WindowsServer 2012 R2 远程桌面安全证书警告

 

现象:

通过RDP 连接远程计算机(Windows Server 2012 R2)时,可能会出现如下警告信息。

wKiom1bKxCzhXLXfAADbC2Gvi9g291.png                             

 

原因:

终端计算机不信任远程计算机的证书颁发机构。

 

解决:

一、设置证书颁发机构可以通过http获取证书吊销列表。(域环境不需要)

1. 登陆证书服务器,选择证书颁发机构à属性

wKiom1bKxD2inp7KAAB7cw6xObo367.png

2.   在证书颁发机构属性对话框,选择扩展,选中http://<ServerDNSName>/CertEnroll/<CaName><CRLNameSuffix><DeltaCRLAllowed>.crl,勾选“包括在CRL中”、“包含在颁发的证书的CDP扩展中”、“包括在已发布的CRL的IDP扩展中”

 wKioL1bKxSLj6N3RAACg4FCIx8I909.png


二、组策略设置服务器身份验证证书模板

1.  打开组策略管理工具,选择“Default Domain Policy” à右键“编辑“

wKioL1bKxTfTAj2DAAEKLQGnUGE043.png

2.   选择“计算机配置”à“策略”à“管理模板”à“Windows组件”à“远程桌面服务”à“远程桌面会话主机”à“安全”à“服务器身份验证证书模板”

3.   在服务器身份验证证书模板对话框,选择已启用,设置证书模板名称:计算机

wKioL1bKxXrwzveNAACsPBneENI903.png

三、通过组策略自动申请计算机证书

1. 选择“计算机配置”à“Windows设置”à“安全设置”à“公钥策略”à“自动证书申请设置”

 wKioL1bKxY7jpnWBAADGkdjGQDc338.png


2.   选择“新建”à“自动证书申请”

wKioL1bKxZ7CY1FEAADc_7uVVug205.png

4.   在证书模板对话框,选择下一步

wKioL1bKxbWTCkv3AAB9kT640DE464.png

5.   完成自动证书申请设置

wKiom1bKxVzR7lOiAABrgR7igwc261.png

 

四、测试

wKioL1bKxdODstmsAACCKXbjdY4748.png