elva

一、服務(wù)器遠(yuǎn)程桌面設(shè)置：
默認(rèn)情況下遠(yuǎn)程桌面功能是不支持SSL加密認(rèn)證的，即使我們申請并安裝了證書。
第一步：通過任務(wù)欄的“開始->程序->管理工具->終端服務(wù)配置”來啟動tscc終端服務(wù)配置窗口。（如圖1）

圖1 點(diǎn)擊看大圖

第二步：在tscc終端服務(wù)配置窗口中我們點(diǎn)“終端服衽渲?>連接”，在右邊窗口中會顯示出終端服務(wù)，我們在其上點(diǎn)鼠標(biāo)右鍵選擇“屬性”。（如圖2）

圖2 點(diǎn)擊看大圖

第三步：在常規(guī)標(biāo)簽中的證書設(shè)置處旁邊有一個“編輯”按鈕，點(diǎn)擊該按鈕打開證書設(shè)置窗口。然后通過查看證書找到我們在上期文章中安裝的證書（證書名為10.91.30.45）。（如圖3）

圖3 點(diǎn)擊看大圖

第四步：選擇完證書后還需要對常規(guī)標(biāo)簽中的安全級別進(jìn)行設(shè)置，我們將安全層設(shè)置為“SSL”，將加密級別設(shè)置為“高”。確定后完成全部服務(wù)器遠(yuǎn)程桌面設(shè)置工作。（如圖4）

圖4

二、客戶端安裝認(rèn)證證書：
既然服務(wù)器上使用了證書進(jìn)行SSL加密認(rèn)證，那么還需要在客戶機(jī)上安裝這些認(rèn)證。如果不安裝的話遠(yuǎn)程桌面訪問將無法進(jìn)行。有兩種方法獲得證書，我們將一一介紹。
1 從TS服務(wù)器上導(dǎo)出證書：

第一步：通過任務(wù)欄的“開始->運(yùn)行”，輸入mmc來啟動MMC管理單元。（如圖5）

圖5

第二步：打開MMC管理單元后我們需要加載證書服務(wù)，方法是通過控制臺菜單中的“文件->添加/刪除管理單元”。（如圖6）

圖6 點(diǎn)擊看大圖

第三步：從“可用的獨(dú)立管理單元”中找到證書管理單元，然后點(diǎn)“添加”按鈕加載該管理單元。（如圖7）

圖7 點(diǎn)擊看大圖

第四步：在證書管理單元中選擇“計(jì)算機(jī)帳戶”后點(diǎn)“下一步”。（如圖8）

圖8 點(diǎn)擊看大圖

第五步：在選擇計(jì)算機(jī)窗口中找到“本地計(jì)算機(jī)”后完成操作。（如圖9）

圖9 點(diǎn)擊看大圖

第六步：回到控制臺界面后我們選擇“控制臺根節(jié)點(diǎn)->證書（本地計(jì)算機(jī)）->個人->證書”，在右邊窗口中會看到服務(wù)器當(dāng)前安裝的所有證書。我們找到用于SSL加密連接的證書。（如圖10）

圖10 點(diǎn)擊看大圖

第七步：在該證書上點(diǎn)鼠標(biāo)右鍵后選擇“打開”，在證書信息界面中選擇“詳細(xì)信息”，然后點(diǎn)下方的“復(fù)制到文件”按鈕，將證書進(jìn)行復(fù)制。（如圖11）

圖11

第八步：打開證書導(dǎo)出向?qū)Ш笾苯狱c(diǎn)“下一步”。（如圖12）

圖12

第九步：導(dǎo)出私鑰處選擇“不，不要導(dǎo)出私鑰”。（如圖13）

圖13

第十步：導(dǎo)出文件格式處選擇“DER 編碼二進(jìn)制X.509（.CER）”。（如圖14）

圖14

第十一步：選擇導(dǎo)出文件的保存路徑，一般直接選桌面即可。（如圖15）

圖15

第十二步：完成證書導(dǎo)出向?qū)渲霉ぷ鳎C書文件成功保存。（如圖16）

圖16

第十三步：文件保存到桌面后我們就可以把這個證書文件復(fù)制到其他計(jì)算機(jī)上了，所有準(zhǔn)備通過遠(yuǎn)程桌面連接服務(wù)器的客戶機(jī)都需要安裝該證書。
第十四步：直接雙擊該證書文件就可以安裝了，在“常規(guī)”標(biāo)簽中有一個“安裝證書”按鈕。（如圖17）

圖17

第十五步：點(diǎn)“安裝證書”按鈕后進(jìn)入證書導(dǎo)入向?qū)В覀冞x擇“根據(jù)證書類型，自動選擇證書存儲”后點(diǎn)“下一步”。（如圖18）

圖18

第十六步：完成證書的全部導(dǎo)入工作。（如圖19）

圖19

2.通過證書頁面安裝證書：
我們還有另外一種方法在客戶機(jī)上安裝證書。
第一步：在客戶機(jī)上打開瀏覽器，在地址欄處輸入http://ip/certsrv/。例如服務(wù)器地址為10.91.30.45，則輸入http://10.91.30.45/certsrv。瀏覽器將打開證書申請頁面。（如圖20）

圖20 點(diǎn)擊看大圖

第二步：選擇下載CA證書后直接點(diǎn)“安裝此CA證書鏈”。（如圖21）

圖21 點(diǎn)擊看大圖

第三步：系統(tǒng)將自動安裝該CA證書，并給出安裝完畢的提示。（如圖22）

圖22 點(diǎn)擊看大圖

安裝了證書的客戶機(jī)就可以通過遠(yuǎn)程桌面連接的SSL加密功能訪問遠(yuǎn)程的服務(wù)器了。
三、客戶端程序要齊備：
如果急于使用SSL加密模式控制遠(yuǎn)程服務(wù)器的用戶會發(fā)現(xiàn)一個問題，那就是XP和2000中的遠(yuǎn)程桌面工具沒有地方設(shè)置安全模式。這是因?yàn)镾SL加密模式是2003SP1中添加的新功能，所以如果要使用該功能就需要安裝全新的遠(yuǎn)程桌面連接工具。
1.WIN2003系統(tǒng)：
在2003系統(tǒng)中的遠(yuǎn)程桌面連接程序自帶有安全標(biāo)簽，通過這個標(biāo)簽我們可以直接設(shè)置SSL加密模式訪問遠(yuǎn)程服務(wù)器。
2.其他系統(tǒng)：
其他系統(tǒng)需要安裝新版遠(yuǎn)程桌面連接程序，該程序存在于WINDOWS2003系統(tǒng)光盤中，存放路徑為i:\support\tools下，程序名稱為msrdpcli.exe。（如圖23）直接運(yùn)行該程序即可。（如圖24）

圖23 點(diǎn)擊看大圖

圖24

3.使用新版程序：
安裝了新版遠(yuǎn)程桌面程序后我們就要配置他使用SSL訪問遠(yuǎn)程服務(wù)器了。
第一步：啟動新版遠(yuǎn)程桌面連接程序。

第二步：你會發(fā)現(xiàn)多出了一個“安全”標(biāo)簽。（如圖25）

圖25

第三步：在“安全”標(biāo)簽中將身份驗(yàn)證方式修改為“要求身份驗(yàn)證”。（如圖26）

圖26

第四步：設(shè)置完畢后點(diǎn)“連接”按鈕就可以訪問遠(yuǎn)程配置好SSL加密模式的服務(wù)器了。
小提示：安全標(biāo)簽中的三個選項(xiàng)依次為“無身份驗(yàn)證”（使用常規(guī)模式訪問遠(yuǎn)程服務(wù)器），“試圖身份驗(yàn)證”（先使用SSL加密身份驗(yàn)證訪問服務(wù)器，如果不成功則使用傳統(tǒng)模式），“要求身份驗(yàn)證”（使用SSL加密模式訪問服務(wù)器，如果失敗則退出）。

四、常見故障：

由于配置了SSL加密的遠(yuǎn)程桌面訪問與傳統(tǒng)的不同，所以在實(shí)際使用過程中會出現(xiàn)這樣或那樣的問題，筆者總結(jié)了其中最典型的幾個介紹給各位讀者。
1.客戶端無法建立跟遠(yuǎn)程計(jì)算機(jī)的連接：
使用老版本遠(yuǎn)程桌面連接程序訪問配置加密SSL模式的服務(wù)器的話就會出現(xiàn)這個“無法建立跟遠(yuǎn)程計(jì)算機(jī)的連接”的提示。解決方法是升級到新版桌面連接程序。（如圖27）

圖27

2.遠(yuǎn)程計(jì)算機(jī)要求經(jīng)過身份驗(yàn)證才能連接：
如果安裝了新版桌面連接程序但沒有設(shè)置“安全”標(biāo)簽參數(shù)的話就會出現(xiàn)“遠(yuǎn)程計(jì)算機(jī)要求經(jīng)過身份驗(yàn)證才能連接”的提示，我們通過“安全”標(biāo)簽設(shè)置身份驗(yàn)證方式為“要求身份驗(yàn)證”或“試圖身份驗(yàn)證”即可。（如圖28）

圖28

3.驗(yàn)證遠(yuǎn)程計(jì)算機(jī)證書遇到錯誤：
如果在服務(wù)器上配置了SSL加密模式但是在客戶機(jī)上安裝的證書不正確，或者在申請證書名稱時沒有按照IP地址信息書寫而是填寫了其他名稱的話則會出現(xiàn)“驗(yàn)證遠(yuǎn)程計(jì)算機(jī)證書遇到錯誤——證書上的服務(wù)器名錯誤”的提示。解決方法是重新申請證書并在客戶端上安裝該證書，申請時證書名稱填寫服務(wù)器的IP地址。（如圖29）

圖29

總結(jié)：當(dāng)客戶機(jī)使用SSL加密模式連接服務(wù)器并控制服務(wù)器后，在網(wǎng)絡(luò)中傳輸?shù)乃行畔⒍际羌用苓^的，黑客使用sniffer等工具無法抓取到可用的數(shù)據(jù)包。從而真真正正的將遠(yuǎn)程桌面的安全進(jìn)行到底。遠(yuǎn)程操作界面也出現(xiàn)了SSL加密的圖標(biāo)。（如圖30）

圖30