使用SSL加密远程桌面连接

使用SSL加密远程桌面连接

windows的远程桌面功能操作服务器有一定的安全隐患，也就是说数据传输的安全级不够高，虽然传输信息进行了一定的加密，但黑客高手还是很容易将其还原成本来信息的。其实通过一定加密和认证手段完全可以打造安全的远程桌面，本文讲得是通过SSL加密远程桌面的方法来加强VPS的安全性。

提示：如果你使用的是windows2003，但是没有安装最新的SP1补丁的话还是不能够使用SSL加密的远程桌面认证方式。因此建议各个公司马上将服务器升级到windows2003+SP1。

一、安装证书颁发机构：

首先要将服务器升级到最新版本windows2003，然后还需要通过windows update或网站将service packet1补丁包安装。因为只有安装了SP1的indows2003才具备通过SSL加密的远程桌面功能。以下所有操作都是对服务器而言的，只有服务器经过设置容许支持SSL加密认证，客户端才可以通过远程桌面访问程序正常连接。

安装证书颁发机构（证书服务）的过程参照“SERVER2003证书颁发机构安装与配置”一文章。

二、申请证书：

IIS启动后我们就可以通过网页来申请证书了。

第一步：打开证书颁发机构所在服务器的IE浏览器，在地址栏处输入

http://ip/certsrv/例如服务器地址为192.168.1.1，则输入

http://192.168.1.1/certsrv

如果IIS工作正常，证书服务安装正确的话会出现microsoft证书服务界面。

我们在该界面中选择“申请一个证书”。

第三步：在申请证书界面选择“高级证书申请”。

在高级证书申请界面选择“创建并向此CA提交一个申请”。

在高级证书申请填写界面需要我们修改的地方比较多，首先输入姓名，这个姓名要填写服务器的IP地址。

提示：如果高级证书姓名填写的是其他信息，那么在配置SSL加密认证时会出现配置信息与服务器名不符合的错误。所以务必填写服务器的IP地址。

第六步：电子邮件和公司，部门，地区等信息随意填写。

第七步：需要的证书类型选择“服务器身份验证证书”。

第八步：密钥选项设置为“创建新密钥集”。

第九步：密钥用户设置为“交换”。

第十步：将最下方的“标记密钥为可导出”与“将证书保存在本地计算机存储”前打对勾。至此高级证书申请参数填写完毕。

点提交申请后会出现“潜在的脚本冲突”提示，我们不用理会直接选择“是”即可。

提交申请完毕会出现证书挂起的提示，系统会提示你的申请信息已经挂起，等待管理员颁发，并还会显示出申请ID的序号。

接下来还需要对申请的证书进行颁发，只有颁发了我们才可以开始使用。

三、颁发与安装证书：

下面为大家介绍如何颁发刚刚申请的证书。

第一步：通过任务栏的“开始->程序->管理工具->证书颁发机构”来打开证书设置窗口。

第二步：在本地计算机softer下的“挂起的申请”处会看到有一个申请，ID号为2，这个就是刚才的申请。

第三步：在该申请上点鼠标右键选择“所有任务->颁发”，颁发后我们申请的证书就可以使用了。

下面就要在服务器上安装我们申请的证书。

第一步：打开IE浏览器，在地址栏处输入

http://ip/certsrv/

例如服务器地址为10.91.30.45，则输入

http://10.91.30.45/certsrv

如果IIS工作正常，证书服务安装正确的话会出现microsoft证书服务界面。

第二步：选择“查看挂起的证书申请状态”，在这里会看到我们原来提交的那个“服务器身份验证证书”的踪影。

点该“服务器身份验证证书”后出现证书已颁发的提示，我们直接点“安装此证书”。

系统会弹出“潜在的脚本冲突”提示，我们不用理睬继续点“是”即可。系统会自动将该证书安装在服务器上。

安装完毕系统会以网页的形式将“证书已安装信息”反馈给用户。

四、服务器终端服务设置：

默认情况下远程桌面功能是不支持SSL加密认证的，即使我们申请并安装了证书。

第一步：通过任务栏的“开始->程序->管理工具->终端服务配置”来启动tscc终端服务配置窗口。

在tscc终端服务配置窗口中我们点“终端服务配置>连接”，在右边窗口中会显示出终端服务，我们在其上点鼠标右键选择“属性”。

在常规标签中的证书设置处旁边有一个“编辑”按钮，点击该按钮打开证书设置窗口。然后通过查看证书找到我们在上期文章中安装的证书（证书名为192.168.1.1）。

选择完证书后还需要对常规标签中的安全级别进行设置，我们将安全层设置为“SSL”，将加密级别设置为“高”。确定后完成全部服务器远程桌面设置工作。

五、客户端安装认证证书：

既然服务器上使用了证书进行SSL加密认证，那么还需要在客户机上安装这些认证。如果不安装的话远程桌面访问将无法进行。有两种方法获得证书，我们将一一介绍。

1、从证书服务器上导出证书：

从管理工具中进行证书颁发机构，找到要导出的证书，双击进入证书详情。

点击选项卡上的复制到文件进入证书导出向导

选择一种导出的格式。

输入要保存的证书名称，点击浏览选择要导出的路径，点击完成导出所想要的证书。

2、通过证书页面安装证书：

我们还有另外一种方法在客户机上安装证书。

第一步：在客户机上打开浏览器，在地址栏处输入http://ip/certsrv/

。例如服务器地址为10.91.30.45，则输入

http://10.91.30.45/certsrv

。浏览器将打开证书申请页面。

选择下载CA证书后直接点“安装此CA证书链”。