远程桌面安全全解（下）(1)--www.1sus.com--自己，才是最好的老师

一、服务器远程桌面设置：

默认情况下远程桌面功能是不支持SSL加密认证的，即使我们申请并安装了证书。

第一步：通过任务栏的“开始->程序->管理工具->终端服务配置”来启动tscc终端服务配置窗口。（如图1）

图1 点击看大图

第二步：在tscc终端服务配置窗口中我们点“终端服衽渲?>连接”，在右边窗口中会显示出终端服务，我们在其上点鼠标右键选择“属性”。（如图2）

图2 点击看大图

第三步：在常规标签中的证书设置处旁边有一个“编辑”按钮，点击该按钮打开证书设置窗口。然后通过查看证书找到我们在上期文章中安装的证书（证书名为10.91.30.45）。（如图3）

图3 点击看大图

第四步：选择完证书后还需要对常规标签中的安全级别进行设置，我们将安全层设置为“SSL”，将加密级别设置为“高”。确定后完成全部服务器远程桌面设置工作。（如图4）

图4

二、客户端安装认证证书：

既然服务器上使用了证书进行SSL加密认证，那么还需要在客户机上安装这些认证。如果不安装的话远程桌面访问将无法进行。有两种方法获得证书，我们将一一介绍。

1 从TS服务器上导出证书：

第一步：通过任务栏的“开始->运行”，输入mmc来启动MMC管理单元。（如图5）

图5

第二步：打开MMC管理单元后我们需要加载证书服务，方法是通过控制台菜单中的“文件->添加/删除管理单元”。（如图6）

图6 点击看大图

第三步：从“可用的独立管理单元”中找到证书管理单元，然后点“添加”按钮加载该管理单元。（如图7）

图7 点击看大图

第四步：在证书管理单元中选择“计算机帐户”后点“下一步”。（如图8）

图8 点击看大图

二、铜墙铁壁使用证书加密认证：

 

首先要将服务器升级到最新版本windows2003，然后还需要通过windows update或网站将service packet 1补丁包安装。因为只有安装了SP1的Windows2003才具备通过SSL加密的远程桌面功能。以下所有操作都是对服务器而言的，只有服务器经过设置容许支持SSL加密认证，客户端才可以通过远程桌面访问程序正常连接。

1.安装证书服务：

第一步：默认情况下windows2003没有安装证书服务，我们通过控制面板的添加/删除windows组件来安装“证书服务”。（如图8）

图8 点击看大图

第二步：在CA证书类型中选择“独立根CA”，然后点“下一步”继续。（如图9）

图9 点击看大图

第三步：在CA识别信息窗口中为安装的CA起一个公用名称——softer，可分辨名称后缀处空白不填写，有效期限保持默认5年即可。（如图10）

图10 点击看大图

第四步：在证书数据库设置窗口我们保持默认即可，因为只有保证默认目录（windows\system32\certlog）系统才会根据证书类型自动分类和调用。点“下一步”后继续。（如图11）

图11 点击看大图

第五步：配置好安装证书所需要的参数后系统就开始安装该组件，当然在安装过程中会提示要求插入WINDOWS2003系统光盘。（如图12）

图12 点击看大图

第六步：插入光盘找到系统文件后继续安装，在安装服务的最后系统会提示“要容许证书服务需要启用IIS的ASP功能”，我们选择“是”来启用ASP。（如图13）

图13 点击看大图

第七步：完成CA证书服务的windows组件安装工作。（如图14）

图14 点击看大图

提示：如果windows2003没有安装IIS组件的话还需要按照上面介绍的方法将IIS组件也安装。
2.设置证书服务参数：

 

默认情况下证书类型不是我们本次操作所需要的，所以还需要对其进行修改设置。

第一步：通过任务栏的“开始->程序->管理工具->证书颁发机构”来打开证书设置窗口。（如图15）

图15 点击看大图

第二步：如果证书颁发机构中没有显示出任何计算机则我们需要通过“文件”菜单中的设置来加载本地计算机的证书服务。（如图16）

图16 点击看大图

第三步：在计算机softer上点鼠标右键选择“属性”，然后点“策略模快”标签，在策略模快标签下还有一个“属性”按钮。（如图17）

图17

第四步：点属性按钮后在设置请求处理窗口中将默认的设置修改为“如果可以的话，按照证书模板中的设置。否则，将自动颁发证书”。（如图18）

图18

3.申请证书

IIS启动后我们就可以通过网页来申请证书了。

第一步：打开IE浏览器，在地址栏处输入http://ip/certsrv/。例如服务器地址为10.91.30.45，则输入http://10.91.30.45/certsrv，如果IIS工作正常，证书服务安装正确的话会出现microsoft证书服务界面。（如图19）

图19 点击看大图

第二步：我们在该界面中选择“申请一个证书”。

第三步：在申请证书界面选择“高级证书申请”。（如图20）

图20 点击看大图

第四步：在高级证书申请界面选择“创建并向此CA提交一个申请”。（如图21）

图21 点击看大图

第五步：在高级证书申请填写界面需要我们修改的地方比较多，首先输入姓名，这个姓名要填写服务器的IP地址。

提示：如果高级证书姓名填写的是其他信息，那么在配置SSL加密认证时会出现配置信息与服务器名不符合的错误。所以务必填写服务器的IP地址。

第六步：电子邮件和公司，部门，地区等信息随意填写。

第七步：需要的证书类型选择“服务器身份验证证书”。

第八步：密钥选项设置为“创建新密钥集”。

第九步：密钥用户设置为“交换”。

第十步：将最下方的“标记密钥为可导出”与“将证书保存在本地计算机存储”前打对勾。至此高级证书申请参数填写完毕。（如图22）

图22 点击看大图

第十一步：点提交申请后会出现“潜在的脚本冲突”提示，我们不用理会直接选择“是”即可。（如图23）

图23

第十二步：提交申请完毕会出现证书挂起的提示，系统会提示你的申请信息已经挂起，等待管理员颁发，并还会显示出申请ID的序号。（如图24）

图24 点击看大图

至此我们就完成了证书的申请工作，接下来还需要对申请的证书进行颁发，只有颁发了我们才可以开始使用。
4.颁发证书：

 

下面为大家介绍如何颁发刚刚申请的证书。

第一步：通过任务栏的“开始->程序->管理工具->证书颁发机构”来打开证书设置窗口。

第二步：在本地计算机softer下的“挂起的申请”处会看到有一个申请，ID号为2，这个就是刚才的申请。

第三步：在该申请上点鼠标右键选择“所有任务->颁发”，颁发后我们申请的证书就可以使用了。（如图25）

图25 点击看大图

5.安装证书：

证书已经通过服务器的审批，下面就要在服务器上安装我们申请的证书。只有拥有了证书才能让我们远程访问中传输的数据更加安全。

第一步：打开IE浏览器，在地址栏处输入http://ip/certsrv/。例如服务器地址为10.91.30.45，则输入http://10.91.30.45/certsrv，如果IIS工作正常，证书服务安装正确的话会出现microsoft证书服务界面。

第二步：选择“查看挂起的证书申请状态”，在这里会看到我们原来提交的那个“服务器身份验证证书”的踪影。（如图26）

图26 点击看大图

第三步：点该“服务器身份验证证书”后出现证书已颁发的提示，我们直接点“安装此证书”。（如图27）

图27 点击看大图

第四步：系统会弹出“潜在的脚本冲突”提示，我们不用理睬继续点“是”即可。系统会自动将该证书安装在服务器上。（如图28）

图28 点击看大图

第五步：安装完毕系统会以网页的形式将“证书已安装信息”反馈给用户。（如图29）

29 点击看大图

总结：本篇文章的讲解了远程桌面连接自身的安全隐患并且为大家介绍了“将远程桌面安全进行到底”中的“服务安装”，“设置证书”，“申请证书”，“颁发证书”以及“安装证书”。当然“将远程桌面安全进行到底”涉及的内容比较多，在下半部分中笔者将为大家介绍“服务器上远程桌面连接的加密设置”，“客户机的具有加密功能远程桌面功能的安装”以及“客户机证书的安装“等操作。