为windows远程桌面加上SSL证书认证.docVIP

为windows远程桌面加上SSL证书认证,保障连接安全 微软公司非常看中远程控制软件的市场。为了提高远程桌面的安全级别，保证数据不被黑客窃取，在Windows2003的最新补丁包SP1中添加了一个安全认证方式的远程桌面功能。通过这个功能我们可以使用SSL加密信息来传输控制远程服务器的数据，从而弥补了远程桌面功能本来的安全缺陷。 提示：如果你使用的是windows2003，但是没有安装最新的SP1补丁的话还是不能够使用SSL加密的远程桌面认证方式。因此建议各个公司马上将服务器升级到windows2003+SP1。 没有使用SSL加密传输信息的远程桌面认证方式有多危险?如果在一个局域网内,你的登陆账户和密码可以完全被嗅探….. 使用SSL证书认证，再加上密码，就双重认证，只有设定只允许SSL认证方式，即便人家拿到服务器密码，也无法远程登陆系统。 以下操作经过xok.la站长测试，真实有效。只是在xp下还没有找到支持安全认证方式客户端的方法 证书服务安装与证书安装： 使用证书加密认证： 首先要将服务器升级到最新版本windows2003，然后还需要通过windows update或网站将service packet 1补丁包安装。因为只有安装了SP1的Windows2003才具备通过SSL加密的远程桌面功能。以下所有操作都是对服务器而言的，只有服务器经过设置容许支持SSL加密认证，客户端才可以通过远程桌面访问程序正常连接。 1.安装证书服务： 第一步：默认情况下windows2003没有安装证书服务，我们通过控制面板的添加/删除windows组件来安装“证书服务”。 第二步：在CA证书类型中选择“独立根CA”，然后点“下一步”继续。 第三步：在CA识别信息窗口中为安装的CA起一个公用名称——softer，可分辨名称后缀处空白不填写，有效期限保持默认5年即可。 第四步：在证书数据库设置窗口我们保持默认即可，因为只有保证默认目录（windows\system32\certlog）系统才会根据证书类型自动分类和调用。点“下一步”后继续。 第五步：配置好安装证书所需要的参数后系统就开始安装该组件，当然在安装过程中会提示要求插入WINDOWS2003系统光盘。 第六步：插入光盘找到系统文件后继续安装，在安装服务的最后系统会提示“要容许证书服务需要启用IIS的ASP功能”，我们选择“是”来启用ASP。 默认情况下证书类型不是我们本次操作所需要的，所以还需要对其进行修改设置。 第一步：通过任务栏的“开始-程序-管理工具-证书颁发机构”来打开证书设置窗口。 第二步：如果证书颁发机构中没有显示出任何计算机则我们需要通过“文件”菜单中的设置来加载本地计算机的证书服务。 第三步：在计算机softer上点鼠标右键选择“属性”，然后点“策略模快”标签，在策略模快标签下还有一个“属性”按钮。 第四步：点属性按钮后在设置请求处理窗口中将默认的设置修改为“如果可以的话，按照证书模板中的设置。否则，将自动颁发证书”。 3.申请证书 IIS启动后我们就可以通过网页来申请证书了。 第一步：打开IE浏览器，在地址栏处输入 http://ip/certsrv/ ip为服务器IP /certsrv ，如果IIS工作正常，证书服务安装正确的话会出现microsoft证书服务界面。 第二步：我们在该界面中选择“申请一个证书”。 第三步：在申请证书界面选择“高级证书申请”。 第四步：在高级证书申请界面选择“创建并向此CA提交一个申请”。（如图21） 第五步：在高级证书申请填写界面需要我们修改的地方比较多，首先输入姓名，这个姓名要填写服务器的IP地址。 提示：如果高级证书姓名填写的是其他信息，那么在配置SSL加密认证时会出现配置信息与服务器名不符合的错误。所以务必填写服务器的IP地址。 第六步：电子邮件和公司，部门，地区等信息随意填写。 第七步：需要的证书类型选择“服务器身份验证证书”。 第八步：密钥选项设置为“创建新密钥集”。 第九步：密钥用户设置为“交换”。 第十步：将最下方的“标记密钥为可导出”与“将证书保存在本地计算机存储”前打对勾。至此高级证书申请参数填写完毕。（如图22） 第十一步：点提交申请后会出现“潜在的脚本冲突”提示，我们不用理会直接选择“是”即可。 第十二步：提交申请完毕会出现证书挂起的提示，系统会提示你的申请信息已经挂起，等待管理员颁发，并还会显示出申请ID的序号。 至此我们就完成了证书的申请工作，接下来还需要对申请的证书进行颁发，只有颁发了我们才可以开始使用。 4.颁发证书： 下面为大家介绍如何颁发刚刚申请的证书。 第一步：通过任务栏的“开始-程序-管理工具-证书颁发机构”来打开证书设置窗口。 第二步：在本地计算机softer下的“挂起的申请