Windows终端服务SSL认证配置指南
下面是配置步骤:
SSL认证必须组件:
IIS+ASP,证书服务
首先安装IIS和证书服务,打开“添加/删除程序”,然后选择“添加/删除Windows组件”
按照下面的图中所示勾选:
安装过程中需要填写CA公用名称,随便填写就可以了,其他的全部默认安装,中间会提示一步是否要起用asp,点是就可以了,如果已经安装了IIS并且启用了asp,这一步只要安装证书服务就可以:
安装好证书服务后,在浏览器中访问
http://localhost/certsrv/,打开证书服务页面:单击其中的申请一个证书,然后选择“高级证书申请”,如图:
在下一步中选择“创建并向此CA提交一个申请。”
这一步比较重要,首先证明的姓名不能随便写,要填写服务器的ip,不然会在后面认证的时候提示名称不一致,下面的部分按照图中的红框标志部分修改就可以,主要修改5个部分:
1. 证书的名称,使用服务器的ip,其他的随便填写
2. 证书类型,选择服务器身份验证证书
3. 密钥用法,改为交换
4. 勾选标记密钥为可导出
5. 勾选把证书保存在本地存储中
完成这些所有以后,提交申请,然后在管理工具中打开“证书颁发机构”,颁发证书。
依次展开树:域名,挂起的申请,在右边的窗格中显示了刚刚申请的证书,单击右键,在所有任务菜单中选择颁发。
现在就可以看到刚刚申请的证书了,打开
http://localhost/certsrv,并且选择“查看挂起的证书申请状态”,可以看到自己刚刚申请的证书已经通过了单击证书并且选择安装证书,在弹出的对话框中选择是,注意这一步是必须的,否则在下一步的终端服务证书选择中看不到任何证书。
在管理工具中,打开终端服务配置,在左边的窗格中单击连接,然后在右边双击连接,在弹出的对话框的常规选项卡中,首先单击证书旁边的编辑
选择刚刚安装的证书,确定
然后按照下图中的设置更改,修改两项:
1. 安全层改为SSL
2. 加密级别改为高
服务器段的设置到此完毕
下面是登陆客户端的设置,首先访问刚刚的证书服务器地址,并且单击:下载一个CA证书,证书链或URL
在下一步中选择安装此证书链,弹出窗口中单击确定,这样就在客户端中安装了该TS服务器的证书
在远程桌面连接的安全选项卡中,把身份验证改为试图身份验证,如果没有安全选项卡,找个win2003的安装盘,support tools里面就有,或者拷贝win2003目录下的mstsc.exe和mstscax.dll至任意目录,直接使用,附件中也提供了,最后连接就以SSL方式连接到终端服务了。
Tips:
1.这里可以结合chocobo的教程做终端服务授权,具体的在论坛里面找
2.客户端的证书安装也可以先在服务器的证书中导出,然后在客户端中导入证书。
FAQ:
1.为什么我在配置TS服务时找不到证书?
证书申请时类型不对,或者证书申请了没有颁发,或者颁发了没有在本地安装证书
2.为什么连接的时候提示名称不一致?
证书申请时名称应该是服务器的ip地址
3.为什么连接的时候提示需要认证?
在安全选项卡中修改身份验证为试图身份验证。
4.为什么提示证书无法验证?
本地没有安装证书,按照客户端设置安装证书就可以