Om een eigen certificaat op een Server Core 2016 te installeren en activeren zijn wat aparte stappen nodig.
Op een normale Server 2016 kan je namelijk via certlm.msc bij het certificaat de toegang tot de private key eenvoudig regelen. Aangezien de Server Core geen GUI heeft en dus ook niet de beschikking over MMC.exe gaat dit niet zo lukken.
Eerst moet je het certificaat op de server krijgen, dit kan via normale filesharing. Maak een map aan op de server en dan vanaf de clientpc naar \SERVER\c$[aangemaakte map]
Dan via PowerShell het certificaat importeren:
Import-PfxCertificate -filepath .\wildcard.wil30.nl.p12 -CertStoreLocation Cert:\LocalMachine\My
Noteer ook alvast was de thumbprint is, want die krijg je in de output te zien. Die heb je nodig voor het importeren van de waarde in het register.
Mocht je het gemist hebben geef dan het volgende PowerShell commando
Get-ChildItem Cert:\LocalMachine\My
Voor het gebruik als remote desktop certificaat moet de thumbprint als binaire waarde in het register worden opgenomen. Daarnaast moet NETWORK SERVICE rechten krijgen op de private key van het certificaat anders mislukt de RDP sessie.
Als je via Powershell het certificaat importeert dan wordt de private key weggeschreven onder de volgende map:
\wsrv01\c$\ProgramData\Microsoft\Crypto\Keys
Daar dus het bestand (met een datum tijd van wanneer je het certificaat had geimporteerd) selecteren en dan daarna de rechten voor NETWORK SERVICE toekennen. (Lezen / Lezen en uitvoeren)
Onder de sleutel HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp moet de binaire waarde met naam SSLCertificateSHA1Hash worden aangemaakt.
De inhoud van de sleutel als binaire waarde bewerken en dan de thumbprint invoeren die hierboven is gevonden.
Eenvoudiger is om een registry export te importeren.
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp]
"SSLCertificateSHA1Hash"=hex:60,d0,2b,14,70,c4,0d,68,a8,50,e2,bb,a9,39,dc,c7,\
ba,b0,33,6a
Let op!
Als je de rechten vergeet te zetten en de RDP sessie die je hebt staan verbreekt dan kan je daarna niet meer verbinden totdat je de rechten goed hebt gezet.