在之前的博客中，已經按照標準部署進行了配置，基本上標準的部署已經完成，但是在IT環境中，細節決定成敗，在我們通過Web進行訪問RemoteApp程序時候，總會有一些警告和阻攔，這些問題雖然不影響到用戶的使用，但是這影響到在使用過程中的安全性，解決這些問題的方法就是證書。

首先我們要解決的問題就是，當我們登錄到RDWeb服務器進行訪問時，總是提示“此網站的安全證書存在問題”

其次，主要解決的問題是，當啓動其中的一個RemoteApp應用程序時候，總是彈出“網站要求運行RemoteApp程序。無法識別此RemoteApp程序發佈者”

以上的2個問題都是可以通過證書服務器來進行解決，配置好證書問題，這2個警告就可以消除，在本次博客中，主要完成下面3個方面：

1、安裝CA證書服務器

2、設置Web安全訪問

3、信任remoteapp發佈者

在此次配置中，使用的服務器情況如下：

服務器名稱	操作系統	IP設置	功能
AD-DC.mabofeng.com	Windows Server 2012 R2	192.168.1.100	域控制器
AD-DC.mabofeng.com	Windows Server 2012 R2	192.168.1.100	CA證書服務器
RD-CB.mabofeng.com	Windows Server 2012 R2	192.168.1.201	遠程桌面連接代理
RD-WA.mabofeng.com	Windows Server 2012 R2	192.168.1.150	遠程桌面Web訪問
RD-SH.mabofeng.com	Windows Server 2012 R2	192.168.1.170	遠程桌面會話主機
RD-CC.mabofeng.com	Windows 8.1	192.168.1.99	客戶端計算機

一、安裝CA證書服務器

1、在AD-DC.mabofeng.com服務器中，在域控服務器上安裝證書服務器，在服務器管理器中，點擊管理，在彈出的菜單中選擇“添加角色和功能”

2、在添加角色和功能嚮導中“開始之前”頁面中，點擊下一步。

3、在選擇安裝類型頁面中，選擇基於角色或者基於功能的安裝，點擊下一步

4、在“服務器選擇”頁面中，選擇要安裝角色和功能的服務器或虛擬硬盤，選擇“從服務器池中選擇服務器”然後選擇本機，點擊下一步。

5、在“選擇服務器角色”界面中，選擇Active Directory證書服務，點擊下一步。此時，我們將Active Directory域服務和DNS服務器同時安裝在了同一臺計算機中，如果服務器資源富裕，建議單獨部署各個功能組件，並設置Active Directory輔域。

6、在“選擇功能”頁面中，不選擇任何功能組件，直接點擊下一步。

7、接下來就進入了“Active Directory證書服務”的配置頁面，在配置嚮導中點擊下一步。

8、在“選擇角色服務”頁面中，選擇Active Directory證書服務的角色服務，這裏選擇“證書頒發機構”和“證書頒發機構Web註冊”，然後點擊下一步。

9、當我們勾選“證書頒發機構Web註冊”時，同時需要添加Web服務器（IIS），在添加證書頒發機構Web註冊所需的功能頁面中，顯示了要配置iis的功能組件，這裏點擊“添加功能”。

10、接下來就是配置Web服務器角色（IIS），在Web服務器角色（IIS）頁面中，點擊下一步。

11、在“角色服務”頁面中，爲web服務器（IIS）選擇要安裝的角色服務，默認基本選項，點擊下一步。

12、在“確認安裝所選內容”頁面中，確認要在所選服務器上安裝的角色、角色服務或功能，勾選“如果需要。自動重新啓動目標服務器”最後點擊安裝。

等待一段時間後，CA證書服務器就安裝完成了，安裝階段的工作就完成了，但是要使用CA證書服務器就必須配置一個企業CA證書。接下來就來配置業CA證書。

1、在AD CS配置嚮導中，憑據界面中，指定憑據以配置角色服務，默認是域管理員，如需要進行更改用戶，可以點擊“更改”，然後點擊下一步。

2、在“角色服務”頁面中，選擇要配置的角色服務，點擊“證書頒發機構”和“證書頒發機構web註冊”，然後點擊下一步。

3、在“設置類型”頁面中，指定CA的設置類型，企業證書頒發機構分爲2種，一種是企業CA，另一種是獨立CA，使用企業CA的用戶要求必須是域成員，並且通常處於練級狀態以頒發證書或證書策略，而獨立的CA一般是非域環境，獨立的CA不需要AD DS，並且可以在沒有網絡連接的情況下使用，一般是指第三方的CA證書服務。這裏選擇企業CA，然後點擊下一步。

4、在CA類型頁面中，指點CA類型，在安裝證書服務器時，將創建或擴展公鑰基礎結構層次結構，根CA位於PKI層次結構的頂部，頒發其自己的自簽名證書，從屬CA從PKI層次結構中位於其上方的CA接收證書。這裏選擇根CA，點擊下一步。

5、在私鑰頁面中，指定私鑰的類型，可以使用現有的私鑰，也可以是創建新的私鑰，這裏選擇創建新的私鑰，點擊下一步。

6、在CA加密頁面中，選擇加密的選項，然後點擊下一步。

7、在指定CA名稱頁面中,鍵入公用名稱以標識該證書頒發機構，此名稱將添加到該CA頒發的所有證書者，CA的公用名稱是以證書服務器的計算機名稱後面加-CA，可分辨名稱後綴值是自動生成的，不過可以對其進行修改，然後點擊下一步。

8、在“有效期”界面中，選擇爲此證書頒發機構CA生成的證書有效期，默認時間爲5年，以配置完成時間爲起始，設置完成後點擊下一步。

9、在CA數據庫頁面中，指定證書數據庫的位置和證書服務器日誌的位置，默認地址爲C:/Windows/System32文件夾中，設置完成後點擊下一步。

10、在確認頁面中，確認配置的角色、角色服務或功能，然後點擊配置。

11、在配置進度頁面中，正在配置角色服務，等待一段時間後，即可配置完成。

12、在結果頁面中，成功配置證書頒發機構和證書頒發機構Web註冊，至此，證書的安裝和配置工作就全面完成了，接下來就是配置證書模版。

接下來主要是配置證書模版，由於一般企業中的證書服務器是給域中所有的計算機中使用，域證書服務器中默認包含了很多證書模版，爲了保險和安全，建議手動建立一個證書模版，可以專門爲RD服務器使用，由於我們是頒發公用的證書，所以對模版也要進行簡單的設置。

1、在服務器管理器中，點擊工具，在彈出的工具菜單中，選擇證書頒發機構，在證書頒發機構頁面中，右鍵選擇證書模版，在彈出的菜單中選擇管理。

2、在證書模版控制檯中，找到計算機模版，然後右鍵點擊計算機模版，在彈出的選項中選擇複製模版。

3、在新建模版的屬性中，首先選擇常規頁面，在常規頁面中，設置模版顯示名稱，這裏輸入RD計算機，並勾選在Active Directory中發佈證書。

4、在使用這名稱的選項中，點擊“在請求中提供”設置完成後，點擊應用。

5、在“證書頒發機構”頁面中，右鍵選擇證書模版，在彈出的菜單中選擇新建-要頒發的證書模版。

6、在啓用證書模版頁面中，找到之前設置的RD計算機，選中後點擊確定。

7、最後，在證書模版中，就可以看到設置的RD計算機模版，此時，證書方面的設置基本完成了。

二、設置Web安全訪問

Web安全訪問主要設置IIS，無論是採用什麼安裝模式，包括標準部署或者是快速部署，只要安裝了遠程桌面Web訪問Remote Desktop Web Access服務，那麼在服務器中就會安裝IIS web服務器，如果需要進行安全訪問，其主要就是設置IIS，其實這部分不屬於RemoteApp設置範疇，應該屬於IIS的安全訪問設置，所以對IIS較爲熟悉的工程師，對這部分都會感到熟悉，下面就來設置Web的安全訪問。

1、在RD-WA.mabofeng.com服務器中，在服務器管理器中，點擊工具，在彈出的工具菜單中，選擇IIS管理器，在IIS中的RD-WA服務器中，雙擊選擇“證書服務器”。

2、在服務器證書頁面中，右邊的操作欄目中，點擊選擇創建域證書。

3、在創建證書嚮導中的可分辨名稱屬性中，輸入申請證書的必要信息，這裏的通用名稱要輸入服務器的完整域名，輸入完成後，點擊下一步。

4、在創建證書嚮導中的聯機證書頒發機構頁面中，指定域內將對證書進行簽名的證書頒發機構，並指定一個好記的名稱以便於記憶，首先點擊選擇，選擇域中的證書服務器，然後設置一個名稱，點擊完成。

4、當申請完成後，接下來我們進行網站443端口綁定，首先我們點開網站樹狀結構，右鍵選擇Default Web Site，在彈出的菜單中選擇“編輯綁定”。

5、在網站綁定頁面中，選擇https，端口443，然後點擊編輯。

6、在“編輯網站綁定”頁面中，選擇SSL證書，點擊選擇按鈕，選擇之前申請的證書，然後點擊確定。

7、爲了簡單方便的進行訪問，我們可以將IIS中默認的首頁，設置爲RD Web訪問的地址，所以我們可以設置默認首頁中的HTTP重定向。

8、在IIS首頁中的http重定向頁面中，勾選要求重定向到此目錄，並在文本框中填寫RD Web的地址，其地址爲/RDWeb/Pages。

9、設置完成後，在RD-CC.mabofeng.com的Windows 8.1操作系統中，打開IE瀏覽器，輸入遠程桌面Web訪問Remote Desktop Web Access服務器的地址，https:// RD-WA.mabofeng.com/。此時我們就可以看到，可以安全的進行訪問Remote Desktop Web Access，並且不會提示證書錯誤。