为windows远程桌面加上SSL证书认证

1、为 windows 远程桌面加上 SSL 证书认证, 保障连接安全 微软公司 非常看中 远程控制软件的市场。为了提高远程 桌面的安全级别，保证数据不 被黑客窃取，在 Windows2003 的最新补丁包 SP1 中添加了一个安全认证方式的远程桌面功能。通过这个功能我们可以使用 SSL 加密信息来传输控制远程服务器的数据，从而弥补了远程桌面功能本来的安全缺陷。提示：如果你使用的是windows2003，但是没有安装最新的SP1补丁的话还是不能够使用SSL加密的远程桌面 认证方式。因此建议各个公司马上将服务器升级到 windows2003+SP1 。没有使用 SSL 加密传输信息的远程桌面认证方式

2、有多危险?如果在一个局域网内,你的登陆账户和密码可以完全 被嗅探.使用SSL证书认证，再加上密码，就双重认证，只有设定只允许SSL认证方式，即便人家拿到服务器密码，也 无法远程登陆系统。以下操作经过xok.la站长测试，真实有效。只是在xp下还没有找到支持安全认证方式客户端的方法证书服务安装与证书安装：使用证书加密认证：首先要将服务器升级到最新版本windows2003，然后还需要通过windows update或网站将service packet 1补丁 包安装。因为只有安装了 SP1的Windows2003才具备通过SSL加密的远程桌面功能。以下所有操作都是对服 务器而言的，只有服务器经过

3、设置容许支持SSL加密认证，客户端才可以通过远程桌面访问程序正常连接。1.安装证书服务：第一步：默认情况下 windows2003 没有安装证书服务，我们通过控制面板的添加/删除 windows 组件来安装“证 书服务”。X详細信息上一步 创I下一步 血帮助所需磁盘空间 可用磁盘空间取消Tindow加/删C i ndow s 卅:组件:描述：安装证书颁发机构 以便颁发证书用于公钥安全程序口14.3 MB5040.7 MBiMok.lal7 应用程序服务器 是远程安装服务 显远程存體Pl-ansEaEi n舅.终谛聘囁黑33. 3 MB |1.9 MB3. 5 MB0 0 MB _TJ显乎更新可

4、以添加或删除Windows的组件口彎霁豔藉鶴讀聶霹蹭髓影犖框表示恶安卿组件的TindovE 組件第二步：在CA证书类型中选择“独立根CA”，然后点“下一步”继续。第三步：在CA识别信息窗口中为安装的CA起一个公用名称softer，可分辨名称后缀处空白不填写，有效期限保持默认 5 年即可。第四步：在证书数据库设置窗口我们保持默认即可，因为只有保证默认目录(windowssystem32certlog)系统才会根据证书类型自动分类和调用。点“下一步”后继续。第五步： 配置好安装证书所需要的参数后系统就开始安装该组件，当然在安装过程中会提示要求插入 WINDOWS2003 系统光盘。第六步：插入光盘

5、找到系统文件后继续安装，在安装服务的最后系统会提示“要容许证书服务需要启用 IIS 的ASP功能”我们选择“是”来启用ASP。默认情况下证书类型不是我们本次操作所需要的，所以还需要对其进行修改设置。 第一步：通过任务栏的“开始-程序-管理工具-证书颁发机构”来打开证书设置窗口。第二步：如果证书颁发机构中没有显示出任何计算机则我们需要通过“文件”菜单中的设置来加载本地计算机 的证书服务。第三步：在计算机 softer 上点鼠标右键选择“属性”，然后点“策略模快”标签，在策略模快标签下还有一个“属 性”按钮。第四步：点属性按钮后在设置请求处理窗口中将默认的设置修改为“如果可以的话，按照证书模板中的

6、设置。 否则，将自动颁发证书”。3.申请证书IIS 启动后我们就可以通过网页来申请证书了。 第一步：打开 IE 浏览器，在地址栏处输入 HYPERLINK http:/ip/certsrv/ http:/ip/certsrv/ ip 为服务器 IP HYPERLINK /certsrv /certsrv，如果 IIS 工作正常，证书服务安装正确的话会出现 microsoft 证书服务界面。】搜索菇收藏夹 |佔|t型S 地址|錚j ht tu ：丿/12T. 0. 0. 1 / c er t v/Xicrooft 证书服务 - Kok欢迎使用此网站为您的Web浏览器，电子邮件客户端或其他程序申请

7、一个辽 证书的类型，执行其他安全任务。您也可以使用此网站下载证书wk(CA)证书，证书链，或证书吊销?3C有关证书服务的详细信息，请3C有关证书服务的详细信息，请参阅证书服务文档.选择一个任务：申请一个证书查看挂起的证书申请的状态 下载一个 CA 证书，证书链或 CRL第二步：我们在该界面中选择“申请一个证书”。 第三步：在申请证书界面选择“高级证书申请”。第四步：在高级证书申请界面选择“创建并向此CA提交一个申请”(如图21)第五步：在高级证书申请填写界面需要我们修改的地方比较多，首先输入姓名，这个姓名要填写服务器的IP地 址。提示：如果高级证书姓名填写的是其他信息，那么在配置SSL加密认证

8、时会出现配置信息与服务器名不符合的 错误。所以务必填写服务器的 IP 地址。第六步：电子邮件和公司，部门，地区等信息随意填写。 第七步：需要的证书类型选择“服务器身份验证证书”。第八步：密钥选项设置为“创建新密钥集”。 第九步：密钥用户设置为“交换”。第十步：将最下方的“标记密钥为可导出”与“将证书保存在本地计算机存储”前打对勾。至此高级证书申请 参数填写完毕。（如图 22）第十一步：点提交申请后会出现“潜在的脚本冲突”提示，我们不用理会直接选择“是”即可。第十二步：提交申请完毕会出现证书挂起的提示，系统会提示你的申请信息已经挂起，等待管理员颁发，并还 会显示出申请 ID 的序号。至此我们就完

9、成了证书的申请工作，接下来还需要对申请的证书进行颁发，只有颁发了我们才可以开始使用。4.颁发证书：下面为大家介绍如何颁发刚刚申请的证书。 第一步：通过任务栏的“开始-程序-管理工具-证书颁发机构”来打开证书设置窗口。第二步：在本地计算机softer下的“挂起的申请”处会看到有一个申请，ID号为2,这个就是刚才的申请。 第三步：在该申请上点鼠标右键选择“所有任务-颁发”，颁发后我们申请的证书就可以使用了。5.安装证书：证书已经通过服务器的审批，下面就要在服务器上安装我们申请的证书。只有拥有了证书才能让我们远程访问 中传输的数据更加安全。第一步：打开IE浏览器，在地址栏处输入 HYPERLINK

10、http:/ip/certsrv/%e3%80%82%e4%be%8b%e5%a6%82%e6%9c%8d%e5%8a%a1%e5%99%a8%e5%9c%b0%e5%9d%80%e4%b8%ba5 http:/ip/certsrv/。例如服务器地址为5 ,则输入 HYPERLINK 5/certsrv 5/certsrv，如果 IIS 工作正常，证书服务安装正确的话会出现 microsoft 证书服务界面。 第二步：选择“查看挂起的证书申请状态”，在这里会看到我们原来提交的那个“服务器身份验证证书”的踪影。 （如图 26）第三步：点该“服务器身份验证证书”后出现证书已颁发的提示，我们直接点“

11、安装此证书”。（如图27）第四步：系统会弹出“潜在的脚本冲突”提示，我们不用理睬继续点“是”即可。系统会自动将该证书安装在 服务器上。（如图 28） 第五步：安装完毕系统会以网页的形式将“证书已安装信息”反馈给用户。（如图 29）证书导入远程终端：1 .客户端证书导出开始 - 运行 - 输入 mmc ,进入控制台，文件 - 添加/删除单元 ，添加 -在弹出来的对话框，选中 计算机账户，再 下一步，选中默认的，到完成。注意：是在 证书 - 个人 证书 里面。导出非服务器验证的那一个证书。2.进入 开始 - 管理工具 - 终端服务配置安全层：RDP安全层，为windows默认的SSL,为SSL证书

12、认证方式，如果被选中，将值走SSL证书方式，客户端需要证书和密码才能连接服务器 协商，客户端可以自由选中是走RDP还是SSL。考虑到远程连接客户端只有WIN2003 SP1才有安全验证方式，所以建议在这选中“协商”，要是证书验证不可 用，可以使用 RDP。在“证书” 处 点编辑 选中 服务器 证书，然后应用。3.安装到客户端开始 - 运行 - 输入 mmc ,进入控制台，文件 - 添加/删除单元 ，添加 -在弹出来的对话框，选中 计算机账户，再 下一步，选中默认的，到完成。己置:设置远程控制1客户端设置1网卡权限常规登录设置会话环境1濡控制台1文件迥 操作 查看边 收藏夹辺 窗口 帮助希控制台

13、根节点证书体地计算机） 夷信任的根证书頤塩机构 证书_J控制台根节点 -画证书怎地计算机-平人证书-受信任的根证书颌发机杷2空_il证书_l企业信任+ _l中级证书颌发机构_|受信任的发行者+ _|不信任的证书+第三方根证书颁发机构-受信任人证书+ _| SPC颁发给 IIVeriSi gn. IIVeriSi gn 戶尹 FEfiEi gn Ik 討 1 r - j-i - eriSi grL lVeriSi gn lVeriSi gn FlVeriSi gn lVeriSi gn FlVeriSi gn lVeriSi gn FlVeriSi gn lVeriSi gn Xcert EZC

14、ommerci al Commerci al Indi vi dual Indi vi dualHeit work Hmt woHet wo NetworkHmtwork Het woHmtwork workTrust :Trust :Trust :Trust :Trust :Trust :Trust :Trust : by DST颅发者Softwa. . . VeriSi grL Softwa. . . VeriSi ktl Softwa. . . VeriSietl Softwa. . . VeriSignVeriSi gn VeriSi gnVeriSi gn VeriSi gnVeriSi gn VeriSi gnVeriSi gn VeriSi gnXcert EZ1AI在受信任的根证书颁发机构 - 证书 -导入 刚备份的证书文件。客户端连接：选择“