serviço de função. Isso deve ajudá-lo a entender porque você precisa de certificados em implementações de RDS e como e onde implementar certificados com cada serviço de função RDS.

Fonte: https://technet.microsoft.com/pt-br/library/hh987041.aspx