|
------------------嘉为IT培训学院 欧镶怡 你是否留意到,当我们使用远程桌面连接Windows 2008或R2时会弹出一个“验证远程计算机的证书遇到下列错误:证书来自不信任的证书验证机构”的证书错误,这时只要我们回来该证书错误,我们就可以正常连接服务器了。但是为什么会有这个错误呢,解决这个错误又有什么用呢?其实这是因为Windows 2008或R2中的远程桌面默认使用了自颁发证书进行认证,由于客户端不信任该证书颁发机构故会报错,但又由于默认设置证书认证是可选择的,那当用户选择忽略证书错误时,这时我们就以无证书认证的方式远程桌面连接到服务器。若强制使用证书认证,无疑这将加强远程桌面服务的安全性。下面将谈谈如何为Windows 2008 R2服务器配置TLS服务器身份验证。 为Windows 2008 R2终端服务器配置使用TLS进行服务器身份验证 前期准备内容 1. 首先我们我们需要有一台CA服务器,在这个测试环境中我们使用Windows 2003 R2搭建的企业跟CA。 2. 设置Windows 2008 R2服务器允许远程桌面连接。 配置过程 3. 为终端服务器申请证书用于服务器身份验证。 1) 启动 Microsoft Internet 资源管理器,然后再访问 http:// servername / certsrv,其中servername 是CA服务器的名称。 2) 在选择任务,下单击 申请一个证书。 3) 单击 高级的证书申请,然后单击 创建并向此 CA 提交一个申请。 4) 在 标识信息,下框中键入的标识信息,然后单击 类型的证书需要 列表中的 服务器身份验证证书。 5) 使 创建新密钥集 选项处于选中状态,然后单击 CSP 列表中的 Microsoft RSA SChannnel 加密提供程序。 6) 将 密钥用法 旁选中了 Exchange 选项。此选项指示要启用的敏感信息的交换使用私钥。 7) 单击以选中 标记密钥为可导出 复选框。 8) 单击以选中 存储在本地计算机证书存储区中的证书 复选框,然后单击 提交。 9) 登录CA服务器批准证书请求。再次访问证书服务 Web 站点,以获取并安装此证书。 4. 配置 TLS 身份验证和加密。 1) 单击 开始,指向 管理工具,然后单击 终端服务配置。 2) 在左窗格中单击 连接。 3) 在右窗格中右键单击想要配置,该连接,然后单击 属性。 4) 在 常规 选项卡上单击 证书 旁边的 编辑(或选择)。 5) 选择证书 对话框中单击要使用刚申请的证书并单击 确定。 6) 在安全层 列表中单击选择SSL选项,在加密级别中选择高。 7) 单击确定后退出设置。 5. 客户端证书配置。客户端若需访问终端服务器,则必须信任终端服务器用于服务器身份验证的根CA。 1) 在客户端启动 IE浏览器,然后再访问 http:// servername / certsrv。 2) 单击 下载 CA 证书、 证书链或 CRL。 3) 单击配置的客户端计算机信任由此证书颁发机构颁发的所有证书的 安装此 CA 证书链。 4) 如果系统提示从证书颁发机构 Web 站点中添加证书,请单击 是。 5) 收到已成功安装 CA 证书链消息后,退出IE。 6. 客户端远程桌面配置(若客户端为Windows 7,则不需要额外的配置)。 1) 启动远程桌面连接。 2) 单击 选项,然后单击 安全 选项卡。 3) 在 身份验证 列表中选择 尝试身份验证。  [ 本帖最后由 canway888 于 2011-8-25 15:05 编辑 ] |
|
|
