使用远程桌面连接从 Win7 连接到 Win2008 Server R2,安装自签名证书(仅用于服务器身份验证)和安装常规签名证书有什么区别?我知道证书之间的区别,但如何安装签名证书(通常用于网站域)以仅用于服务器身份验证(用于通过远程桌面连接进行连接)?我知道我听起来像个偏执狂,但我想了解用签名证书替换自签名证书所需的程序。感谢大家的帮助,祝你有美好的一天!
答案1
A. 购买证书。正如您所说,它与您从网站获得的证书相同。只需确保其名称与用户将要访问的 RDP 名称匹配即可。
B. 通过执行以下操作安装证书:
- 打开 MMC。
- 突出显示证书并单击添加。
- 选择计算机帐户并单击下一步。
- 选择本地计算机并单击完成。
- 返回 MMC,突出显示证书。
- 从“视图”菜单中,选择“选项”。
- 将“查看模式”更改为“证书用途”,然后单击“确定”。
- 展开证书对象。
- 右键单击“服务器身份验证”,然后选择“所有任务/导入”。
- 证书导入向导启动后,单击下一步。
- 在“要导入的文件”上,单击“浏览”,然后选择从证书颁发机构获得的 .PFX 文件,然后单击“打开”。单击“下一步”。
- 在密码页面上,输入证书的密码(如果有)。选择将此密钥标记为可导出选项。单击下一步。
- 在证书存储页面上,接受默认设置以自动选择证书存储。
- 单击“完成”。
C. 通过执行以下操作来强制执行 SSL:
- 启动终端服务配置。
- 在左侧窗格中,突出显示终端服务配置:。
- 在右侧窗格中,右键单击 RDP-Tcp 并选择属性。
- 单击“常规”选项卡。
- 在“证书:自动生成”旁边,单击“选择”。
- 选择刚刚导入的证书,然后单击“确定”。
- 将安全层从协商更改为 SSL,将加密级别从客户端兼容更改为高。此外,选择仅允许运行具有网络级别身份验证的远程桌面的计算机连接。单击确定。
D. 如果您想让该服务器从您的内部网络访问互联网,那么您需要给它一个外部 IP,并在防火墙上打开 TCP 端口 3389。
E. 在 DNS 中创建与证书名称完全匹配的 A 记录。
应该可以了。请注意,您需要根据自己的喜好检查上述步骤 C7 中的安全配置 - 该配置将确保安全,并适用于运行 Vista 或更高版本的任何人。
答案2
我相信你需要:
- 从受信任的根 CA 获取服务器完整 DNS 名称的证书
- 在服务器上打开 mmc.exe
- 添加证书管理单元,然后选择“计算机帐户”
- 将证书添加到‘个人证书’