微软在 Windows Server 2003 SP1 中针对终端服务提供了SSL加密功能,它可以基于SSL(TLS 1.0)来实现以下两个功能:
对RDP客户端提供终端服务器的服务器身份验证;加密和RDP客户端的通信。
在启用终端服务器的SSL加密功能时,当RDP客户向终端服务器发起连接时,终端服务器会向RDP客户出示配置使用的服务器证书,而RDP客户会检查颁发此服务器证书的CA是否位于自己受信任的根证书颁发机构列表中,如果存在则使用此服务器证书进行后续的RDP加密通讯,如果不存在则根据RDP客户的配置进行处理,你可以选择继续和终端服务器进行连接或者拒绝连接。
对RDP客户端提供终端服务器的服务器身份验证;加密和RDP客户端的通信。
在启用终端服务器的SSL加密功能时,当RDP客户向终端服务器发起连接时,终端服务器会向RDP客户出示配置使用的服务器证书,而RDP客户会检查颁发此服务器证书的CA是否位于自己受信任的根证书颁发机构列表中,如果存在则使用此服务器证书进行后续的RDP加密通讯,如果不存在则根据RDP客户的配置进行处理,你可以选择继续和终端服务器进行连接或者拒绝连接。
一、终端服务器软件要求:
1.终端服务器组件的版本必须是 RDP 5.2 或以上,即所运行的操作系统必须是 Windows Server 2003 SP1 或其后版本;
2.必须具有一个有效的服务器身份验证证书;
二、RDP客户端软件要求:
1.客户端操作系统必须是 Windows 2000、Windows XP 或 Windows Server 2003;
2.客户端的RDP客户端连接组件版本必须为 RDP 5.2 以上,即必须为 Windows Server 2003 SP1 及其后版本中所带的RDP客户端连接组件(此组件的安装文件位于 Windows Server 2003 SP1 操作系统中的 %systemdrive\system32\clients\tsclient\win32\ 目录下找到。)
三、安装CA证书服务器:
1.点击开始,指向控制面板,点击添加或删除程序中的添加删除windows组件,安装证书服务(注意,在安装证书服务的时候一定要安装IIS服务和Active Server Pages子组件,并且一旦安装证书服务则这台电脑就不能更改计算机名了)。
2.输入CA的公用名称,这里名称必须是英文。(例如:mcse.org.cn)在点下一步。
2.输入CA的公用名称,这里名称必须是英文。(例如:mcse.org.cn)在点下一步。
3.输入证书数据库安装目录,一般直接按下一步。
4.这里我就完成了证书服务器的安装了。
四、为终端服务申请证书
首先,我们需要在终端服务器上申请一个有效的(即颁发此证书的CA必须位于终端服务器的受信任的根证书颁发机构列表中)服务器身份验证证书。
1.点击开始,指向Internet Explorer单击,在地址栏中输入
[url]http://127.0.0.1/certsrv[/url]
2.单击申请一个证书。
3.单击高级证书申请。
4.单击创建并向此 CA 提交一个申请。
输入姓名(注意:这里的姓名必须是您对外的域名如
[url]www.mcse.org.cn[/url])
在需要的证书类型中选“择服务器身份验证证书”。
在CSP中选择“Microsoft RSA SChannel Cryptographic Provider”。
在“将证书保存在本地计算机存储中”前打钩。
4.申请证书成功。
五、颁发证书
您刚刚申请的那张证书其实他的状态是挂起状态,此时的那张证书是没有任何作用,您需要请CA 管理员,在证书颁发机构中,颁发这张证书。
1.点击开始,指向所有程序→管理工具→证书颁发机构,选择挂起的申请单击
2.选种所申请的证书右击所有任务→颁发
3.点击开始,指向Internet Explorer单击,在地址栏中输入
[url]http://127.0.0.1/certsrv[/url]选择查看挂起的证书申请的状态。
4.安装此证书。
六、配置终端服务器使用SSL加密
1.点击开始,指向所有程序,点击管理工具中的终端服务配置,
2.在弹出的终端服务配置\连接对话框,右击右边详细面板中的RDP-Tcp,选择属性;
然后在弹出的RDP-Tcp属性对话框上,点击常规页中的编辑按钮;
3.在选择证书对话框上,选择对应的服务器身份验证证书,然后点击确定;
4.在配置使用服务器身份验证证书后,就可以使用SSL加密功能了。在安全层栏选择SSL,然后点击确定;
配置RDP客户端使用SSL加密
1.在安装完成以后,点击开始,选择所有程序中的远程桌面连接,然后在安全标签选择是否使用基于SSL(TLS 1.0)的服务器身份验证:
无身份验证:RDP客户端不要求终端服务器进行服务器身份验证,当使用这个选项时,RDP客户端连接组件的行为和更低版本的RDP客户端连接组件的行为一致,适用于终端服务器没有使用SSL加密的场景,如果终端服务器已经配置为使用SSL加密,则终端服务器会拒绝进行连接;
试图身份验证:RDP客户端试图要求但不是必须要求终端服务器进行服务器身份验证,如果终端服务器并未配置为使用SSL加密或者颁发终端服务器所使用的服务器身份验证证书的CA并不位于RDP客户端计算机的受信任的根证书颁发机构列表中,RDP客户端连接组件会进行提示,但是你同样可以选择继续进行连接;
要求身份验证:RDP客户端必须要求终端服务器进行服务器身份验证,如果终端服务器并未配置为使用SSL加密或者颁发终端服务器所使用的服务器身份验证证书的CA并不位于RDP客户端计算机的受信任的根证书颁发机构列表中,RDP客户端连接组件会拒绝进行连接。需要注意的是,如果RDP客户端所连接的目的地(服务器名或IP地址)和终端服务器上配置使用的服务器身份验证证书的公共名称不一致,则RDP客户端组件会认为所连接的终端服务器无法通过身份验证,从而会拒绝进行连接。
2.当成功使用SSL进行RDP连接后,在全屏模式下,屏幕顶部的提示栏上会具有一个小锁标志,代表使用的是SSL加密连接,单击它可以查看终端服务器所配置使用的服务器身份验证证书。
当成功使用SSL进行RDP连接后,在全屏模式下,屏幕顶部的提示栏上会具有一个小锁标志,代表使用的是SSL加密连接,单击它可以查看终端服务器所配置使用的服务器身份验证证书。
转载于:https://blog.51cto.com/bingyu/69714