如何利用IPSec(证书)保证远程桌面的安全性!(下)

如何利用IPSec(证书)保证远程桌面的安全性！（下）

各位好！通过上期的学习，我们实现了对远程桌面的加密和身份验证的连接，而

在身份验证过程中我们采用的是Kerberos这种方式，这种身份验证方式只能应用在域

环境里，但如果两端有一边没有加入域，那我们如何来保证身份验证呢？好，今天我们就来学习一下，如何通过另外两种身份验证的方式来保证安全性。

身份验证的三种方式：

1.Kerberos （适合于域环境）

2.证书（需要搭建证书服务器）

3.预共享密钥

我们今天的环境如下图所示：N1还是DC，但Client并没有加入域。

我们今天实验的操作思路：（注意我并没改3389-->6689，若想改可参考上篇）

1.先在DC上创建一个IPSec策略，允许任何客户端（或一段子网或主机均可）来访问DC的3389端口，并要求保证数据完整性和加密，身份验证我们依次选择预共享密钥和证书。

2.开启DC的远程桌面功能。

3.在相应的客户端，如Client上创建同样的一个IPSec策略，可以访问DC的3389端口，并选择相对应的加密与身份验证方式。

4.分别指派这两个策略，测试即可。

一、身份验证方式：预共享密钥

注意：要求DC和Client两边必须采用相同的密钥。

1.服务器端配置如下：

单击上图中的编辑，如下图所示：并选择“使用此字符串（预共享密钥）”中输入共享密钥如haha!,单击确定，依次关掉所有对话框，最后，并指派该策略。

2.客户端的配置同于服务器端，此处就省了吧，呵呵~~

3.测试：

抓包后，如下图所示:加密传输

二、身份验证方式：证书

在这个环境里，我们需要搭建证书服务器（CA），并为两台计算机都要申请一个计算机证书，我们选择DC同时做CA服务器，但要在客户端安装CA的根证书。这样两台

计算机上的计算机证书都是由同一个证书颁发机构颁发的，它们就会相互信任，我们就可以用该证书进行身份验证了。

下面我们一步步来操作：

（一）DC服务器上的操作：

步骤：

1.在DC上先安装IIS（因为我们要通过web方式允许客户端申请证书）

2.再安装CA（我们安装企业根CA）

3.为DC申请计算机证书，并安装。

好，我们开始吧！

打开DC的添加/删除程序（appwiz.cpl)--添加和删除Windows组件，如下图所示：

在“应用程序服务器”打勾，然后单击“下一步”，完成安装。然后再次运行appwiz.cpl，选择“证书服务”，再次单击“详细信息”，如下图所示：有WEB方式申请证书一项。注意，安装完证书服务后，这台计算机就不能再改名了。

单击上图中的确定，再单击下一步，如下图：我们选择“企业根CA”。

输入CA的公用名称，my root.其它可以不用修改。

有关证书数据库等位置，可以不用修改！

单击下一步，如下正在安装。

最后安装结束。

下面我们来为DC申请一个计算机证书。

打开IE，输入[url]http://10.1.1.5/certsrv[/url]，如下所示：

出现如下图，单击“申请一个证书”。

如下图，我们选择“高级证书申请”。

再次选择“创建并向此CA提交一个申请”。

在下图中选择“系统管理员”，但一定要保存在计算机存储中，这样就是一个计算机证书了！

如下，提交即可。

由于我们是企业根CA，所以在默认下，会自动颁发证书，故，我们提交后稍等一会，就会出现如下所示，并“安装此证书”，这样DC的计算机证书就申请完了。

（二）客户端的操作：

在Client上的操作：

1.打开[url]http://10.1.1.5/certsrv[/url]，下载并安装CA根证书。

2.利用WEB方式，申请计算机证书。

具体操作如下：

注意在出现用户名登录的对话框内，一定要输入一个域用户帐户信息。

选择“下载一个CA证书..”后，出现如下图所示：

单击“下载CA证书”，稍等一会，出来证书的下载界面，选择“保存”，并把该证书保存在桌面上。

接下来，我们要安装该CA的根证书了，你需要打开MMC，添加组件--证书（必须选择计算机帐户），如下图所示：

注意：选择“导入”后，找到刚才保存的证书，然后根据提示一路安装下去，就不用图示了吧~~，最后如下图所示：

好了，接下来，我们为客户端申请“计算机证书”，这个操作过程和刚才在DC上申请计算机证书一样。安完成最后的安装！

最后特别关键的一步：为DC和Client分别选择利用证书做身份验证。

如下图所示：

选择第二项，再单击“浏览”，如下所示，你就能看到my root这个根证书。

选择中，并单击“确定”，如下所示：

两边都做完以后，可以重新指派一下，然后在client上做一下测试，OK，如下所示：

哈哈，测试成功了！！！！

你还可以抓包来看一下，如下所示：

好了，终于把这个技术点讲完了，希望能给各位一些帮助。

小结：通过两次讲座，无非告诉各位，IPSec可以帮我们完成很多事情，我这个实例只不过是一个引子而已。那IPSec到底可以做那些事呢？

1.可以关机器的端口。

2.可以禁用机器的协议。

3.可以对数据的传输进行加密和保证其完整性。

4.可以对计算机身份进行验证。如可以实现网络的隔离。

总而言之，IPSec功能特别强大，在域内你可以对客户端统一部署，来达到网络的隔

离的目的，我会在后期继续给各位对IPSec做更深入的介绍。