SSL加密远程桌面连接

1、SSL加密远程桌面连接首先要将服务器升级到最新版本windows2003，然后还需要通过windows update或网站将service packet 1补丁包安装。因为只有安装了SP1的Windows2003才具备通过SSL加密的远程桌面功能。以下所有操作都是对服务器而言的，只有服务器经过设置，容许支持SSL加密认证，客户端才可以通过远程桌面访问程序正常连接。一、安装证书服务：第一步：默认情况下windows2003没有安装证书服务，通过控制面板的添加/删除windows组件来安装“证书服务”。第二步：在CA证书类型中选择“独立根CA”，然后点“下一步”继续。第三步：在CA识别信息窗口中为

2、安装的CA起一个公用名称:monitor，可分辨名称后缀处空白不填写，有效期限保持默认5年即可。第四步：在证书数据库设置窗口保持默认即可，因为只有保证默认目录（windowssystem32certlog）系统才会根据证书类型自动分类和调用。点“下一步”后继续。第五步：配置好安装证书所需要的参数后系统就开始安装该组件，当然在安装过程中会提示要求插入WINDOWS2003系统光盘。 第六步：插入光盘找到系统文件后继续安装，在安装服务的最后系统会提示“要容许证书服务需要启用IIS的ASP功能”，选择“是”来启用ASP。第七步：完成CA证书服务的windows组件安装工作。提示：如果windows2

3、003没有安装IIS组件的话还需要按照上面介绍的方法将IIS组件也安装。二、设置证书服务参数： 默认情况下证书类型不是本次操作所需要的，所以还需要对其进行修改设置。第一步：通过任务栏的“开始->程序->管理工具->证书颁发机构”来打开证书设置窗口。第二步：如果证书颁发机构中没有显示出任何计算机则需要通过“文件”菜单中的设置来加载本地计算机的证书服务。第三步：在计算机monitor上点鼠标右键选择“属性”，然后点“策略模快”标签，在策略模快标签下还有一个“属性”按钮。第四步：点属性按钮后在设置请求处理窗口中将默认的设置修改为“如果可以的话，按照证书模板中的设置。否则，将自动颁发

4、证书”。提示：保存后会提示重启证书服务，可以在计算机monitor上点鼠标右键“所有任务”选择停止、启动服务。三、申请证书 IIS启动后就可以通过网页来申请证书了（若提前安装了IIS服务，在安装证书服务时会把IIS服务关闭，所以需要手动启动下）。第一步：打开IE浏览器，在地址栏处输入http:/ip/certsrv。例如服务器地址为，则输入/certsrv，如果IIS工作正常，证书服务安装正确的话会出现microsoft证书服务界面。第二步：在该界面中选择“申请一个证书”。第三步：在申请证书界面选择“高级证书申请”。 第四步：在高级证书申

5、请界面选择“创建并向此CA提交一个申请”。 第五步：在高级证书申请填写界面需要修改的地方比较多，首先输入姓名，这个姓名要填写服务器的IP地址。提示：如果高级证书姓名填写的是其他信息，那么在配置SSL加密认证时会出现配置信息与服务器名不符合的错误。所以务必填写服务器的IP地址。第六步：电子邮件和公司，部门，省市等信息随意填写（国家地区填CN）。第七步：需要的证书类型选择“服务器身份验证证书”。第八步：密钥选项设置为“创建新密钥集”。第九步：密钥用法设置为“交换”。第十步：将最下方的“标记密钥为可导出”与“将证书保存在本地计算机存储”前打对勾。其他选项直接默认，至此高级证书申请参数填写完毕。 第十

6、一步：点提交申请后会出现提示，直接选择“是”。 第十二步：提交申请完毕会出现证书挂起的提示，系统会提示你的申请信息已经挂起，等待管理员颁发，并还会显示出申请ID的序号（因为我是管理员帐号，所以直接颁发，可以跳过第四步“颁发证书”直接点击安装证书）。 四、颁发证书： 第一步：通过任务栏的“开始->程序->管理工具->证书颁发机构”来打开证书设置窗口。第二步：在本地计算机monitor下的“挂起的申请”处会看到有一个申请，这个就是刚才的申请。第三步：在该申请上点鼠标右键选择“所有任务->颁发”，颁发后申请的证书就可以使用了。五、安装证书：第一步：打开IE浏览器，在地址栏处输

7、入http:/ip/certsrv。第二步：选择“查看挂起的证书申请状态”，在这里会看到原来提交的那个“服务器身份验证证书”。 第三步：点该“服务器身份验证证书”后出现证书已颁发的提示，直接点“安装此证书”。第四步：系统会弹出“潜在的脚本冲突”提示，直接点“是”。系统会自动将该证书安装在服务器上。 至此，服务器端的证书安装配置已全部完成。6、 服务器远程桌面设置：默认情况下远程桌面功能不支持SSL加密认证。第一步：通过任务栏的“开始->程序->管理工具->终端服务配置”来启动tscc终端服务配置窗口。第二步：在tscc终端服务配置窗口中点“终端服务配置>连接”，在右边窗

8、口中会显示出终端服务，在其上点鼠标右键选择“属性”。第三步：在常规标签中的证书设置处旁边有一个“编辑”按钮，点击该按钮打开证书设置窗口。然后查看证书找到之前安装的证书（证书名为）第四步：选择完证书后还需要对常规标签中的安全级别进行设置，将安全层设置为“SSL”，将加密级别设置为“高”。七、客户端安装认证证书：客户机上安装，有以下两种方法获得证书：1. 从服务器上导出证书：第一步：通过任务栏的“开始->运行”，输入mmc来启动MMC管理单元。第二步：打开MMC管理单元后需要加载证书服务，方法是通过控制台菜单中的“文件->添加/删除管理单元”。第三步：从“添加

9、独立管理单元”中找到证书管理单元，然后点“添加”按钮加载该管理单元。第四步：在证书管理单元中选择“计算机帐户”后点“下一步”。 第五步：在选择计算机窗口中默认“本地计算机”完成操作。 第六步：回到控制台界面后选择“控制台根节点>证书（本地计算机）>个人>证书”，在右边窗口中会看到服务器当前安装的所有证书。找到用于SSL加密连接的证书。第七步：在该证书上点鼠标右键后选择“打开”，在证书信息界面中选择“详细信息”，然后点下方的“复制到文件”按钮，将证书进行复制。 第八步：打开证书导出向导后直接点“下一步”。 第九步：导出私钥处默认选择“不，不要导出私钥”。 第十步：导出文件格式处

10、默认选择“DER 编码二进制X.509（.CER）”。 第十一步：选择导出文件的保存路径，一般直接选桌面即可。 第十二步：完成证书导出向导配置工作，证书文件成功保存。第十三步：证书文件可以复制到其他计算机上，所有想要通过SSL加密远程桌面连接服务器的客户机都需要安装该证书。 第十四步：直接双击该证书文件安装，在“常规”标签中有一个“安装证书”按钮第十五步：点“安装证书”按钮后进入证书导入向导，选择“根据证书类型，自动选择证书存储”后点“下一步”。第十六步：完成证书的全部导入工作。 2.通过证书页面安装证书： 还有另外一种方法在客户机上安装证书。第一步：在客户机上打开浏览器，在地址栏处输入htt

11、p:/ip/certsrv。浏览器将打开证书申请页面。 第二步：选择下载CA证书后直接点“安装此CA证书链”。 第三步：系统将自动安装该CA证书，并给出安装完毕的提示（不会自动安装的会弹出下载提示框，下载后手动安装）。 安装了证书的客户机就可以通过远程桌面连接的SSL加密功能访问远程的服务器了。八、客户端远程程序：因为SSL加密模式是2003SP1中添加的新功能，所以其他系统用户要使用该功能就需要安装全新的远程桌面连接工具，如果其他系统使用默认连接工具连接，则直接跳过SSL验证。1.WIN2003系统：在2003系统中的远程桌面连接程序自带有安全标签，通过这个标签可以直接设置SSL加密模式访问

12、远程服务器。2.其他系统：其他系统需要安装新版远程桌面连接程序，该程序存在于WINDOWS2003系统光盘中，存放路径为supporttools下，程序名称为msrdpcli.exe。直接运行安装该程序即可，安装完成后可以在“程序>附件>通讯”查看。 3.使用新版程序：安装了新版远程桌面程序后就可以配置使用SSL访问远程服务器了。第一步：启动新版远程桌面连接程序。第二步：选择“安全”标签，无身份验证的连接提示失败。第三步：在“安全”标签中将身份验证方式修改为“要求身份验证”。 第四步：设置完毕后点“连接”按钮就可以访问远程配置好SSL加密模式的服务器了。提示：安全标签中的三个选项依次为“无身份验证”（使用常规模式访问远程服务器），“试图身份验证”（先使用SSL加密身份验