Win2003遠程桌面SSL 認證配置指南遠程桌面一直被認為是比較不安全的，但是如果加上SSL 證書認證，可以很大幅度提升遠程桌面的安全性，本文將針對遠程桌面SSL 認證的配置做較為詳細的說明。下面是

Win2003遠程桌面SSL 認證配置指南

遠程桌面一直被認為是比較不安全的，但是如果加上SSL 證書認證，可以很大幅度提升遠程桌面的安全性，本文將針對遠程桌面SSL 認證的配置做較為詳細的說明。

下面是配置步驟：

SSL 認證必須組件：

IIS ASP，證書服務(wù)

首先安裝IIS 和證書服務(wù)，打開“添加/刪除程序”，然后選擇“添加/刪除Windows 組件” 按照下面的圖中所示勾選：

安裝過程中需要填寫CA 公用名稱，隨便填寫就可以了，其他的全部默認安裝，中間會提示一步是否要起用asp ，點是就可以了，如果已經(jīng)安裝了IIS 并且啟用了asp ，這一步只要安裝證書服務(wù)就可以：

安裝好證書服務(wù)后，在瀏覽器中訪問http://localhost/certsrv/，打開證書服務(wù)頁面：

單擊其中的申請一個證書，然后選擇“高級證書申請”，如圖：

在下一步中選擇“創(chuàng)建并向此CA 提交一個申請?！?/p>

這一步比較重

要，首先證明的姓名不能隨便寫，要填寫服務(wù)器的ip ，不然會在后面認證的時候提示名稱不一致，下面的部分按照圖中的紅框標(biāo)志部分修改就可以，主要修改5個部分：

1. 證書的名稱，使用服務(wù)器的ip ，其他的隨便填寫

2. 證書類型，選擇服務(wù)器身份驗證證書

3. 密鑰用法，改為交換

4. 勾選標(biāo)記密鑰為可導(dǎo)出

5. 勾選把證書保存在本地存儲中

完成這些所有以后，提交申請，然后在管理工具中打開“證書頒發(fā)機構(gòu)”，頒發(fā)證書。

依次展開樹：域名，掛起的申請，在右邊的窗格中顯示了剛剛申請的證書，單擊右鍵，在所有任務(wù)菜單中選擇頒發(fā)。

現(xiàn)在就可以看到剛剛申請的證書了，打開http://localhost/certsrv, 并且選擇“查看掛起的證書申請狀態(tài)”，可以看到自己剛剛申請的證書已經(jīng)通過了

單擊證書并且選擇安裝證書，在彈出的對話框中選擇是，注意這一步是必須的，否則在下一步的終端服務(wù)證書選擇中看不到任何證書。

在管理工具中，打開終端服務(wù)配置，在左邊的窗格中單擊連接，然后在右邊雙擊連接，在彈出的對話框的常規(guī)選項卡中，首先單擊證書旁邊的編輯

選擇剛剛安裝的證書，確定

然后按照下圖中的設(shè)置更改，修改兩項：

1． 安全層改為SSL

2． 加密級別改為高

服務(wù)器段的設(shè)置到此完畢

下面是登陸客戶端的設(shè)置，首先訪問剛剛的證書服務(wù)器地址，并且單擊：下載一個CA 證書，證書鏈或URL

在下一步中選擇安裝此證書鏈，彈出窗口中單擊確定，這樣就在客戶端中安裝了該TS 服務(wù)器的證書

在遠程桌面連接的安全選項卡中，把身份驗證改為試圖身份驗證，如果沒有安全選項卡，找個win2003的安裝盤，support tools 里面就有，或者拷貝win2003目錄下的mstsc.exe 和mstscax.dll 至任意目錄，直接使用，附件中也提供了，最后連接就以SSL 方式連接到終端服務(wù)了。

Tips ：

1．這里可以結(jié)合chocobo 的教程做終端服務(wù)授權(quán)，具體的在論壇里面找

2．客戶端的證書安裝也可以先在服務(wù)器的證書中導(dǎo)出，然后在客戶端中導(dǎo)入證書。

FAQ ：

1．為什么我在配置TS 服務(wù)時找不到證書？

證書申請時類型不對，或者證書申請了沒有頒發(fā)，或者頒發(fā)了沒有在本地安裝證書

2．為什么連接的時候提示名稱不一致？

證書申請時名稱應(yīng)該是服務(wù)器的ip 地址

3．為什么連接的時候提示需要認證？

在安全選項卡中修改身份驗證為試圖身份驗證。

4．為什么提示證書無法驗證？

本地沒有安裝證書，按照客戶端設(shè)置安裝證書就可以