1、為 windows 遠程桌面加上 SSL 證書認證, 保障連接安全 微軟公司 非?？粗?遠程控制軟件的市場。為了提高遠程 桌面的安全級別，保證數(shù)據(jù)不 被黑客竊取，在 Windows2003 的最新補丁包 SP1 中添加了一個安全認證方式的遠程桌面功能。通過這個功能我們可以使用 SSL 加密信息來傳輸控制遠程服務器的數(shù)據(jù)，從而彌補了遠程桌面功能本來的安全缺陷。提示：如果你使用的是windows2003，但是沒有安裝最新的SP1補丁的話還是不能夠使用SSL加密的遠程桌面 認證方式。因此建議各個公司馬上將服務器升級到 windows2003+SP1 。沒有使用 SSL 加密傳輸信息的遠程桌面認證方式

2、有多危險?如果在一個局域網(wǎng)內,你的登陸賬戶和密碼可以完全 被嗅探.使用SSL證書認證，再加上密碼，就雙重認證，只有設定只允許SSL認證方式，即便人家拿到服務器密碼，也 無法遠程登陸系統(tǒng)。以下操作經過xok.la站長測試，真實有效。只是在xp下還沒有找到支持安全認證方式客戶端的方法證書服務安裝與證書安裝：使用證書加密認證：首先要將服務器升級到最新版本windows2003，然后還需要通過windows update或網(wǎng)站將service packet 1補丁 包安裝。因為只有安裝了 SP1的Windows2003才具備通過SSL加密的遠程桌面功能。以下所有操作都是對服 務器而言的，只有服務器經過

3、設置容許支持SSL加密認證，客戶端才可以通過遠程桌面訪問程序正常連接。1.安裝證書服務：第一步：默認情況下 windows2003 沒有安裝證書服務，我們通過控制面板的添加/刪除 windows 組件來安裝“證 書服務”。X詳細信息上一步 創(chuàng)I下一步 血幫助所需磁盤空間 可用磁盤空間取消Tindow加/刪C i ndow s 卅:組件:描述：安裝證書頒發(fā)機構 以便頒發(fā)證書用于公鑰安全程序口14.3 MB5040.7 MBiMok.lal7 應用程序服務器 是遠程安裝服務 顯遠程存體Pl-ansEaEi n舅.終諦聘囁黑33. 3 MB |1.9 MB3. 5 MB0 0 MB _TJ顯乎更新可

4、以添加或刪除Windows的組件口彎霽豔藉鶴讀聶霹蹭髓影犖框表示惡安卿組件的TindovE 組件第二步：在CA證書類型中選擇“獨立根CA”，然后點“下一步”繼續(xù)。第三步：在CA識別信息窗口中為安裝的CA起一個公用名稱softer，可分辨名稱后綴處空白不填寫，有效期限保持默認 5 年即可。第四步：在證書數(shù)據(jù)庫設置窗口我們保持默認即可，因為只有保證默認目錄(windowssystem32certlog)系統(tǒng)才會根據(jù)證書類型自動分類和調用。點“下一步”后繼續(xù)。第五步： 配置好安裝證書所需要的參數(shù)后系統(tǒng)就開始安裝該組件，當然在安裝過程中會提示要求插入 WINDOWS2003 系統(tǒng)光盤。第六步：插入光盤

5、找到系統(tǒng)文件后繼續(xù)安裝，在安裝服務的最后系統(tǒng)會提示“要容許證書服務需要啟用 IIS 的ASP功能”我們選擇“是”來啟用ASP。默認情況下證書類型不是我們本次操作所需要的，所以還需要對其進行修改設置。 第一步：通過任務欄的“開始-程序-管理工具-證書頒發(fā)機構”來打開證書設置窗口。第二步：如果證書頒發(fā)機構中沒有顯示出任何計算機則我們需要通過“文件”菜單中的設置來加載本地計算機 的證書服務。第三步：在計算機 softer 上點鼠標右鍵選擇“屬性”，然后點“策略?？臁睒撕?，在策略模快標簽下還有一個“屬 性”按鈕。第四步：點屬性按鈕后在設置請求處理窗口中將默認的設置修改為“如果可以的話，按照證書模板中的

6、設置。 否則，將自動頒發(fā)證書”。3.申請證書IIS 啟動后我們就可以通過網(wǎng)頁來申請證書了。 第一步：打開 IE 瀏覽器，在地址欄處輸入 HYPERLINK http:/ip/certsrv/ http:/ip/certsrv/ ip 為服務器 IP HYPERLINK /certsrv /certsrv，如果 IIS 工作正常，證書服務安裝正確的話會出現(xiàn) microsoft 證書服務界面?！克阉鞴绞詹貖A |佔|t型S 地址|錚j ht tu ：丿/12T. 0. 0. 1 / c er t v/Xicrooft 證書服務 - Kok歡迎使用此網(wǎng)站為您的Web瀏覽器，電子郵件客戶端或其他程序申請

7、一個遼 證書的類型，執(zhí)行其他安全任務。您也可以使用此網(wǎng)站下載證書wk(CA)證書，證書鏈，或證書吊銷?3C有關證書服務的詳細信息，請3C有關證書服務的詳細信息，請參閱證書服務文檔.選擇一個任務：申請一個證書查看掛起的證書申請的狀態(tài) 下載一個 CA 證書，證書鏈或 CRL第二步：我們在該界面中選擇“申請一個證書”。 第三步：在申請證書界面選擇“高級證書申請”。第四步：在高級證書申請界面選擇“創(chuàng)建并向此CA提交一個申請”(如圖21)第五步：在高級證書申請?zhí)顚懡缑嫘枰覀冃薷牡牡胤奖容^多，首先輸入姓名，這個姓名要填寫服務器的IP地 址。提示：如果高級證書姓名填寫的是其他信息，那么在配置SSL加密認證

8、時會出現(xiàn)配置信息與服務器名不符合的 錯誤。所以務必填寫服務器的 IP 地址。第六步：電子郵件和公司，部門，地區(qū)等信息隨意填寫。 第七步：需要的證書類型選擇“服務器身份驗證證書”。第八步：密鑰選項設置為“創(chuàng)建新密鑰集”。 第九步：密鑰用戶設置為“交換”。第十步：將最下方的“標記密鑰為可導出”與“將證書保存在本地計算機存儲”前打對勾。至此高級證書申請 參數(shù)填寫完畢。（如圖 22）第十一步：點提交申請后會出現(xiàn)“潛在的腳本沖突”提示，我們不用理會直接選擇“是”即可。第十二步：提交申請完畢會出現(xiàn)證書掛起的提示，系統(tǒng)會提示你的申請信息已經掛起，等待管理員頒發(fā)，并還 會顯示出申請 ID 的序號。至此我們就完

9、成了證書的申請工作，接下來還需要對申請的證書進行頒發(fā)，只有頒發(fā)了我們才可以開始使用。4.頒發(fā)證書：下面為大家介紹如何頒發(fā)剛剛申請的證書。 第一步：通過任務欄的“開始-程序-管理工具-證書頒發(fā)機構”來打開證書設置窗口。第二步：在本地計算機softer下的“掛起的申請”處會看到有一個申請，ID號為2,這個就是剛才的申請。 第三步：在該申請上點鼠標右鍵選擇“所有任務-頒發(fā)”，頒發(fā)后我們申請的證書就可以使用了。5.安裝證書：證書已經通過服務器的審批，下面就要在服務器上安裝我們申請的證書。只有擁有了證書才能讓我們遠程訪問 中傳輸?shù)臄?shù)據(jù)更加安全。第一步：打開IE瀏覽器，在地址欄處輸入 HYPERLINK

10、http:/ip/certsrv/%e3%80%82%e4%be%8b%e5%a6%82%e6%9c%8d%e5%8a%a1%e5%99%a8%e5%9c%b0%e5%9d%80%e4%b8%ba5 http:/ip/certsrv/。例如服務器地址為5 ,則輸入 HYPERLINK 5/certsrv 5/certsrv，如果 IIS 工作正常，證書服務安裝正確的話會出現(xiàn) microsoft 證書服務界面。 第二步：選擇“查看掛起的證書申請狀態(tài)”，在這里會看到我們原來提交的那個“服務器身份驗證證書”的蹤影。 （如圖 26）第三步：點該“服務器身份驗證證書”后出現(xiàn)證書已頒發(fā)的提示，我們直接點“

11、安裝此證書”。（如圖27）第四步：系統(tǒng)會彈出“潛在的腳本沖突”提示，我們不用理睬繼續(xù)點“是”即可。系統(tǒng)會自動將該證書安裝在 服務器上。（如圖 28） 第五步：安裝完畢系統(tǒng)會以網(wǎng)頁的形式將“證書已安裝信息”反饋給用戶。（如圖 29）證書導入遠程終端：1 .客戶端證書導出開始 - 運行 - 輸入 mmc ,進入控制臺，文件 - 添加/刪除單元 ，添加 -在彈出來的對話框，選中 計算機賬戶，再 下一步，選中默認的，到完成。注意：是在 證書 - 個人 證書 里面。導出非服務器驗證的那一個證書。2.進入 開始 - 管理工具 - 終端服務配置安全層：RDP安全層，為windows默認的SSL,為SSL證書

12、認證方式，如果被選中，將值走SSL證書方式，客戶端需要證書和密碼才能連接服務器 協(xié)商，客戶端可以自由選中是走RDP還是SSL。考慮到遠程連接客戶端只有WIN2003 SP1才有安全驗證方式，所以建議在這選中“協(xié)商”，要是證書驗證不可 用，可以使用 RDP。在“證書” 處 點編輯 選中 服務器 證書，然后應用。3.安裝到客戶端開始 - 運行 - 輸入 mmc ,進入控制臺，文件 - 添加/刪除單元 ，添加 -在彈出來的對話框，選中 計算機賬戶，再 下一步，選中默認的，到完成。己置:設置遠程控制1客戶端設置1網(wǎng)卡權限常規(guī)登錄設置會話環(huán)境1濡控制臺1文件迥 操作 查看邊 收藏夾辺 窗口 幫助?？刂婆_

13、根節(jié)點證書體地計算機） 夷信任的根證書頤塩機構 證書_J控制臺根節(jié)點 -畫證書怎地計算機-平人證書-受信任的根證書頜發(fā)機杷2空_il證書_l企業(yè)信任+ _l中級證書頜發(fā)機構_|受信任的發(fā)行者+ _|不信任的證書+第三方根證書頒發(fā)機構-受信任人證書+ _| SPC頒發(fā)給 IIVeriSi gn. IIVeriSi gn 戶尹 FEfiEi gn Ik 討 1 r - j-i - eriSi grL lVeriSi gn lVeriSi gn FlVeriSi gn lVeriSi gn FlVeriSi gn lVeriSi gn FlVeriSi gn lVeriSi gn Xcert EZC

14、ommerci al Commerci al Indi vi dual Indi vi dualHeit work Hmt woHet wo NetworkHmtwork Het woHmtwork workTrust :Trust :Trust :Trust :Trust :Trust :Trust :Trust : by DST顱發(fā)者Softwa. . . VeriSi grL Softwa. . . VeriSi ktl Softwa. . . VeriSietl Softwa. . . VeriSignVeriSi gn VeriSi gnVeriSi gn VeriSi gnVeriSi gn VeriSi gnVeriSi gn VeriSi gnXcert EZ1AI在受信任的根證書頒發(fā)機構 - 證書 -導入 剛備份的證書文件。客戶端連接：選擇“