【簡 介】 遠程桌面終端服務加密SSL從windows2000 server版本開始微軟就將一個名為“遠程桌面”的程序集成到操作系統(tǒng)中，通過這個“遠程桌面”網絡管理員可以在網絡的另

【簡 介】 遠程桌面終端服務加密SSL

從windows2000 server版本開始微軟就將一個名為“遠程桌面”的程序集成到操作系統(tǒng)中，通過這個“遠程桌面”網絡管理員可以在網絡的另一端輕松的控制公司的服務器，在上面進行操作，刪除程序，運行命令和在本地計算機一樣。

【原理基礎】

從win dows2000 server版本開始微軟就將一個名為“遠程桌面”的程序集成到操作系統(tǒng)中，通過這個“遠程桌面”網絡管理員可以在網絡的另一端輕松的控制公司的服務器，在上面進行操作，刪除程序，運行命令和在本地計算機一樣。因此“遠程桌面”功能極大的方便了網絡管理員的工作，在推出以后受到了越來越多網管的青睞。 然而隨著網絡的普及，網絡的安全性越來越受到企業(yè)的重視，很多網管發(fā)現使用win do ws 的遠程桌面功能操作服務器有一定的安全隱患，也就是說數據傳輸的安全級不夠高，雖然傳輸信息進行了一定的加密，但黑客高手還是很容易將其還原成本來信息的。正因為遠程桌面在安全性上的不足使得一些網絡管理員開始尋求其他遠程控制工具，例如remote admin,pc any where等。

提示：如果你使用的是win dows2003，但是沒有安裝最新的SP1補丁的話還是不能夠使用SSL 加密的遠程桌面認證方式。因此建議將服務器升級到windo ws2003 SP1。

【跟我操作】

1. 安裝證書服務

第一步：默認情況下windows2003沒有安裝證書服務，我們通過控制面板的添加/刪除windows 組件來安裝“證書服務”。（如圖1）

如圖1 安裝證書服務

第二步:CA證書類型中選擇“獨立根CA”，然后點“下一步”繼續(xù)。（如圖2）

圖2 選擇獨立根

第三步：在CA 識別信息窗口中為安裝的CA 起一個公用名稱——www.sans.org.cn ，可分辨名稱后綴處空白不填寫，有效期限保持默認5年即可。（如圖3）

圖3 命令CA 公用名稱

第四步：在證書數據庫設置窗口我們保持默認即可，因為只有保證默認目錄（windowssystem32?rtlog）系統(tǒng)才會根據證書類型自動分類和調用。點“下一步”后繼續(xù)。（如圖4）

圖4 設置證書數據庫路徑

第五步：提示要暫止IIS 服務. 選擇是, 如圖5所示

圖5 暫停IIS 服務

第六步：在安裝服務的最后系統(tǒng)會提示“要容許證書服務需要啟用IIS 的ASP 功能”，我們選擇“是”來啟用ASP 。（如圖6）

圖6 啟用ASP

第七步：完成CA 證書服務的windows 組件安裝工作。（如圖7）

圖7 完成證書服務安裝

如果windo ws2003沒有安裝II S 組件的話還需要按照上面介紹的方法將II S 組件也安裝。

2. 設置證書服務參數

默認情況下證書類型不是我們本次操作所需要的，所以還需要對其進行修改設置。

第一步：通過任務欄的“開始->程序->管理工具->證書頒發(fā)機構”來打開證書設置窗口。（如圖8）

圖8 打開證書配置程序

第二步：在證書主程序面板中選擇www.sans.org.cn ,點鼠標右鍵選擇“屬性”，然后點“策略模快”標簽，在策略?？鞓撕炏逻€有一個“屬性”按鈕。（如圖9）

圖9 打開證書屬性面板

第三步：點屬性按鈕后在設置請求處理窗口中將默認的設置修改為“如果可以的話，按照證書模板中的設置。否則，將自動頒發(fā)證書”。（如圖10）

圖10 設置自動頒發(fā)證書

3. 服務端申請證書

IIS 啟動后我們就可以通過網頁來申請證書了。

第一步：打開IE 瀏覽器，在地址欄處輸入http://證書服務器IP/certsrv/ 或 http://localhost/certsrv/，例如服務器地址為192.168.0.170則輸入：http://192.168.0.170/certsrv

第二步：我們在該界面中選擇“申請一個證書”如果IIS 工作正常，證書服務安裝正確的話會出現microsoft 證書服務界面。（如圖11）

圖11 申請證書

第三步：在申請證書界面選擇“高級證書申請”。（如圖12）

圖12 選擇高級證書申請

第四步：在高級證書申請界面選擇“創(chuàng)建并向此CA 提交一個申請”

第五步：在高級證書申請?zhí)顚懡缑嫘枰覀冃薷牡牡胤奖容^多，首先輸入姓名，要填寫服務器的IP 地址。

提示：如果高級證書姓名填寫的是其他信息，那么在配置SSL 加密認證時會出現配置信息與服務器名不符合的錯誤。所以務必填寫服務器的IP 地址。

第六步：電子郵件和公司，部門，地區(qū)等信息隨意填寫。

第七步：需要的證書類型選擇“服務器身份驗證證書”。

第八步：密鑰選項設置為“創(chuàng)建新密鑰集”。

第九步：密鑰用戶設置為“交換”。

第十步：將最下方的“標記密鑰為可導出”與“將證書保存在本地計算機存儲”前打對勾。至此高級證書申請參數填寫完畢。（如圖13）

圖13 填寫證書資料

第十一步：點提交申請后會出現“潛在的腳本沖突”提示，我們不用理會直接選擇“是”即可。（如圖14）

圖14 腳本沖突選擇是

第十二步：提交申請完畢會出現證書掛起的提示，系統(tǒng)會提示你的申請信息已經掛起，等待管理員頒發(fā)，并還會顯示出申請ID 的序號。（如圖15）