一、服務(wù)器遠程桌面設(shè)置:默認(rèn)情況下遠程桌面功能是不支持SSL加密認(rèn)證的,即使我們申請并安裝了證書。
第一步:通過任務(wù)欄的“開始->程序->管理工具->終端服務(wù)配置”來啟動tscc終端服務(wù)配置窗口。(如圖1)
 |
| 圖1 點擊看大圖 |
第二步:在tscc終端服務(wù)配置窗口中我們點“終端服衽渲?>連接”,在右邊窗口中會顯示出終端服務(wù),我們在其上點鼠標(biāo)右鍵選擇“屬性”。(如圖2)
 |
| 圖2 點擊看大圖 |
第三步:在常規(guī)標(biāo)簽中的證書設(shè)置處旁邊有一個“編輯”按鈕,點擊該按鈕打開證書設(shè)置窗口。然后通過查看證書找到我們在上期文章中安裝的證書(證書名為10.91.30.45)。(如圖3)
 |
| 圖3 點擊看大圖 |
第四步:選擇完證書后還需要對常規(guī)標(biāo)簽中的安全級別進行設(shè)置,我們將安全層設(shè)置為“SSL”,將加密級別設(shè)置為“高”。確定后完成全部服務(wù)器遠程桌面設(shè)置工作。(如圖4)
 |
| 圖4 |
二、客戶端安裝認(rèn)證證書:既然服務(wù)器上使用了證書進行SSL加密認(rèn)證,那么還需要在客戶機上安裝這些認(rèn)證。如果不安裝的話遠程桌面訪問將無法進行。有兩種方法獲得證書,我們將一一介紹。
1 從TS服務(wù)器上導(dǎo)出證書:
第一步:通過任務(wù)欄的“開始->運行”,輸入mmc來啟動MMC管理單元。(如圖5)
 |
| 圖5 |
第二步:打開MMC管理單元后我們需要加載證書服務(wù),方法是通過控制臺菜單中的“文件->添加/刪除管理單元”。(如圖6)
 |
| 圖6 點擊看大圖 |
第三步:從“可用的獨立管理單元”中找到證書管理單元,然后點“添加”按鈕加載該管理單元。(如圖7)
 |
| 圖7 點擊看大圖 |
第四步:在證書管理單元中選擇“計算機帳戶”后點“下一步”。(如圖8)
 |
| 圖8 點擊看大圖 |
第五步:在選擇計算機窗口中找到“本地計算機”后完成操作。(如圖9)
 |
| 圖9 點擊看大圖 |
第六步:回到控制臺界面后我們選擇“控制臺根節(jié)點->證書(本地計算機)->個人->證書”,在右邊窗口中會看到服務(wù)器當(dāng)前安裝的所有證書。我們找到用于SSL加密連接的證書。(如圖10)
 |
| 圖10 點擊看大圖 |
第七步:在該證書上點鼠標(biāo)右鍵后選擇“打開”,在證書信息界面中選擇“詳細(xì)信息”,然后點下方的“復(fù)制到文件”按鈕,將證書進行復(fù)制。(如圖11)
 |
| 圖11 |
第八步:打開證書導(dǎo)出向?qū)Ш笾苯狱c“下一步”。(如圖12)
 |
| 圖12 |
第九步:導(dǎo)出私鑰處選擇“不,不要導(dǎo)出私鑰”。(如圖13)
 |
| 圖13 |
第十步:導(dǎo)出文件格式處選擇“DER 編碼二進制X.509(.CER)”。(如圖14)
 |
| 圖14 |
第十一步:選擇導(dǎo)出文件的保存路徑,一般直接選桌面即可。(如圖15)
 |
| 圖15 |
第十二步:完成證書導(dǎo)出向?qū)渲霉ぷ鳎C書文件成功保存。(如圖16)
 |
| 圖16 |
第十三步:文件保存到桌面后我們就可以把這個證書文件復(fù)制到其他計算機上了,所有準(zhǔn)備通過遠程桌面連接服務(wù)器的客戶機都需要安裝該證書。
第十四步:直接雙擊該證書文件就可以安裝了,在“常規(guī)”標(biāo)簽中有一個“安裝證書”按鈕。(如圖17)
 |
| 圖17 |
第十五步:點“安裝證書”按鈕后進入證書導(dǎo)入向?qū)В覀冞x擇“根據(jù)證書類型,自動選擇證書存儲”后點“下一步”。(如圖18)
 |
| 圖18 |
第十六步:完成證書的全部導(dǎo)入工作。(如圖19)
 |
| 圖19 |
2.通過證書頁面安裝證書:
我們還有另外一種方法在客戶機上安裝證書。
第一步:在客戶機上打開瀏覽器,在地址欄處輸入
http://ip/certsrv/。例如服務(wù)器地址為10.91.30.45,則輸入
http://10.91.30.45/certsrv。瀏覽器將打開證書申請頁面。(如圖20)
 |
| 圖20 點擊看大圖 |
第二步:選擇下載CA證書后直接點“安裝此CA證書鏈”。(如圖21)
 |
| 圖21 點擊看大圖 |
第三步:系統(tǒng)將自動安裝該CA證書,并給出安裝完畢的提示。(如圖22)
 |
| 圖22 點擊看大圖 |
安裝了證書的客戶機就可以通過遠程桌面連接的SSL加密功能訪問遠程的服務(wù)器了。
三、客戶端程序要齊備:如果急于使用SSL加密模式控制遠程服務(wù)器的用戶會發(fā)現(xiàn)一個問題,那就是XP和2000中的遠程桌面工具沒有地方設(shè)置安全模式。這是因為SSL加密模式是2003SP1中添加的新功能,所以如果要使用該功能就需要安裝全新的遠程桌面連接工具。
1.WIN2003系統(tǒng):
在2003系統(tǒng)中的遠程桌面連接程序自帶有安全標(biāo)簽,通過這個標(biāo)簽我們可以直接設(shè)置SSL加密模式訪問遠程服務(wù)器。
2.其他系統(tǒng):
其他系統(tǒng)需要安裝新版遠程桌面連接程序,該程序存在于WINDOWS2003系統(tǒng)光盤中,存放路徑為i:\support\tools下,程序名稱為msrdpcli.exe。(如圖23)直接運行該程序即可。(如圖24)
 |
| 圖23 點擊看大圖 |
 |
| 圖24 |
3.使用新版程序:
安裝了新版遠程桌面程序后我們就要配置他使用SSL訪問遠程服務(wù)器了。
第一步:啟動新版遠程桌面連接程序。
第二步:你會發(fā)現(xiàn)多出了一個“安全”標(biāo)簽。(如圖25)
 |
| 圖25 |
第三步:在“安全”標(biāo)簽中將身份驗證方式修改為“要求身份驗證”。(如圖26)
 |
| 圖26 |
第四步:設(shè)置完畢后點“連接”按鈕就可以訪問遠程配置好SSL加密模式的服務(wù)器了。
小提示:安全標(biāo)簽中的三個選項依次為“無身份驗證”(使用常規(guī)模式訪問遠程服務(wù)器),“試圖身份驗證”(先使用SSL加密身份驗證訪問服務(wù)器,如果不成功則使用傳統(tǒng)模式),“要求身份驗證”(使用SSL加密模式訪問服務(wù)器,如果失敗則退出)。
四、常見故障: 由于配置了SSL加密的遠程桌面訪問與傳統(tǒng)的不同,所以在實際使用過程中會出現(xiàn)這樣或那樣的問題,筆者總結(jié)了其中最典型的幾個介紹給各位讀者。
1.客戶端無法建立跟遠程計算機的連接:
使用老版本遠程桌面連接程序訪問配置加密SSL模式的服務(wù)器的話就會出現(xiàn)這個“無法建立跟遠程計算機的連接”的提示。解決方法是升級到新版桌面連接程序。(如圖27)
 |
| 圖27 |
2.遠程計算機要求經(jīng)過身份驗證才能連接:
如果安裝了新版桌面連接程序但沒有設(shè)置“安全”標(biāo)簽參數(shù)的話就會出現(xiàn)“遠程計算機要求經(jīng)過身份驗證才能連接”的提示,我們通過“安全”標(biāo)簽設(shè)置身份驗證方式為“要求身份驗證”或“試圖身份驗證”即可。(如圖28)
 |
| 圖28 |
3.驗證遠程計算機證書遇到錯誤:
如果在服務(wù)器上配置了SSL加密模式但是在客戶機上安裝的證書不正確,或者在申請證書名稱時沒有按照IP地址信息書寫而是填寫了其他名稱的話則會出現(xiàn)“驗證遠程計算機證書遇到錯誤——證書上的服務(wù)器名錯誤”的提示。解決方法是重新申請證書并在客戶端上安裝該證書,申請時證書名稱填寫服務(wù)器的IP地址。(如圖29)
 |
| 圖29 |
總結(jié):當(dāng)客戶機使用SSL加密模式連接服務(wù)器并控制服務(wù)器后,在網(wǎng)絡(luò)中傳輸?shù)乃行畔⒍际羌用苓^的,黑客使用sniffer等工具無法抓取到可用的數(shù)據(jù)包。從而真真正正的將遠程桌面的安全進行到底。遠程操作界面也出現(xiàn)了SSL加密的圖標(biāo)。(如圖30)
 |
| 圖30 |