Win2003遠(yuǎn)程桌面SSL 認(rèn)證配置指南遠(yuǎn)程桌面一直被認(rèn)為是比較不安全的，但是如果加上SSL 證書(shū)認(rèn)證，可以很大幅度提升遠(yuǎn)程桌面的安全性，本文將針對(duì)遠(yuǎn)程桌面SSL 認(rèn)證的配置做較為詳細(xì)的說(shuō)明。下面是

Win2003遠(yuǎn)程桌面SSL 認(rèn)證配置指南

遠(yuǎn)程桌面一直被認(rèn)為是比較不安全的，但是如果加上SSL 證書(shū)認(rèn)證，可以很大幅度提升遠(yuǎn)程桌面的安全性，本文將針對(duì)遠(yuǎn)程桌面SSL 認(rèn)證的配置做較為詳細(xì)的說(shuō)明。

下面是配置步驟：

SSL 認(rèn)證必須組件：

IIS ASP，證書(shū)服務(wù)

首先安裝IIS 和證書(shū)服務(wù)，打開(kāi)“添加/刪除程序”，然后選擇“添加/刪除Windows 組件” 按照下面的圖中所示勾選：

安裝過(guò)程中需要填寫(xiě)CA 公用名稱，隨便填寫(xiě)就可以了，其他的全部默認(rèn)安裝，中間會(huì)提示一步是否要起用asp ，點(diǎn)是就可以了，如果已經(jīng)安裝了IIS 并且啟用了asp ，這一步只要安裝證書(shū)服務(wù)就可以：

安裝好證書(shū)服務(wù)后，在瀏覽器中訪問(wèn)http://localhost/certsrv/，打開(kāi)證書(shū)服務(wù)頁(yè)面：

單擊其中的申請(qǐng)一個(gè)證書(shū)，然后選擇“高級(jí)證書(shū)申請(qǐng)”，如圖：

在下一步中選擇“創(chuàng)建并向此CA 提交一個(gè)申請(qǐng)?！?/p>

這一步比較重

要，首先證明的姓名不能隨便寫(xiě)，要填寫(xiě)服務(wù)器的ip ，不然會(huì)在后面認(rèn)證的時(shí)候提示名稱不一致，下面的部分按照?qǐng)D中的紅框標(biāo)志部分修改就可以，主要修改5個(gè)部分：

1. 證書(shū)的名稱，使用服務(wù)器的ip ，其他的隨便填寫(xiě)

2. 證書(shū)類型，選擇服務(wù)器身份驗(yàn)證證書(shū)

3. 密鑰用法，改為交換

4. 勾選標(biāo)記密鑰為可導(dǎo)出

5. 勾選把證書(shū)保存在本地存儲(chǔ)中

完成這些所有以后，提交申請(qǐng)，然后在管理工具中打開(kāi)“證書(shū)頒發(fā)機(jī)構(gòu)”，頒發(fā)證書(shū)。

依次展開(kāi)樹(shù)：域名，掛起的申請(qǐng)，在右邊的窗格中顯示了剛剛申請(qǐng)的證書(shū)，單擊右鍵，在所有任務(wù)菜單中選擇頒發(fā)。

現(xiàn)在就可以看到剛剛申請(qǐng)的證書(shū)了，打開(kāi)http://localhost/certsrv, 并且選擇“查看掛起的證書(shū)申請(qǐng)狀態(tài)”，可以看到自己剛剛申請(qǐng)的證書(shū)已經(jīng)通過(guò)了

單擊證書(shū)并且選擇安裝證書(shū)，在彈出的對(duì)話框中選擇是，注意這一步是必須的，否則在下一步的終端服務(wù)證書(shū)選擇中看不到任何證書(shū)。

在管理工具中，打開(kāi)終端服務(wù)配置，在左邊的窗格中單擊連接，然后在右邊雙擊連接，在彈出的對(duì)話框的常規(guī)選項(xiàng)卡中，首先單擊證書(shū)旁邊的編輯

選擇剛剛安裝的證書(shū)，確定

然后按照下圖中的設(shè)置更改，修改兩項(xiàng)：

1． 安全層改為SSL

2． 加密級(jí)別改為高

服務(wù)器段的設(shè)置到此完畢

下面是登陸客戶端的設(shè)置，首先訪問(wèn)剛剛的證書(shū)服務(wù)器地址，并且單擊：下載一個(gè)CA 證書(shū)，證書(shū)鏈或URL

在下一步中選擇安裝此證書(shū)鏈，彈出窗口中單擊確定，這樣就在客戶端中安裝了該TS 服務(wù)器的證書(shū)

在遠(yuǎn)程桌面連接的安全選項(xiàng)卡中，把身份驗(yàn)證改為試圖身份驗(yàn)證，如果沒(méi)有安全選項(xiàng)卡，找個(gè)win2003的安裝盤(pán)，support tools 里面就有，或者拷貝win2003目錄下的mstsc.exe 和mstscax.dll 至任意目錄，直接使用，附件中也提供了，最后連接就以SSL 方式連接到終端服務(wù)了。

Tips ：

1．這里可以結(jié)合chocobo 的教程做終端服務(wù)授權(quán)，具體的在論壇里面找

2．客戶端的證書(shū)安裝也可以先在服務(wù)器的證書(shū)中導(dǎo)出，然后在客戶端中導(dǎo)入證書(shū)。

FAQ ：

1．為什么我在配置TS 服務(wù)時(shí)找不到證書(shū)？

證書(shū)申請(qǐng)時(shí)類型不對(duì)，或者證書(shū)申請(qǐng)了沒(méi)有頒發(fā)，或者頒發(fā)了沒(méi)有在本地安裝證書(shū)

2．為什么連接的時(shí)候提示名稱不一致？

證書(shū)申請(qǐng)時(shí)名稱應(yīng)該是服務(wù)器的ip 地址

3．為什么連接的時(shí)候提示需要認(rèn)證？

在安全選項(xiàng)卡中修改身份驗(yàn)證為試圖身份驗(yàn)證。

4．為什么提示證書(shū)無(wú)法驗(yàn)證？

本地沒(méi)有安裝證書(shū)，按照客戶端設(shè)置安裝證書(shū)就可以