在上一篇博文中我费了九牛二虎之力,才搞定了工作组情况下的远程桌面证书问题,在本篇文章中我将在域环境中解决win7远程桌面到win2008的证书问题,其实解决这个问题很简单下面就先看下网络拓扑图然后一步步搞定这个实验。

 

网络拓扑如下图,其中08Server06和win7均已经加入域。

image

 

实验的思路:

1.安装企业CA,安装企业CA后域中的客户端只要刷新了组策略就会信任企业CA颁发的所有证书,当然组策略的刷新可以根据域中的定义也可以在客户端执行命令立即进行刷新

2.08Server06向企业CA申请证书,应用证书,因为默认情况下08Server06的远程桌面使用了自签名证书

3.win7客户端刷新,再次尝试远程桌面到08Server06

 

安装企业CA

在DC上安装企业CA,服务器管理器中选择“添加角色”

image

 

选择“Active Diretcory证书服务”

image

 

通常CA的安装都会选择“证书颁发机构Web注册”,所以我们选择这个选项

image

 

直接下一步

image

 

选择“企业”

image

 

因为这是第一个CA,所以我需要选择根CA

image

 

新建私钥

image

 

直接保持默认

image

 

此CA的公用名称我输入Enterprise CA来标识,您可以根据实际情况定义名称

image

 

默认企业CA的有效期为5年,您可以更改下比如10年,100年。因为CA颁发的证书的有效期永远不会超过CA本身,延长申请证书的有效期请见博文http://jqq1982.blog.51cto.com/515663/1068190

image

 

安装路径

image

 

直接下一步

image

 

选择安装,注:因为证书安装在了DC上所以给出了×××警告,一般生产环境中都不建议把CA安装在DC上,有问题很麻烦

image

 

安装成功,安装成功后建议重启下服务器

image

 

安装成功后,证书颁发机构如下图所示

image

 

申请证书

在08Server06上安装IIS,因为IIS可以非常方便的申请SSL证书,然后把申请的这个证书给RDP用即可。在08Server06服务器管理器中选择“添加角色”

image

 

选择Web服务器

image

 

保持默认,选择“下一步”

image

 

安装

image

 

完成IIS的安装后,我们打开IIS管理器,选择如下视图中的服务器证书,然后双击

image

 

选择“创建域证书”

image

 

通用名称中填写服务器的FQDN名,其它的根据您的实际情况,选择“下一步

image

 

如下图无法进行选择是灰色的,为什么?因为还没有刷新组策略,刷新下组策略,然后重新打开IIS管理器进行申请。

image

 

刷新组策略,重新打开下IIS管理器,再次运行下创建域证书向导

image

 

如下图现在可以选择了,选择证书颁发机构

image

 

好记的名称这个随意,我这里填写RDP

image

 

完成后视图如下

image

 

应用证书

在08Server06上打开“远程桌面会话主机配置”

image

 

双击RDP-Tcp

image

 

单击“选择”然后选择刚才的证书,选择“确定”

image

 

如下图证书变成了08Server06.abc.com,选择应用,确定

image

 

测试win7的远程访问

在win7上刷新下组策略,使用FQDN名进行连接

image

 

输入域管理员

image

 

如下图,win7远程桌面成功

image