在远程管理模式下为 Windows Server 2012（及更高版本）上的 RDP 配置自定义 SSL 证书？

事实证明，RDSH 的大部分配置数据都存储在命名空间Win32_TSGeneralSetting中 WMI 的类中root\cimv2\TerminalServices。为给定连接配置的证书由该证书在名为 的属性上的指纹值引用SSLCertificateSHA1Hash。

更新：这是一个通用的 Powershell 解决方案，可以在计算机的个人存储中获取并设置第一个 SSL 证书的指纹。如果您的系统有多个证书，您应该向命令添加一个-Filter选项以gci确保您引用了正确的证书。我在下面完整地保留了我的原始答案以供参考。

# get a reference to the config instance
$tsgs = gwmi -class "Win32_TSGeneralSetting" -Namespace root\cimv2\terminalservices -Filter "TerminalName='RDP-tcp'"

# grab the thumbprint of the first SSL cert in the computer store
$thumb = (gci -path cert:/LocalMachine/My | select -first 1).Thumbprint

# set the new thumbprint value
swmi -path $tsgs.__path -argument @{SSLCertificateSHA1Hash="$thumb"}

为了获得指纹值

1. 打开证书的属性对话框并选择详细信息选项卡
2. 向下滚动到 Thumbprint 字段并将空格分隔的十六进制字符串复制到记事本之类的东西中
3. 从字符串中删除所有空格。您还需要注意并删除有时会在字符串中的第一个字符之前复制的非 ascii 字符。它在记事本中不可见。
4. 这是您需要在 WMI 中设置的值。它应该看起来像这样：1ea1fd5b25b8c327be2c4e4852263efdb4d16af4。

现在您有了指纹值，下面是您可以使用 wmic 设置值的单行代码：

wmic /namespace:\\root\cimv2\TerminalServices PATH Win32_TSGeneralSetting Set SSLCertificateSHA1Hash="THUMBPRINT"

或者，如果您喜欢 PowerShell，则可以改用它：

$path = (Get-WmiObject -class "Win32_TSGeneralSetting" -Namespace root\cimv2\terminalservices -Filter "TerminalName='RDP-tcp'").__path
Set-WmiInstance -Path $path -argument @{SSLCertificateSHA1Hash="THUMBPRINT"}

注意：证书必须位于计算机帐户的“个人”证书存储中。

如果您在尝试 Ryan 的解决方案时收到“无效参数”，请确保您使用的是提升的命令提示符（以管理员身份运行）。

您需要将您domain.pfx 的指纹保存在一个 txt 文件SSLCertificateSHA1Hash.txt中。

然后在CMD中运行：

pushd %~dp0
cls
::FreeSoftwareServers.com

certutil.exe -p "" -importpfx "%~dp0domain.pfx"
set /p FingerPrint=<"%~dp0SSLCertificateSHA1Hash.txt"
wmic /namespace:\\root\CIMV2\TerminalServices PATH Win32_TSGeneralSetting Set SSLCertificateSHA1Hash="%FingerPrint%"
icacls.exe "C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys\*" /grant "NETWORK SERVICE":R
shutdown /r /t 5