為windows遠(yuǎn)程桌面加上SSL證書認(rèn)證

1、為 windows 遠(yuǎn)程桌面加上 SSL 證書認(rèn)證, 保障連接安全 微軟公司 非常看中 遠(yuǎn)程控制軟件的市場(chǎng)。為了提高遠(yuǎn)程 桌面的安全級(jí)別，保證數(shù)據(jù)不 被黑客竊取，在 Windows2003 的最新補(bǔ)丁包 SP1 中添加了一個(gè)安全認(rèn)證方式的遠(yuǎn)程桌面功能。通過這個(gè)功能我們可以使用 SSL 加密信息來傳輸控制遠(yuǎn)程服務(wù)器的數(shù)據(jù)，從而彌補(bǔ)了遠(yuǎn)程桌面功能本來的安全缺陷。提示：如果你使用的是windows2003，但是沒有安裝最新的SP1補(bǔ)丁的話還是不能夠使用SSL加密的遠(yuǎn)程桌面 認(rèn)證方式。因此建議各個(gè)公司馬上將服務(wù)器升級(jí)到 windows2003+SP1 。沒有使用 SSL 加密傳輸信息的遠(yuǎn)程桌面認(rèn)證方式

2、有多危險(xiǎn)?如果在一個(gè)局域網(wǎng)內(nèi),你的登陸賬戶和密碼可以完全 被嗅探.使用SSL證書認(rèn)證，再加上密碼，就雙重認(rèn)證，只有設(shè)定只允許SSL認(rèn)證方式，即便人家拿到服務(wù)器密碼，也 無法遠(yuǎn)程登陸系統(tǒng)。以下操作經(jīng)過xok.la站長(zhǎng)測(cè)試，真實(shí)有效。只是在xp下還沒有找到支持安全認(rèn)證方式客戶端的方法證書服務(wù)安裝與證書安裝：使用證書加密認(rèn)證：首先要將服務(wù)器升級(jí)到最新版本windows2003，然后還需要通過windows update或網(wǎng)站將service packet 1補(bǔ)丁 包安裝。因?yàn)橹挥邪惭b了 SP1的Windows2003才具備通過SSL加密的遠(yuǎn)程桌面功能。以下所有操作都是對(duì)服 務(wù)器而言的，只有服務(wù)器經(jīng)過

3、設(shè)置容許支持SSL加密認(rèn)證，客戶端才可以通過遠(yuǎn)程桌面訪問程序正常連接。1.安裝證書服務(wù)：第一步：默認(rèn)情況下 windows2003 沒有安裝證書服務(wù)，我們通過控制面板的添加/刪除 windows 組件來安裝“證 書服務(wù)”。X詳細(xì)信息上一步 創(chuàng)I下一步 血幫助所需磁盤空間 可用磁盤空間取消Tindow加/刪C i ndow s 卅:組件:描述：安裝證書頒發(fā)機(jī)構(gòu) 以便頒發(fā)證書用于公鑰安全程序口14.3 MB5040.7 MBiMok.lal7 應(yīng)用程序服務(wù)器 是遠(yuǎn)程安裝服務(wù) 顯遠(yuǎn)程存體Pl-ansEaEi n舅.終諦聘囁黑33. 3 MB |1.9 MB3. 5 MB0 0 MB _TJ顯乎更新可

4、以添加或刪除Windows的組件口彎霽豔藉鶴讀聶霹蹭髓影犖框表示惡安卿組件的TindovE 組件第二步：在CA證書類型中選擇“獨(dú)立根CA”，然后點(diǎn)“下一步”繼續(xù)。第三步：在CA識(shí)別信息窗口中為安裝的CA起一個(gè)公用名稱softer，可分辨名稱后綴處空白不填寫，有效期限保持默認(rèn) 5 年即可。第四步：在證書數(shù)據(jù)庫(kù)設(shè)置窗口我們保持默認(rèn)即可，因?yàn)橹挥斜ＷC默認(rèn)目錄(windowssystem32certlog)系統(tǒng)才會(huì)根據(jù)證書類型自動(dòng)分類和調(diào)用。點(diǎn)“下一步”后繼續(xù)。第五步： 配置好安裝證書所需要的參數(shù)后系統(tǒng)就開始安裝該組件，當(dāng)然在安裝過程中會(huì)提示要求插入 WINDOWS2003 系統(tǒng)光盤。第六步：插入光盤

5、找到系統(tǒng)文件后繼續(xù)安裝，在安裝服務(wù)的最后系統(tǒng)會(huì)提示“要容許證書服務(wù)需要啟用 IIS 的ASP功能”我們選擇“是”來啟用ASP。默認(rèn)情況下證書類型不是我們本次操作所需要的，所以還需要對(duì)其進(jìn)行修改設(shè)置。 第一步：通過任務(wù)欄的“開始-程序-管理工具-證書頒發(fā)機(jī)構(gòu)”來打開證書設(shè)置窗口。第二步：如果證書頒發(fā)機(jī)構(gòu)中沒有顯示出任何計(jì)算機(jī)則我們需要通過“文件”菜單中的設(shè)置來加載本地計(jì)算機(jī) 的證書服務(wù)。第三步：在計(jì)算機(jī) softer 上點(diǎn)鼠標(biāo)右鍵選擇“屬性”，然后點(diǎn)“策略模快”標(biāo)簽，在策略模快標(biāo)簽下還有一個(gè)“屬 性”按鈕。第四步：點(diǎn)屬性按鈕后在設(shè)置請(qǐng)求處理窗口中將默認(rèn)的設(shè)置修改為“如果可以的話，按照證書模板中的

6、設(shè)置。 否則，將自動(dòng)頒發(fā)證書”。3.申請(qǐng)證書IIS 啟動(dòng)后我們就可以通過網(wǎng)頁來申請(qǐng)證書了。 第一步：打開 IE 瀏覽器，在地址欄處輸入 HYPERLINK http:/ip/certsrv/ http:/ip/certsrv/ ip 為服務(wù)器 IP HYPERLINK /certsrv /certsrv，如果 IIS 工作正常，證書服務(wù)安裝正確的話會(huì)出現(xiàn) microsoft 證書服務(wù)界面。】搜索菇收藏夾 |佔(zhàn)|t型S 地址|錚j ht tu ：丿/12T. 0. 0. 1 / c er t v/Xicrooft 證書服務(wù) - Kok歡迎使用此網(wǎng)站為您的Web瀏覽器，電子郵件客戶端或其他程序申請(qǐng)

7、一個(gè)遼 證書的類型，執(zhí)行其他安全任務(wù)。您也可以使用此網(wǎng)站下載證書wk(CA)證書，證書鏈，或證書吊銷?3C有關(guān)證書服務(wù)的詳細(xì)信息，請(qǐng)3C有關(guān)證書服務(wù)的詳細(xì)信息，請(qǐng)參閱證書服務(wù)文檔.選擇一個(gè)任務(wù)：申請(qǐng)一個(gè)證書查看掛起的證書申請(qǐng)的狀態(tài) 下載一個(gè) CA 證書，證書鏈或 CRL第二步：我們?cè)谠摻缑嬷羞x擇“申請(qǐng)一個(gè)證書”。 第三步：在申請(qǐng)證書界面選擇“高級(jí)證書申請(qǐng)”。第四步：在高級(jí)證書申請(qǐng)界面選擇“創(chuàng)建并向此CA提交一個(gè)申請(qǐng)”(如圖21)第五步：在高級(jí)證書申請(qǐng)?zhí)顚懡缑嫘枰覀冃薷牡牡胤奖容^多，首先輸入姓名，這個(gè)姓名要填寫服務(wù)器的IP地 址。提示：如果高級(jí)證書姓名填寫的是其他信息，那么在配置SSL加密認(rèn)證

8、時(shí)會(huì)出現(xiàn)配置信息與服務(wù)器名不符合的 錯(cuò)誤。所以務(wù)必填寫服務(wù)器的 IP 地址。第六步：電子郵件和公司，部門，地區(qū)等信息隨意填寫。 第七步：需要的證書類型選擇“服務(wù)器身份驗(yàn)證證書”。第八步：密鑰選項(xiàng)設(shè)置為“創(chuàng)建新密鑰集”。 第九步：密鑰用戶設(shè)置為“交換”。第十步：將最下方的“標(biāo)記密鑰為可導(dǎo)出”與“將證書保存在本地計(jì)算機(jī)存儲(chǔ)”前打?qū)?。至此高?jí)證書申請(qǐng) 參數(shù)填寫完畢。（如圖 22）第十一步：點(diǎn)提交申請(qǐng)后會(huì)出現(xiàn)“潛在的腳本沖突”提示，我們不用理會(huì)直接選擇“是”即可。第十二步：提交申請(qǐng)完畢會(huì)出現(xiàn)證書掛起的提示，系統(tǒng)會(huì)提示你的申請(qǐng)信息已經(jīng)掛起，等待管理員頒發(fā)，并還 會(huì)顯示出申請(qǐng) ID 的序號(hào)。至此我們就完

9、成了證書的申請(qǐng)工作，接下來還需要對(duì)申請(qǐng)的證書進(jìn)行頒發(fā)，只有頒發(fā)了我們才可以開始使用。4.頒發(fā)證書：下面為大家介紹如何頒發(fā)剛剛申請(qǐng)的證書。 第一步：通過任務(wù)欄的“開始-程序-管理工具-證書頒發(fā)機(jī)構(gòu)”來打開證書設(shè)置窗口。第二步：在本地計(jì)算機(jī)softer下的“掛起的申請(qǐng)”處會(huì)看到有一個(gè)申請(qǐng)，ID號(hào)為2,這個(gè)就是剛才的申請(qǐng)。 第三步：在該申請(qǐng)上點(diǎn)鼠標(biāo)右鍵選擇“所有任務(wù)-頒發(fā)”，頒發(fā)后我們申請(qǐng)的證書就可以使用了。5.安裝證書：證書已經(jīng)通過服務(wù)器的審批，下面就要在服務(wù)器上安裝我們申請(qǐng)的證書。只有擁有了證書才能讓我們遠(yuǎn)程訪問 中傳輸?shù)臄?shù)據(jù)更加安全。第一步：打開IE瀏覽器，在地址欄處輸入 HYPERLINK

10、http:/ip/certsrv/%e3%80%82%e4%be%8b%e5%a6%82%e6%9c%8d%e5%8a%a1%e5%99%a8%e5%9c%b0%e5%9d%80%e4%b8%ba5 http:/ip/certsrv/。例如服務(wù)器地址為5 ,則輸入 HYPERLINK 5/certsrv 5/certsrv，如果 IIS 工作正常，證書服務(wù)安裝正確的話會(huì)出現(xiàn) microsoft 證書服務(wù)界面。 第二步：選擇“查看掛起的證書申請(qǐng)狀態(tài)”，在這里會(huì)看到我們?cè)瓉硖峤坏哪莻€(gè)“服務(wù)器身份驗(yàn)證證書”的蹤影。 （如圖 26）第三步：點(diǎn)該“服務(wù)器身份驗(yàn)證證書”后出現(xiàn)證書已頒發(fā)的提示，我們直接點(diǎn)“

11、安裝此證書”。（如圖27）第四步：系統(tǒng)會(huì)彈出“潛在的腳本沖突”提示，我們不用理睬繼續(xù)點(diǎn)“是”即可。系統(tǒng)會(huì)自動(dòng)將該證書安裝在 服務(wù)器上。（如圖 28） 第五步：安裝完畢系統(tǒng)會(huì)以網(wǎng)頁的形式將“證書已安裝信息”反饋給用戶。（如圖 29）證書導(dǎo)入遠(yuǎn)程終端：1 .客戶端證書導(dǎo)出開始 - 運(yùn)行 - 輸入 mmc ,進(jìn)入控制臺(tái)，文件 - 添加/刪除單元 ，添加 -在彈出來的對(duì)話框，選中 計(jì)算機(jī)賬戶，再 下一步，選中默認(rèn)的，到完成。注意：是在 證書 - 個(gè)人 證書 里面。導(dǎo)出非服務(wù)器驗(yàn)證的那一個(gè)證書。2.進(jìn)入 開始 - 管理工具 - 終端服務(wù)配置安全層：RDP安全層，為windows默認(rèn)的SSL,為SSL證書

12、認(rèn)證方式，如果被選中，將值走SSL證書方式，客戶端需要證書和密碼才能連接服務(wù)器 協(xié)商，客戶端可以自由選中是走RDP還是SSL。考慮到遠(yuǎn)程連接客戶端只有WIN2003 SP1才有安全驗(yàn)證方式，所以建議在這選中“協(xié)商”，要是證書驗(yàn)證不可 用，可以使用 RDP。在“證書” 處 點(diǎn)編輯 選中 服務(wù)器 證書，然后應(yīng)用。3.安裝到客戶端開始 - 運(yùn)行 - 輸入 mmc ,進(jìn)入控制臺(tái)，文件 - 添加/刪除單元 ，添加 -在彈出來的對(duì)話框，選中 計(jì)算機(jī)賬戶，再 下一步，選中默認(rèn)的，到完成。己置:設(shè)置遠(yuǎn)程控制1客戶端設(shè)置1網(wǎng)卡權(quán)限常規(guī)登錄設(shè)置會(huì)話環(huán)境1濡控制臺(tái)1文件迥 操作 查看邊 收藏夾辺 窗口 幫助希控制臺(tái)

13、根節(jié)點(diǎn)證書體地計(jì)算機(jī)） 夷信任的根證書頤塩機(jī)構(gòu) 證書_J控制臺(tái)根節(jié)點(diǎn) -畫證書怎地計(jì)算機(jī)-平人證書-受信任的根證書頜發(fā)機(jī)杷2空_il證書_l企業(yè)信任+ _l中級(jí)證書頜發(fā)機(jī)構(gòu)_|受信任的發(fā)行者+ _|不信任的證書+第三方根證書頒發(fā)機(jī)構(gòu)-受信任人證書+ _| SPC頒發(fā)給 IIVeriSi gn. IIVeriSi gn 戶尹 FEfiEi gn Ik 討 1 r - j-i - eriSi grL lVeriSi gn lVeriSi gn FlVeriSi gn lVeriSi gn FlVeriSi gn lVeriSi gn FlVeriSi gn lVeriSi gn Xcert EZC

14、ommerci al Commerci al Indi vi dual Indi vi dualHeit work Hmt woHet wo NetworkHmtwork Het woHmtwork workTrust :Trust :Trust :Trust :Trust :Trust :Trust :Trust : by DST顱發(fā)者Softwa. . . VeriSi grL Softwa. . . VeriSi ktl Softwa. . . VeriSietl Softwa. . . VeriSignVeriSi gn VeriSi gnVeriSi gn VeriSi gnVeriSi gn VeriSi gnVeriSi gn VeriSi gnXcert EZ1AI在受信任的根證書頒發(fā)機(jī)構(gòu) - 證書 -導(dǎo)入 剛備份的證書文件?？蛻舳诉B接：選擇“