Подробный гайд: Создание и установка сертификата для RDP в Windows 11

Гайд по настройке сертификата для RDP в Windows 11. Безопасное удалённое подключение без ошибок и предупреждений. Пошаговая инструкция с PowerShell и реестром.

2026.05.04                  

Подробный гайд: Создание и установка сертификата для RDP в Windows 11Подробный гайд: Создание и установка сертификата для RDP в Windows 11

Важно:

С апреля 2026 года обновления Windows 11 ужесточили требования к безопасности при подключении через RDP. Использование доверенного сертификата стало ещё более актуальным.

Что вам понадобится

  • Права администратора на компьютере с Windows 11
- Сертификат в формате PFX (с закрытым ключом) — можно:
  • Сгенерировать самоподписанный
  • Получить бесплатно (Let's Encrypt, FreeSSL)
  • Приобрести у коммерческого центра сертификации

Способ 1: Быстрая установка готового PFX-сертификата

Шаг 1: Подготовка сертификата

Если у вас сертификат в формате .crt/.pem, конвертируйте его в PFX:

openssl pkcs12 -export -out rdp.pfx -inkey private.key -in certificate.crt -certfile ca-bundle.crt

Шаг 2: Импорт сертификата в систему

  1. Нажмите Win + R, введите certlm.msc → Enter
  2. Перейдите в Личные → Сертификаты
  3. Правой кнопкой → Все задачи → Импорт
  4. Выберите ваш .pfx файл, введите пароль, завершите мастер

Шаг 3: Настройка прав доступа к закрытому ключу

  1. В certlm.msc найдите импортированный сертификат
  2. ПКМ → Все задачи → Управление закрытыми ключами
  3. Добавьте пользователя NETWORK SERVICE с правами Чтение

Шаг 4: Получение отпечатка сертификата (Thumbprint)

Get-ChildItem "Cert:\LocalMachine\My" | Format-List Subject, Thumbprint

Скопируйте значение Thumbprint (без пробелов).

Шаг 5: Привязка сертификата к RDP

Для Windows 11 24H2 и новее: Команда wmic устарела и не поддерживается. Используйте один из методов ниже.

Метод А: Через PowerShell (универсальный)

# Замените XXX на ваш отпечаток
$certHash = "XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX"
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" -Name "SSLCertificateSHA1Hash" -Value $certHash

Метод Б: Через реестр вручную

  1. Откройте regedit
  2. Перейдите к:
   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp
  1. Создайте параметр SSLCertificateSHA1Hash (тип: REG_BINARY)
  2. Введите отпечаток сертификата без пробелов как шестнадцатеричные данные

Шаг 6: Перезапуск службы RDP

Restart-Service TermService -Force

Шаг 7: Проверка

Подключитесь через RDP — в строке состояния должен появиться значок замка, а предупреждение о сертификате исчезнуть.

Способ 2: Автоматическая выдача через корпоративный CA (для домена)

Шаг 1: Создание шаблона сертификата в Certificate Authority

  1. Откройте консоль Certification Authority
  2. Certificate Templates → ПКМ → Manage
  3. Найдите шаблон Computer, скопируйте его (Duplicate)
  4. На вкладке General задайте имя: RDPTemplate
5. На вкладке Extensions → Application Policies:
  • Удалите все политики
  • Добавьте только: Remote Desktop Authentication (1.3.6.1.4.1.311.54.1.2)
    1. На вкладке Security добавьте группу Domain Computers с правами Enroll и Autoenroll
    2. Сохраните шаблон
    3. В оснастке CA: Certificate Templates → New → Certificate Template to Issue → выберите RDPTemplate

Шаг 2: Настройка групповой политики (GPO)

  1. Откройте gpmc.msc, создайте новую GPO для OU с компьютерами
2. Перейдите:

Computer Configuration → Policies → Administrative Templates → Windows Components → Remote Desktop Services → Remote Desktop Session Host → Security

3. Включите политику:

Server authentication certificate template → укажите RDPTemplate

4. Включите:

Require use of specific security layer for remote (RDP) connections → выберите SSL

5. Для автообновления сертификатов:

Computer Configuration → Windows Settings → Security Settings → Public Key Policies
Certificate Services Client – Auto-Enrollment → включите все опции

Шаг 3: Применение политик

На клиентских машинах выполните:

gpupdate /force

Проверьте появление сертификата в certlm.msc → Личные.

Дополнительные рекомендации

Автообновление для Let's Encrypt (90-дневные сертификаты)

Создайте задачу в Планировщике заданий, которая будет:

  1. Обновлять сертификат через Certbot/WACS
  2. Выполнять команду привязки к RDP (Шаг 5 выше)
  3. Перезапускать TermService

Подпись .RDP-файлов (защита от предупреждений)

Для подписи сохранённых RDP-файлов используйте rdpsign.exe:

rdpsign.exe /sha256 YOUR_CERT_THUMBPRINT "C:\path\to\connection.rdp"

Добавьте отпечаток сертификата в политику:

Specify SHA1 thumbprints of certificates representing trusted .rdp publishers

Диагностика

Проверка текущего сертификата RDP:

(Get-CimInstance -class "Win32_TSGeneralSetting" -Namespace root\cimv2\terminalservices -Filter "TerminalName='RDP-tcp'").SSLCertificateSHA1Hash

Частые проблемы

Проблема Решение
«Не удалось проверить, не был ли отозван сертификат» Убедитесь, что клиент имеет доступ к CRL (Certificate Revocation List) вашего CA — обычно HTTP/HTTPS URL
Сертификат не применяется после перезагрузки Проверьте права NETWORK SERVICE на закрытый ключ
Команда wmic не работает В Windows 11 24H2+ используйте Set-ItemProperty или Set-WmiInstance
Предупреждение при подключении по IP Сертификат должен быть выпущен на то имя/домен, по которому происходит подключение

Совет:

Для тестовых сред подойдёт самоподписанный сертификат. Для продакшена используйте доверенный сертификат от публичного или корпоративного центра сертификации — это обеспечит безопасное подключение без предупреждений для пользователей.

×

Полный размер Слайдшоу Предыдущий Следующий