遠程桌面一直被認為是比較不安全的但是如果加上SSL證書認證可以很大幅度提升遠程桌面的安全性本文將針對遠程桌面SSL認證的配置做較為詳細的說明
下面是配置步驟
SSL認證必須組件
IIS+ASP證書服務
首先安裝IIS和證書服務打開添加/刪除程序然後選擇添加/刪除Windows組件按照下面的圖中所示勾選
安裝過程中需要填寫CA公用名稱隨便填寫就可以了其他的全部默認安裝中間會提示一步是否要起用asp點是就可以了如果已經安裝了IIS並且啟用了asp這一步只要安裝證書服務就可以
安裝好證書服務後在浏覽器中訪//localhost/certsrv/打開證書服務頁面
單擊其中的申請一個證書然後選擇高級證書申請如圖
在下一步中選擇創建並向此CA提交一個申請
這一步比較重要首先證明的姓名不能隨便寫要填寫服務器的ip不然會在後面認證的時候提示名稱不一致下面的部分按照圖中的紅框標志部分修改就可以主要修改個部分
證書的名稱使用服務器的ip其他的隨便填寫
證書類型選擇服務器身份驗證證書
密鑰用法改為交換
勾選標記密鑰為可導出
勾選把證書保存在本地存儲中
完成這些所有以後提交申請然後在管理工具中打開證書頒發機構頒發證書
依次展開樹域名掛起的申請在右邊的窗格中顯示了剛剛申請的證書單擊右鍵在所有任務菜單中選擇頒發
現在就可以看到剛剛申請的證書了打//localhost/certsrv並且選擇查看掛起的證書申請狀態可以看到自己剛剛申請的證書已經通過了
單擊證書並且選擇安裝證書在彈出的對話框中選擇是注意這一步是必須的否則在下一步的終端服務證書選擇中看不到任何證書
在管理工具中打開終端服務配置在左邊的窗格中單擊連接然後在右邊雙擊連接在彈出的對話框的常規選項卡中首先單擊證書旁邊的編輯
選擇剛剛安裝的證書確定
然後按照下圖中的設置更改修改兩項
. 安全層改為SSL
. 加密級別改為高
服務器段的設置到此完畢
下面是登陸客戶端的設置首先訪問剛剛的證書服務器地址並且單擊下載一個CA證書證書鏈或URL
在下一步中選擇安裝此證書鏈彈出窗口中單擊確定這樣就在客戶端中安裝了該TS服務器的證書
在遠程桌面連接的安全選項卡中把身份驗證改為試圖身份驗證如果沒有安全選項卡找個win的安裝盤support tools裡面就有或者拷貝win目錄下的mstscexe和mstscaxdll至任意目錄直接使用附件中也提供了最後連接就以SSL方式連接到終端服務了
Tips
.這裡可以結合chocobo的教程做終端服務授權具體的在論壇裡面找
.客戶端的證書安裝也可以先在服務器的證書中導出然後在客戶端中導入證書
FAQ
.為什麼我在配置TS服務時找不到證書?
證書申請時類型不對或者證書申請了沒有頒發或者頒發了沒有在本地安裝證書
.為什麼連接的時候提示名稱不一致?
證書申請時名稱應該是服務器的ip地址
.為什麼連接的時候提示需要認證?
在安全選項卡中修改身份驗證為試圖身份驗證
.為什麼提示證書無法驗證?
本地沒有安裝證書按照客戶端設置安裝證書就可以
From:http://tw.wingwit.com/Article/os/xtgl/201311/8749.html
