WindowsServer2003远程桌面SSL认证配置教程

远程桌面一直被认为是比较不安全的，但是如果加上SSL证书认证，可以大幅度提升远程桌面的安全性，下面将针对远程桌面SSL认证进行配置。

1.安装IIS和证书服务

1）打开“添加/删除程序”，选择“添加/删除Windows组件”，在“Windows组件向导”界面中，勾选“应用程序服务器”和“证书服务”，在“应用程序服务器”界面中选择“Internet信息服务IIS”，在“Internet信息服务IIS”界面中，勾选“公用文件”和“万维网服务”，在“万维网服务”界面中，勾选“万维网服务”“Active Server Pages”“Inter-net数据连接器”，如图11-1所示。

2）安装证书。安装过程中需要填写CA公用名称，随便填写就可以了，其他的全部默认安装，中间会提示是否要起用asp，单击“是”按钮。如果已经安装了IIS并且启用了asp，这一步只要安装证书服务就可以，如图11-2所示。

图11-1 安装IIS和证书服务

图11-2 安装证书

3）安装好证书服务后，在浏览器中访问http：//lo-calhost/certsrv/，打开证书服务界面，如图11-3所示。

4）单击图11-3中的“申请一个证书”，然后选择“高级证书申请”，如图11-4所示。

5）在下一步中选择“创建并向此CA提交一个申请”，如图11-5所示。

6）填写证书信息，主要填写以下五部分，如图11-6所示。

●证书的名称，使用服务器的IP，不然会在后面认证的时候提示名称不一致。

●证书类型，选择服务器身份验证证书。

●密钥用法，改为“交换”。

●勾选“标记密钥为可导出”。

●勾选“将证书保存在本地计算机存储中”。

图11-3 打开证书服务界面

图11-4 申请一个证书

图11-5 高级证书申请

7）填写完成后，提交申请，然后在管理工具中打开“证书颁发机构”颁发证书，如图11-7所示。

8）在图11-8中，依次展开树：域名，挂起的申请，在右边的窗格中显示了刚刚申请的证书，单击右键，在弹出的快捷菜单中选择“颁发”命令。

图11-6 填写证书信息

图11-7 打开“证书颁发机构”

9）打开http：//localhost/certsrv，并且选择“查看挂起的证书申请的状态”，可以看到自己刚刚申请的证书已经通过了，如图11-9所示。

(www.xing528.com)

图11-8 填写证书信息

图11-9 打开【证书颁发机构】

10）单击证书并且选择安装证书，在弹出的对话框中选择“是”按钮，如图11-10所示。注意这一步是必须的，否则在下一步的终端服务证书选择中看不到任何证书。

图11-10 安装证书

11）在管理工具中，打开终端服务配置，在左边的窗格中单击“连接”，然后在右边双击连接，在弹出的对话框的“常规”选项卡中，首先单击证书旁边的“编辑”按钮，如图11-11所示。

12）选择刚刚安装的证书，单击“确定”按钮，如图11-12所示。

13）然后，在图11-13的“RDP-Tcp属性”的“常规”选项卡中，修改RDP-Tcp常规属性，主要修改两项：“安全层”选择“SSL”，“加密级别”选择“高”。

服务器端的设置到此完毕。

2.登录客户端的设置

1）首先访问刚才的证书服务器地址，并且单击：“下载一个CA证书，证书链或CRL”，如图11-14所示。

图11-11 单击证书旁边的“编辑”按钮

图11-12 选择刚刚安装的证书

图11-13 修改RDP-Tcp常规属性

图11-14 访问刚才的证书服务器地址

2）在下一步中选择安装此证书链，在图11-15中的弹出窗口单击“确定”按钮，这样就在客户端中安装了该TS服务器的证书。

图11-15 安装CA证书链

3）在远程桌面连接的“安全”选项卡中，把身份验证改为试图身份验证，如图11-16所示。如果没有“安全”选项卡，找个win2003的安装盘，support tools里面就有，或者复制win2003目录下的mstsc.exe和mstscax.dll至任意目录，直接使用，连接的时候就以SSL方式连接到终端服务了。

提示：

1）也可以在这里做终端服务授权。

2）客户端的证书安装也可以先在服务器的证书中导出，然后在客户端中导入证书。

图11-16 远程桌面连接的“安全”选项卡