Die manuelle Zuweisung eines Remotedesktop-Zertifikats schlägt fehl mit Fehlermeldung "Invalid parameter"

Folgendes Szenario angenommen:

Set-WMIInstance : Invalid parameter
 At line:1 char:1
 Set-WMIInstance -path $TerminalServicesConfig.__path -argument @{SSLC …
 ~~~~~~~~~~~~~~~~~ CategoryInfo          : InvalidOperation: (:) [Set-WmiInstance], ManagementException
 FullyQualifiedErrorId : SetWMIManagementException,Microsoft.PowerShell.Commands.SetWmiInstance 

Ursache/Lösung

Bei dem Zielsystem handelt es sich um eine Zertifizierungsstelle.

Bei der Ermittlung des SHA1-Fingerabdrucks für das Remotedesktop-Zertifikat wurde folgende Logik verwendet:

$RdcCertHash = (Get-ChildItem -path Cert:\LocalMachine\My | Where-Object { $_.Extensions.EnhancedKeyUsages.Value -eq "1.3.6.1.4.1.311.54.1.2" } | Sort-Object -Property NotAfter -Descending | Select-Object -First 1).Thumbprint

Das Zertifizierungsstellen-Zertifikat auf dem Zielsystem enthält eine Einschränkung (Constraint) auf die Ausstellung von Remotedesktop-Zertifikaten.

Daher hat der vorige Befehl fälschlicherweise das aus diesem System ebenfalls im Maschinen-Zertifikatspeicher vorhandenen Zertifizierungsstellen-Zertifikat ausgewählt, welches dem Remotedesktop-Sitzungshost nicht zugewiesen werden kann.

Weiterführende Links: