一、服務器遠程桌面設置:默認情況下遠程桌面功能是不支持SSL加密認證的,即使我們申請并安裝了證書。
第一步:通過任務欄的“開始->程序->管理工具->終端服務配置”來啟動tscc終端服務配置窗口。(如圖1)
 |
| 圖1 點擊看大圖 |
第二步:在tscc終端服務配置窗口中我們點“終端服衽渲?>連接”,在右邊窗口中會顯示出終端服務,我們在其上點鼠標右鍵選擇“屬性”。(如圖2)
 |
| 圖2 點擊看大圖 |
第三步:在常規標簽中的證書設置處旁邊有一個“編輯”按鈕,點擊該按鈕打開證書設置窗口。然后通過查看證書找到我們在上期文章中安裝的證書(證書名為10.91.30.45)。(如圖3)
 |
| 圖3 點擊看大圖 |
第四步:選擇完證書后還需要對常規標簽中的安全級別進行設置,我們將安全層設置為“SSL”,將加密級別設置為“高”。確定后完成全部服務器遠程桌面設置工作。(如圖4)
 |
| 圖4 |
二、客戶端安裝認證證書:既然服務器上使用了證書進行SSL加密認證,那么還需要在客戶機上安裝這些認證。如果不安裝的話遠程桌面訪問將無法進行。有兩種方法獲得證書,我們將一一介紹。
1 從TS服務器上導出證書:
第一步:通過任務欄的“開始->運行”,輸入mmc來啟動MMC管理單元。(如圖5)
 |
| 圖5 |
第二步:打開MMC管理單元后我們需要加載證書服務,方法是通過控制臺菜單中的“文件->添加/刪除管理單元”。(如圖6)
 |
| 圖6 點擊看大圖 |
第三步:從“可用的獨立管理單元”中找到證書管理單元,然后點“添加”按鈕加載該管理單元。(如圖7)
 |
| 圖7 點擊看大圖 |
第四步:在證書管理單元中選擇“計算機帳戶”后點“下一步”。(如圖8)
 |
| 圖8 點擊看大圖 |
第五步:在選擇計算機窗口中找到“本地計算機”后完成操作。(如圖9)
 |
| 圖9 點擊看大圖 |
第六步:回到控制臺界面后我們選擇“控制臺根節點->證書(本地計算機)->個人->證書”,在右邊窗口中會看到服務器當前安裝的所有證書。我們找到用于SSL加密連接的證書。(如圖10)
 |
| 圖10 點擊看大圖 |
第七步:在該證書上點鼠標右鍵后選擇“打開”,在證書信息界面中選擇“詳細信息”,然后點下方的“復制到文件”按鈕,將證書進行復制。(如圖11)
 |
| 圖11 |
第八步:打開證書導出向導后直接點“下一步”。(如圖12)
 |
| 圖12 |
第九步:導出私鑰處選擇“不,不要導出私鑰”。(如圖13)
 |
| 圖13 |
第十步:導出文件格式處選擇“DER 編碼二進制X.509(.CER)”。(如圖14)
 |
| 圖14 |
第十一步:選擇導出文件的保存路徑,一般直接選桌面即可。(如圖15)
 |
| 圖15 |
第十二步:完成證書導出向導配置工作,證書文件成功保存。(如圖16)
 |
| 圖16 |
第十三步:文件保存到桌面后我們就可以把這個證書文件復制到其他計算機上了,所有準備通過遠程桌面連接服務器的客戶機都需要安裝該證書。
第十四步:直接雙擊該證書文件就可以安裝了,在“常規”標簽中有一個“安裝證書”按鈕。(如圖17)
 |
| 圖17 |
第十五步:點“安裝證書”按鈕后進入證書導入向導,我們選擇“根據證書類型,自動選擇證書存儲”后點“下一步”。(如圖18)
 |
| 圖18 |
第十六步:完成證書的全部導入工作。(如圖19)
 |
| 圖19 |
2.通過證書頁面安裝證書:
我們還有另外一種方法在客戶機上安裝證書。
第一步:在客戶機上打開瀏覽器,在地址欄處輸入
http://ip/certsrv/。例如服務器地址為10.91.30.45,則輸入
http://10.91.30.45/certsrv。瀏覽器將打開證書申請頁面。(如圖20)
 |
| 圖20 點擊看大圖 |
第二步:選擇下載CA證書后直接點“安裝此CA證書鏈”。(如圖21)
 |
| 圖21 點擊看大圖 |
第三步:系統將自動安裝該CA證書,并給出安裝完畢的提示。(如圖22)
 |
| 圖22 點擊看大圖 |
安裝了證書的客戶機就可以通過遠程桌面連接的SSL加密功能訪問遠程的服務器了。
三、客戶端程序要齊備:如果急于使用SSL加密模式控制遠程服務器的用戶會發現一個問題,那就是XP和2000中的遠程桌面工具沒有地方設置安全模式。這是因為SSL加密模式是2003SP1中添加的新功能,所以如果要使用該功能就需要安裝全新的遠程桌面連接工具。
1.WIN2003系統:
在2003系統中的遠程桌面連接程序自帶有安全標簽,通過這個標簽我們可以直接設置SSL加密模式訪問遠程服務器。
2.其他系統:
其他系統需要安裝新版遠程桌面連接程序,該程序存在于WINDOWS2003系統光盤中,存放路徑為i:\support\tools下,程序名稱為msrdpcli.exe。(如圖23)直接運行該程序即可。(如圖24)
 |
| 圖23 點擊看大圖 |
 |
| 圖24 |
3.使用新版程序:
安裝了新版遠程桌面程序后我們就要配置他使用SSL訪問遠程服務器了。
第一步:啟動新版遠程桌面連接程序。
第二步:你會發現多出了一個“安全”標簽。(如圖25)
 |
| 圖25 |
第三步:在“安全”標簽中將身份驗證方式修改為“要求身份驗證”。(如圖26)
 |
| 圖26 |
第四步:設置完畢后點“連接”按鈕就可以訪問遠程配置好SSL加密模式的服務器了。
小提示:安全標簽中的三個選項依次為“無身份驗證”(使用常規模式訪問遠程服務器),“試圖身份驗證”(先使用SSL加密身份驗證訪問服務器,如果不成功則使用傳統模式),“要求身份驗證”(使用SSL加密模式訪問服務器,如果失敗則退出)。
四、常見故障: 由于配置了SSL加密的遠程桌面訪問與傳統的不同,所以在實際使用過程中會出現這樣或那樣的問題,筆者總結了其中最典型的幾個介紹給各位讀者。
1.客戶端無法建立跟遠程計算機的連接:
使用老版本遠程桌面連接程序訪問配置加密SSL模式的服務器的話就會出現這個“無法建立跟遠程計算機的連接”的提示。解決方法是升級到新版桌面連接程序。(如圖27)
 |
| 圖27 |
2.遠程計算機要求經過身份驗證才能連接:
如果安裝了新版桌面連接程序但沒有設置“安全”標簽參數的話就會出現“遠程計算機要求經過身份驗證才能連接”的提示,我們通過“安全”標簽設置身份驗證方式為“要求身份驗證”或“試圖身份驗證”即可。(如圖28)
 |
| 圖28 |
3.驗證遠程計算機證書遇到錯誤:
如果在服務器上配置了SSL加密模式但是在客戶機上安裝的證書不正確,或者在申請證書名稱時沒有按照IP地址信息書寫而是填寫了其他名稱的話則會出現“驗證遠程計算機證書遇到錯誤——證書上的服務器名錯誤”的提示。解決方法是重新申請證書并在客戶端上安裝該證書,申請時證書名稱填寫服務器的IP地址。(如圖29)
 |
| 圖29 |
總結:當客戶機使用SSL加密模式連接服務器并控制服務器后,在網絡中傳輸的所有信息都是加密過的,黑客使用sniffer等工具無法抓取到可用的數據包。從而真真正正的將遠程桌面的安全進行到底。遠程操作界面也出現了SSL加密的圖標。(如圖30)
 |
| 圖30 |