在我的办公室,有一台运行 Windows 2003 SP2 的网络服务器。这不是 Web 服务器。有 7 个工作站,每个工作站都运行 Windows XP。其中两个工作站为我的客户设置了信用卡扫描仪。我有一个静态 IP 地址,以便使用 Windows RDP 功能连接到我的办公室服务器。
信用卡扫描仪人员现在希望我“配置终端服务以利用 SSL 对服务器进行身份验证。”他们担心“中间人攻击”。
如果我联系了 SSL 卖家(例如 GoDaddy 或任何卖家),然后购买了 SSL 证书,我是否需要下载此证书?我是否必须在服务器上配置它才能颁发 PKI。我只是不确定下载证书后该做什么。购买 SSL 证书后的具体步骤是什么?
这应该是不言而喻的,但我还是要说,任何帮助都将不胜感激。
答案1
你只需要将服务器配置为需要 TLS(没有版本的终端服务器/远程桌面支持 SSL;他们误用了这个术语,所以外行人会明白,希望) 。
您需要一个证书。您可以在服务器上设置证书服务并颁发自己的证书,但颁发证书所花的工作量比颁发证书所花的工作量要大。或者您可以从免费证书颁发机构之一获得证书。或者您可以使用问题中提到的付费 CA。无论如何,请确保主题名称 (SN) 是您用于远程访问服务器的 DNS 名称。
安装证书,CA 应该会提供指导。简短版本:运行mmc,为本地计算机添加证书管理单元,在个人证书下,从 CA 导入 pfx 文件。
然后配置服务器以使用 TLS 和证书。打开终端服务配置 mmc、连接、属性、编辑证书,设置要使用的证书并使用 TLS(这里也可能称为 SSL,2003 是一个我很久没用过的古老系统)。
编辑:
官方如何配置 Windows Server 2003 TS 以使用 TLS 进行服务器身份验证
编辑2:
通用名称 (CN) 是您从 CA 获得的证书上显示的名称。此名称必须与您输入的用于连接服务器的名称相匹配。例如,您可能正在使用 server1.example.com。当您运行“远程桌面连接”时,它会要求“计算机”执行此操作,您输入的任何内容都必须与 CN 相匹配。如果不匹配,比如您输入 IP(大多数公共 CA 不会为其颁发证书),每次连接时您都会收到警告消息。可以关闭该警告消息,但这会违背所有这些的目的。
在工作组或域中没有太大区别。唯一的细微差别是,在域中,服务器必须已经具有完整的 DNS 名称(即上述名称server1.example.com);而在工作组中,计算机只能通过其 NetBIOS 名称进行寻址(server1在运行的示例中)。因此,您可能必须弄清楚要使用什么域名。如果您还没有域名,则必须获取一个(这是一个 DNS 域名;不是 Active Directory 域;我知道,名称选择不当)。
“配置服务器以使用 TLS 和证书”是您将在对话框中看到的两个屏幕选项。将有一个下拉框列出可用的证书,另一个下拉框列出可用的安全选项(其中一个将是需要 TLS;或类似的东西)。
如果这一切超出了你的理解范围,你可能需要联系当地的顾问。完成此设置大约需要一小时或更短的时间,这将是评估当地公司能力的好方法。