为windows远程桌面加上SSL证书认证文档格式.docx
《为windows远程桌面加上SSL证书认证文档格式.docx》由会员分享,可在线阅读,更多相关《为windows远程桌面加上SSL证书认证文档格式.docx(14页珍藏版)》请在冰豆网上搜索。
使用SSL证书认证,再加上密码,就双重认证,只有设定只允许SSL认证方式,即便人家拿到服务器密码,也无法远程登陆系统。
以下操作经过xok.la站长测试,真实有效。
只是在xp下还没有找到支持安全认证方式客户端的方法
证书服务安装与证书安装:
使用证书加密认证:
首先要将服务器升级到最新版本windows2003,然后还需要通过windowsupdate或网站将servicepacket1补丁包安装。
因为只有安装了SP1的Windows2003才具备通过SSL加密的远程桌面功能。
以下所有操作都是对服务器而言的,只有服务器经过设置容许支持SSL加密认证,客户端才可以通过远程桌面访问程序正常连接。
1.安装证书服务:
第一步:
默认情况下windows2003没有安装证书服务,我们通过控制面板的添加/删除windows组件来安装“证书服务”。
第二步:
在CA证书类型中选择“独立根CA”,然后点“下一步”继续。
第三步:
在CA识别信息窗口中为安装的CA起一个公用名称——softer,可分辨名称后缀处空白不填写,有效期限保持默认5年即可。
第四步:
在证书数据库设置窗口我们保持默认即可,因为只有保证默认目录(windows\system32\certlog)系统才会根据证书类型自动分类和调用。
点“下一步”后继续。
第五步:
配置好安装证书所需要的参数后系统就开始安装该组件,当然在安装过程中会提示要求插入WINDOWS2003系统光盘。
第六步:
插入光盘找到系统文件后继续安装,在安装服务的最后系统会提示“要容许证书服务需要启用IIS的ASP功能”,我们选择“是”来启用ASP。
默认情况下证书类型不是我们本次操作所需要的,所以还需要对其进行修改设置。
通过任务栏的“开始->
程序->
管理工具->
证书颁发机构”来打开证书设置窗口。
如果证书颁发机构中没有显示出任何计算机则我们需要通过“文件”菜单中的设置来加载本地计算机的证书服务。
在计算机softer上点鼠标右键选择“属性”,然后点“策略模快”标签,在策略模快标签下还有一个“属性”按钮。
点属性按钮后在设置请求处理窗口中将默认的设置修改为“如果可以的话,按照证书模板中的设置。
否则,将自动颁发证书”。
3.申请证书
IIS启动后我们就可以通过网页来申请证书了。
打开IE浏览器,在地址栏处输入
http:
//ip/certsrv/ip为服务器IP
//127.0.0.1/certsrv
,如果IIS工作正常,证书服务安装正确的话会出现microsoft证书服务界面。
我们在该界面中选择“申请一个证书”。
在申请证书界面选择“高级证书申请”。
在高级证书申请界面选择“创建并向此CA提交一个申请”。
(如图21)
在高级证书申请填写界面需要我们修改的地方比较多,首先输入姓名,这个姓名要填写服务器的IP地址。
如果高级证书姓名填写的是其他信息,那么在配置SSL加密认证时会出现配置信息与服务器名不符合的错误。
所以务必填写服务器的IP地址。
电子邮件和公司,部门,地区等信息随意填写。
第七步:
需要的证书类型选择“服务器身份验证证书”。
第八步:
密钥选项设置为“创建新密钥集”。
第九步:
密钥用户设置为“交换”。
第十步:
将最下方的“标记密钥为可导出”与“将证书保存在本地计算机存储”前打对勾。
至此高级证书申请参数填写完毕。
(如图22)
第十一步:
点提交申请后会出现“潜在的脚本冲突”提示,我们不用理会直接选择“是”即可。
第十二步:
提交申请完毕会出现证书挂起的提示,系统会提示你的申请信息已经挂起,等待管理员颁发,并还会显示出申请ID的序号。
至此我们就完成了证书的申请工作,接下来还需要对申请的证书进行颁发,只有颁发了我们才可以开始使用。
4.颁发证书:
下面为大家介绍如何颁发刚刚申请的证书。
在本地计算机softer下的“挂起的申请”处会看到有一个申请,ID号为2,这个就是刚才的申请。
在该申请上点鼠标右键选择“所有任务->
颁发”,颁发后我们申请的证书就可以使用了。
5.安装证书:
证书已经通过服务器的审批,下面就要在服务器上安装我们申请的证书。
只有拥有了证书才能让我们远程访问中传输的数据更加安全。
打开IE浏览器,在地址栏处输入http:
//ip/certsrv/。
例如服务器地址为10.91.30.45,则输入http:
//10.91.30.45/certsrv
选择“查看挂起的证书申请状态”,在这里会看到我们原来提交的那个“服务器身份验证证书”的踪影。
(如图26)
点该“服务器身份验证证书”后出现证书已颁发的提示,我们直接点“安装此证书”。
(如图27)
系统会弹出“潜在的脚本冲突”提示,我们不用理睬继续点“是”即可。
系统会自动将该证书安装在服务器上。
(如图28)
安装完毕系统会以网页的形式将“证书已安装信息”反馈给用户。
(如图29)
证书导入远程终端:
1.客户端证书导出
开始-运行-输入mmc,进入控制台,文件-添加/删除单元,添加-
在弹出来的对话框,选中计算机账户,再下一步,选中默认的,到完成。
注意:
是在证书-个人证书里面。
导出非服务器验证的那一个证书。
2.进入开始-管理工具-终端服务配置
安全层:
RDP安全层,为windows默认的
SSL,为SSL证书认证方式,如果被选中,将值走SSL证书方式,客户端需要证书和密码才能连接服务器
协商,客户端可以自由选中是走RDP还是SSL。
考虑到远程连接客户端只有WIN2003SP1才有安全验证方式,所以建议在这选中“协商”,要是证书验证不可用,可以使用RDP。
在“证书”处点编辑选中服务器证书,然后应用。
3.安装到客户端
在受信任的根证书颁发机构-证书-导入刚备份的证书文件。
客户端连接:
选择“试图身份验证”,如果连接时遇到证书内容的值有不一致时(比如服务器更换IP了),会自动询问你是否继续连接。
选择“要求身份验证”,如果连接时遇到证书有不一致时,自动关闭。
视频录像下载:
/file/2008/12/3389.rar
//xok.la/2008/12/windows_remote_3389_ssl.html
升级会员 