訪問遠程桌面服務器和RemoteApp發佈程序都可以使用證書使會話實現加密,從而達到安全的目的
在使用證書後,客戶端每次連接到遠程桌面服務器都會查詢證書吊銷列表CRL,爲了避免報錯,在申請證書前先要將CRL擴展進證書中
1.將CRL擴展進證書中
在BJDC的服務器管理器中,展開AD證書服務管理,打開證書頒發機構的屬性
切換到【擴展】卡片,選擇擴展處選擇【CRL分發點(CDP)】,按圖示勾選選項
再次選擇【頒發機構信息訪問(AIA)】,並按圖示勾選
發佈CRL
選擇【新的CRL】
在企業PKI位置確保圖中3個url地址存在
2.爲遠程桌面服務器申請證書
回到BJRD上,按圖通過MMC創建一個自定義證書請求
模板選擇【Web服務器】
打開【屬性】
在證書備用名稱中
bjrd.zf.com和192.168.3.211是客戶端連接這臺遠程桌面服務器要用到的域名和IP地址
切換到【常規】,指定【友好名稱】
切換到【私鑰】,勾選【使私鑰可以導出】
生成證書請求文件
通過IE打開證書Web申請頁,打開【申請證書】頁
打開【高級證書申請】頁
打開【使用base64編碼提交申請】頁
把生成的證書請求文件中的內容粘貼進來,模板選擇【Web服務器】,然後提交申請
最後將證書下載到本地,我這裏保存在D:\bjrd.cer
3.導入證書
注意要導入到【證書(本地計算機)】的【個人】容器中
選擇導入證書的路徑D:\bjrd.cer
導入完成
4.在遠程桌面服務器上應用證書
按圖打開RD會話主機配置屬性
在【常規】卡片中選擇申請好的證書,在【安全層】處選擇【SSL(TLS 1.0)】
這樣一來,遠程桌面客戶端同遠程桌面服務器之間的會話就是加密的了,當然證書的應用不只這麼一點,後續的RemoteApp應用程序、遠程桌面Web服務以及遠程桌面網關也會用到