A instalação do SSL no RDP costumava ser um processo manual, mas com o suporte ao protocolo ACME e ferramentas como o Win-ACME, agora é possível automatizar a emissão e a renovação de certificados, mesmo para CAs comerciais, como Sectigo e DigiCert, que oferecem suporte a ACME + External Account Binding (EAB).

Neste guia passo a passo, você aprenderá a instalar um certificado ACME SSL no Remote Desktop Protocol (RDP) em execução no Windows Server. Essa configuração funciona muito bem para ambientes que exigem um certificado SSL público no RDP sem depender de PKI interna ou de renovações manuais.
Observação: Este guia mostra como instalar um certificado ACME no Remote Desktop Protocol para proteger seu servidor. Embora muitas pessoas se refiram ao aplicativo cliente como Remote Desktop Connection, é o RDP, o protocolo que realmente precisa do certificado SSL. Para ambientes maiores que usam o Remote Desktop Services (RDS), as etapas são as mesmas.
Antes de você começar
Aqui está o que você precisa para começar:
- Acesso de administrador ao Windows Server (via RDP ou login físico)
- O domínio que você protegerá deve apontar para esse servidor (o DNS deve ser resolvido corretamente)
- A porta 80 deve estar aberta e acessível pela Internet (para validação do HTTP-01 ACME)
- Você deve ter as seguintes credenciais ACME da sua CA:
- URL do diretório ACME
- ID da chave de vinculação de conta externa (EAB)
- Chave HMAC do EAB
Este guia pressupõe que você esteja usando uma CA comercial compatível com ACME + EAB (como Sectigo ou DigiCert). Vamos começar.
Etapa 1: Faça o download e configure o Win-ACME
Primeiro, vamos instalar a ferramenta que automatiza a emissão e a instalação do certificado.
- Acesse o site oficial do Win-ACME: https://www.win-acme.com/
- Faça o download da última versão estável .zip.
- Extraia-o para uma pasta permanente, por exemplo, C:\Program Files\win-acme\
- Open a PowerShell window as Administrator and run this command to test the install:
& "C:\Program Files\win-acme\wacs.exe" - Se o console do Win-ACME abrir com opções de menu, você está pronto para começar. Se isso não acontecer, verifique se o caminho da pasta está correto e se o PowerShell tem permissões de script ativadas.
Etapa 2: Solicite e instale o certificado SSL para RDP
Agora, vamos gerar seu certificado SSL usando o ACME e vinculá-lo automaticamente ao serviço RDP. Cole e personalize este comando no PowerShell:
& "C:\Program Files\win-acme\wacs.exe" `
--target manual `
--host "rdp.yourdomain.com" `
--validation selfhosting `
--store certificatestore `
--installation rdp `
--baseuri "https://your.acme-server.com/directory" `
--eab-key-identifier "YOUR_EAB_KID" `
--eab-key "YOUR_EAB_HMAC_KEY" `
--accepttos
O que isso faz:
- Diz ao Win-ACME para solicitar um certificado para rdp.yourdomain.com
- Executa a validação do domínio usando o servidor da Web temporário incorporado
- Armazena o certificado no repositório de certificados do Windows
- Vincula o certificado ao RDP automaticamente
Importante: Certifique-se de que a porta 80 não esteja bloqueada por um firewall ou já esteja sendo usada por outro serviço, como o IIS.
Etapa 3: testar a conexão RDP por HTTPS
Quando o Win-ACME concluir o processo, seu certificado estará instalado e vinculado ao RDP. É hora de você testá-lo.
- Abra a Conexão de Área de Trabalho Remota (mstsc.exe).
- Digite seu nome de host (por exemplo, rdp.yourdomain.com)
- Conecte-se e verifique o certificado – ele não deve mais emitir um aviso sobre um certificado não confiável ou expirado.
Etapa 4: Configuração da renovação automática
Por padrão, o Win-ACME cria uma tarefa agendada no Agendador de Tarefas do Windows para renovar o certificado antes que ele expire.
Para listar todas as configurações de renovação, execute:
& "C:\Program Files\win-acme\wacs.exe" --list --baseuri "https://your.acme-server.com/directory"
Verifique se isso corresponde à baseuri e ao domínio corretos. Se não mostrar nada, você pode estar usando o URL de diretório errado.
Perguntas comuns
Aqui estão algumas das perguntas mais frequentes que os usuários fazem ao configurar um certificado ACME para a Área de Trabalho Remota. Desde a solução de problemas até o esclarecimento de plug-ins e automação, temos tudo o que você precisa:
Preciso abrir a porta 443?
Não, somente a porta 80 (HTTP) é necessária durante a validação do domínio por meio do desafio HTTP-01. O RDP usa a porta 3389 depois que o certificado é aplicado.
Isso funcionará no Windows Server Core?
Sim, desde que o PowerShell e o Win-ACME estejam disponíveis. O plug-in rdp não requer uma GUI.
Preciso do IIS para que isso funcione?
Não. O Win-ACME pode ser executado de forma autônoma e usa seu próprio servidor da Web integrado para validação.
E se o console do Win-ACME não abrir?
Certifique-se de que o PowerShell esteja sendo executado como administrador e verifique se você está apontando para o local correto do wacs.exe. Extraia novamente o ZIP se ele tiver sido bloqueado ou corrompido durante o download
Palavras finais
Você acabou de aprender a instalar um certificado ACME SSL no Remote Desktop Protocol usando o Win-ACME. Com a configuração segura de HTTPS, a renovação automática e o suporte total a autoridades de certificação comerciais, você protege seu ambiente de área de trabalho remota com o mínimo de esforço manual.
Economize 10% em certificados SSL ao fazer seu pedido hoje!
Emissão rápida, criptografia forte, 99,99% de confiança no navegador, suporte dedicado e garantia de reembolso de 25 dias. Código do cupom: SAVE10

