|
远程桌面一直被认为是比较不安全的但是如果加上SSL证书认证可以很大幅度提升远程桌面的安全性本文将针对远程桌面SSL认证的配置做较为详细的说明 下面是配置步骤 SSL认证必须组件 IIS+ASP证书服务 首先安装IIS和证书服务打开添加/删除程序然后选择添加/删除Windows组件按照下面的图中所示勾选 安装过程中需要填写CA公用名称随便填写就可以了其他的全部默认安装中间会提示一步是否要起用asp点是就可以了如果已经安装了IIS并且启用了asp这一步只要安装证书服务就可以 安装好证书服务后在浏览器中访//localhost/certsrv/打开证书服务页面 单击其中的申请一个证书然后选择高级证书申请如图 在下一步中选择创建并向此CA提交一个申请 这一步比较重要首先证明的姓名不能随便写要填写服务器的ip不然会在后面认证的时候提示名称不一致下面的部分按照图中的红框标志部分修改就可以主要修改个部分 证书的名称使用服务器的ip其他的随便填写 证书类型选择服务器身份验证证书 密钥用法改为交换 勾选标记密钥为可导出 勾选把证书保存在本地存储中 完成这些所有以后提交申请然后在管理工具中打开证书颁发机构颁发证书 依次展开树域名挂起的申请在右边的窗格中显示了刚刚申请的证书单击右键在所有任务菜单中选择颁发 现在就可以看到刚刚申请的证书了打//localhost/certsrv并且选择查看挂起的证书申请状态可以看到自己刚刚申请的证书已经通过了 单击证书并且选择安装证书在弹出的对话框中选择是注意这一步是必须的否则在下一步的终端服务证书选择中看不到任何证书 在管理工具中打开终端服务配置在左边的窗格中单击连接然后在右边双击连接在弹出的对话框的常规选项卡中首先单击证书旁边的编辑 选择刚刚安装的证书确定 然后按照下图中的设置更改修改两项 .安全层改为SSL .加密级别改为高 服务器段的设置到此完毕 下面是登陆客户端的设置首先访问刚刚的证书服务器地址并且单击下载一个CA证书证书链或URL 在下一步中选择安装此证书链弹出窗口中单击确定这样就在客户端中安装了该TS服务器的证书 在远程桌面连接的安全选项卡中把身份验证改为试图身份验证如果没有安全选项卡找个win的安装盘support tools里面就有或者拷贝win目录下的mstscexe和mstscaxdll至任意目录直接使用附件中也提供了最后连接就以SSL方式连接到终端服务了 Tips .这里可以结合chocobo的教程做终端服务授权具体的在论坛里面找 .客户端的证书安装也可以先在服务器的证书中导出然后在客户端中导入证书 FAQ .为什么我在配置TS服务时找不到证书? 证书申请时类型不对或者证书申请了没有颁发或者颁发了没有在本地安装证书 .为什么连接的时候提示名称不一致? 证书申请时名称应该是服务器的ip地址 .为什么连接的时候提示需要认证? 在安全选项卡中修改身份验证为试图身份验证 .为什么提示证书无法验证? 本地没有安装证书按照客户端设置安装证书就可以 |
