この問題を解決するには、次の手順を実行します。
ターミナル サービス構成を使用して、書き換える必要がある証明書を特定します。
次のいずれかの手順に従って、ターミナル サーバーで使用されている証明書を書き換えます。
同じキーで証明書を書き換えます。 同じキーで書き換えると、過去に使用した付属のキー ペアとの互換性を最大限に確保できますが、証明書とキー ペアのセキュリティの強化にはなりません。 書き換えたら、古い証明書はアーカイブされます。
新しいキーで証明書を書き換えます。 新しいキーで書き換えると、既存の証明書とその関連データを引き続き使用できると同時に、証明書に関連付けられているキーの強度を高めることができます。 書き換えたら、古い証明書とキー ペアはアーカイブされます。
TLS 1.0 (SSL) に証明書を使用するようにターミナル サーバーを構成します。
キーについては、「Key Archival and Recovery: Active Directory Certificate Services in Windows Server 2008」( http://go.microsoft.com/fwlink/?LinkId=102277) を参照してください。
ターミナル サーバーによって自動生成された自己署名証明書を使用している場合、証明書の有効期限が切れる 30 日前に、ターミナル サーバーによって証明書が自動的に書き換えられることに注意してください。
この手順を実行するには、ローカルの Administrators グループのメンバであるか、適切な権限を委任されている必要があります。
書き換える必要がある証明書の特定
書き換える必要がある証明書を特定するには、次の手順を実行します。
ターミナル サービス構成を開きます。 ターミナル サービス構成を開くには、[スタート] ボタンをクリックし、[管理ツール]、[ターミナル サービス] の順にポイントして、[ターミナル サービス構成] をクリックします。
詳細ウィンドウの [接続] で、接続 ([RDP-tcp] など) を右クリックし、[プロパティ] をクリックします。
[全般] タブで [選択] をクリックします。
[証明書の選択] ダイアログ ボックスで、選択されている証明書を確認して、[証明書の表示] をクリックします。
[証明書] ダイアログ ボックスで、[全般] をクリックして、有効期限を確認します。 証明書が数日以内に有効期限切れになる場合、「同じキーで証明書を書き換える」または「新しいキーで証明書を書き換える」の手順に従います。
[OK] をクリックして [証明書] ダイアログ ボックスを閉じます。
[OK] をクリックして [証明書の選択] ダイアログ ボックスを閉じます。
[OK] をクリックして、接続の [プロパティ] ダイアログ ボックスを閉じます。
同じキーで証明書を書き換える
この手順は、エンタープライズ証明機関 (CA) からの証明書の要求にのみ使用できます。
同じキーで証明書を書き換えるには、次の手順を実行します。
ターミナル サーバー上で、コンピュータの [証明書] スナップインを開きます。 [証明書] スナップイン コンソールをまだ追加していない場合、次の手順で行うことができます。
[スタート] ボタン、[ファイル名を指定して実行] の順にクリックし、「mmc」と入力して、[OK] をクリックします。
[ファイル] メニューの [スナップインの追加と削除] をクリックします。
[スナップインの追加と削除] ダイアログ ボックスの [利用可能] スナップインの一覧で、[証明書] をクリックし、[追加] をクリックします。
[証明書スナップイン] ダイアログ ボックスで、[コンピュータ アカウント] をクリックし、[次へ] をクリックします。
[コンピュータの選択] ダイアログ ボックスで、[ローカル コンピュータ: (このコンソールを実行しているコンピュータ)] をクリックし、[完了] をクリックします。
[スナップインの追加と削除] ダイアログ ボックスで、[OK] をクリックします。
証明書が論理証明書ストアに表示されていることを確認します。 確認するには、[表示] メニューの [オプション] をクリックし、[オプションの表示] ダイアログ ボックスで、[論理証明書ストア] が選択されていることを確認します。
[証明書] スナップイン コンソールのコンソール ツリーで、[証明書 (ローカル コンピュータ)] を展開し、[個人] をクリックして、[証明書] をクリックします。
詳細ウィンドウで、書き換える証明書をクリックします。
[操作] メニューの [すべてのタスク] をポイントし、[詳細設定操作] を選択します。次に、[同じキーでこの証明書を書き換え] をクリックし、証明書の書き換えウィザードを起動します。
[証明書の要求] ウィンドウに複数の証明書が表示されている場合、書き換える証明書を選択して、次のいずれかを行います。
既定値を使用して証明書を書き換えます。
[詳細] をクリックし、[プロパティ] をクリックして独自の証明書書き換え設定を行います。 証明書を発行している CA を把握しておく必要があります。
[登録] をクリックします。
証明書の書き換えウィザードが正常に完了した後、[完了] をクリックします。
新しいキーで証明書を書き換える
この手順は、エンタープライズ CA からの証明書の要求にのみ使用できます。
新しいキーで証明書を書き換えるには、次の手順を実行します。
ターミナル サーバー上で、コンピュータの [証明書] スナップインを開きます。 [証明書] スナップイン コンソールをまだ追加していない場合、次の手順で行うことができます。
[スタート] ボタン、[ファイル名を指定して実行] の順にクリックし、「mmc」と入力して、[OK] をクリックします。
[ファイル] メニューの [スナップインの追加と削除] をクリックします。
[スナップインの追加と削除] ダイアログ ボックスの [利用可能] スナップインの一覧で、[証明書] をクリックし、[追加] をクリックします。
[証明書スナップイン] ダイアログ ボックスで、[コンピュータ アカウント] をクリックし、[次へ] をクリックします。
[コンピュータの選択] ダイアログ ボックスで、[ローカル コンピュータ: (このコンソールを実行しているコンピュータ)] をクリックし、[完了] をクリックします。
[スナップインの追加と削除] ダイアログ ボックスで、[OK] をクリックします。
証明書が論理証明書ストアに表示されていることを確認します。 確認するには、[表示] メニューの [オプション] をクリックし、[オプションの表示] ダイアログ ボックスで、[論理証明書ストア] が選択されていることを確認します。
[証明書] スナップイン コンソールのコンソール ツリーで、[証明書 (ローカル コンピュータ)] を展開し、[個人] をクリックして、[証明書] をクリックします。
詳細ウィンドウで、書き換える証明書をクリックします。
[操作] メニューの [すべてのタスク] をポイントし、[新しいキーで証明書を書き換え] をクリックして、証明書の書き換えウィザードを起動します。
証明書の書き換えウィザードで、次のいずれかを行います。
既定値を使用して証明書を書き換えます。
独自の証明書書き換え設定を行うには、[詳細] をクリックし、[プロパティ] をクリックします。 証明書を発行している暗号化サービス プロバイダ (CSP) と CA を把握しておく必要があります。
証明書に関連付ける公開キーの長さ (単位はビット) を選択します。
秘密キーの保護を強力にするように選択することもできます。 秘密キーの保護を強力にすると、秘密キーを使用するたびにパスワードの入力を求められます。 これは、無断で秘密キーが使用されることを防ぐのに役立ちます。
証明書を要求する準備ができたら、[登録] をクリックします。
証明書書き換えウィザードが正常に完了した後、[閉じる] をクリックします。
TLS 1.0 (SSL) に証明書を使用するようにターミナル サーバーを構成する
TLS 1.0 (SSL) に証明書を使用するようにターミナル サーバーを構成するには、次の手順を実行します。
ターミナル サービス構成を開きます。 ターミナル サービス構成を開くには、[スタート] ボタンをクリックし、[管理ツール]、[ターミナル サービス] の順にポイントして、[ターミナル サービス構成] をクリックします。
詳細ウィンドウの [接続] で、[RDP-tcp] を右クリックし、[プロパティ] をクリックします。
[全般] タブで [選択] をクリックします。
[証明書の選択] ダイアログ ボックスで、使用する証明書をクリックして [OK] をクリックします。
Target | Microsoft.Windows.Server.2008.TerminalServicesRole.Service.TerminalServer | ||
Category | EventCollection | ||
Enabled | True | ||
Event Source | Microsoft-Windows-TerminalServices-RemoteConnectionManager | ||
Alert Generate | True | ||
Alert Severity | Error | ||
Alert Priority | Normal | ||
Remotable | True | ||
Alert Message |
| ||
Event Log | System |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
DS | DataSource | Microsoft.Windows.EventProvider | Default |
Alert | WriteAction | System.Health.GenerateAlert | Default |
<Rule ID="Microsoft.Windows.Server.2008.TerminalServicesRole.Service.TerminalServer.EventCollection.1052.1065.1053" Enabled="onStandardMonitoring" Target="Microsoft.Windows.Server.2008.TerminalServicesRole.Service.TerminalServer" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">
<ComputerName>$Target/Host/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>System</LogName>
<Expression>
<And>
<Expression>
<RegExExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>MatchesRegularExpression</Operator>
<Pattern>^(1052|1065|1053)$</Pattern>
</RegExExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="String">Microsoft-Windows-TerminalServices-RemoteConnectionManager</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</And>
</Expression>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="Alert" TypeID="SystemHealth!System.Health.GenerateAlert">
<Priority>1</Priority>
<Severity>2</Severity>
<AlertName/>
<AlertDescription/>
<AlertOwner/>
<AlertMessageId>$MPElement[Name="Microsoft.Windows.Server.2008.TerminalServicesRole.Service.TerminalServer.EventCollection.1052.1065.1053.AlertMessage"]$</AlertMessageId>
<AlertParameters>
<AlertParameter1>$Data/EventDescription$</AlertParameter1>
</AlertParameters>
<Suppression>
<SuppressionValue>$Data/LoggingComputer$</SuppressionValue>
</Suppression>
<Custom1/>
<Custom2/>
<Custom3/>
<Custom4/>
<Custom5/>
<Custom6/>
<Custom7/>
<Custom8/>
<Custom9/>
<Custom10/>
</WriteAction>
</WriteActions>
</Rule>