远程桌面终端服务加密SSL.docVIP

远程桌面终端服务加密SSL【简 介】【原理基础】 　　从windows2000 server版本开始微软就将一个名为“远程桌面”的程序集成到操作系统中，通过这个“远程桌面”网络管理员可以在网络的另一端轻松的控制公司的服务器，在上面进行操作，删除程序，运行命令和在本地计算机一样。因此“远程桌面”功能极大的方便了网络管理员的工作，在推出以后受到了越来越多网管的青睐。 然而随着网络的普及，网络的安全性越来越受到企业的重视，很多网管发现使用windows的远程桌面功能操作服务器有一定的安全隐患，也就是说数据传输的安全级不够高，虽然传输信息进行了一定的加密，但黑客高手还是很容易将其还原成本来信息的。正因为远程桌面在安全性上的不足使得一些网络管理员开始寻求其他远程控制工具，例如remote admin,pc any where等。 　　提示：如果你使用的是windows2003，但是没有安装最新的SP1补丁的话还是不能够使用SSL加密的远程桌面认证方式。因此建议将服务器升级到windows2003+SP1。【跟我操作】 　　1.安装证书服务 　　第一步：默认情况下windows2003没有安装证书服务，我们通过控制面板的添加/删除windows组件来安装“证书服务”。（如图1） 如图1 安装证书服务 第二步CA证书类型中选择“独立根CA”，然后点“下一步”继续。（如图2） 图2 选择独立根 第三步：在CA识别信息窗口中为安装的CA起一个公用名称——，可分辨名称后缀处空白不填写，有效期限保持默认5年即可。（如图3） 图3 命令CA公用名称 第四步：在证书数据库设置窗口我们保持默认即可，因为只有保证默认目录（windows\system32\certlog）系统才会根据证书类型自动分类和调用。点“下一步”后继续。（如图4） 图4 设置证书数据库路径 第五步：提示要暂止IIS服务.选择是,如图5所示 图5 暂停IIS服务 第六步：在安装服务的最后系统会提示“要容许证书服务需要启用IIS的ASP功能”，我们选择“是”来启用ASP。（如图6） 图6 启用ASP 第七步：完成CA证书服务的windows组件安装工作。（如图7） 图7 完成证书服务安装 如果windows2003没有安装IIS组件的话还需要按照上面介绍的方法将IIS组件也安装。　2.设置证书服务参数 　　默认情况下证书类型不是我们本次操作所需要的，所以还需要对其进行修改设置。 　　第一步：通过任务栏的“开始-程序-管理工具-证书颁发机构”来打开证书设置窗口。（如图8） 图8 打开证书配置程序 第二步：在证书主程序面板中选择 ,点鼠标右键选择“属性”，然后点“策略模快”标签，在策略模快标签下还有一个“属性”按钮。（如图9） 图9 打开证书属性面板 　　第三步：点属性按钮后在设置请求处理窗口中将默认的设置修改为“如果可以的话，按照证书模板中的设置。否则，将自动颁发证书”。（如图10） 图10 设置自动颁发证书 　　3.服务端申请证书 　　IIS启动后我们就可以通过网页来申请证书了。 　　第一步：打开IE浏览器，在地址栏处输入http://证书服务器IP/certsrv/ 或 http://localhost/certsrv/，例如服务器地址为70则输入：70/certsrv 　　第二步：我们在该界面中选择“申请一个证书”如果IIS工作正常，证书服务安装正确的话会出现microsoft证书服务界面。（如图11） 图11 申请证书 　　第三步：在申请证书界面选择“高级证书申请”。（如图12） 图12 选择高级证书申请 　　第四步：在高级证书申请界面选择“创建并向此CA提交一个申请” 　　第五步：在高级证书申请填写界面需要我们修改的地方比较多，首先输入姓名，要填写服务器的IP地址。 　　提示：如果高级证书姓名填写的是其他信息，那么在配置SSL加密认证时会出现配置信息与服务器名不符合的错误。所以务必填写服务器的IP地址。 　　第六步：电子邮件和公司，部门，地区等信息随意填写。 　　第七步：需要的证书类型选择“服务器身份验证证书”。 　　第八步：密钥选项设置为“创建新密钥集”。 　　第九步：密钥用户设置为“交换”。 　　第十步：将最下方的“标记密钥为可导出”与“将证书保存在本地计算机存储”前打对勾。至此高级证书申请参数填写完毕。（如图13） 图13 填写证书资料 　　第十一步：点提交申请后会出现“潜在的脚本冲突”提示，我们不用理会直接选择“是”即可。（如图14） 图14 脚本冲突选择是 第十二步：提交申请完毕会出现证书挂起的提示，系统会提示你的申请信息已经挂起，等待管理员颁发，并还会显示