04-Windows Server 2012 R2 會話遠程桌面-標準部署-CA證書(RemoteApp)

在以前的博客中，已經按照標準部署進行了配置，基本上標準的部署已經完成，可是在IT環境中，細節決定成敗，在咱們經過Web進行訪問RemoteApp程序時候，總會有一些警告和阻攔，這些問題雖然不影響到用戶的使用，可是這影響到在使用過程當中的安全性，解決這些問題的方法就是證書。

首先咱們要解決的問題就是，當咱們登陸到RDWeb服務器進行訪問時，老是提示「此網站的安全證書存在問題」

其次，主要解決的問題是，當啓動其中的一個RemoteApp應用程序時候，老是彈出「網站要求運行RemoteApp程序。沒法識別此RemoteApp程序發佈者」

以上的2個問題都是能夠經過證書服務器來進行解決，配置好證書問題，這2個警告就能夠消除，在本次博客中，主要完成下面3個方面：

一、 安裝CA證書服務器

二、 設置Web安全訪問

三、 信任remoteapp發佈者

在這次配置中，使用的服務器狀況以下：

服務器名稱	操做系統	IP設置	功能
AD-DC.mabofeng.com	Windows Server 2012 R2	192.168.1.100	域控制器
AD-DC.mabofeng.com	Windows Server 2012 R2	192.168.1.100	CA證書服務器
RD-CB.mabofeng.com	Windows Server 2012 R2	192.168.1.201	遠程桌面鏈接代理
RD-WA.mabofeng.com	Windows Server 2012 R2	192.168.1.150	遠程桌面Web訪問
RD-SH.mabofeng.com	Windows Server 2012 R2	192.168.1.170	遠程桌面會話主機
RD-CC.mabofeng.com	Windows 8.1	192.168.1.99	客戶端計算機

1、安裝CA證書服務器

一、在AD-DC.mabofeng.com服務器中，在域控服務器上安裝證書服務器，在服務器管理器中，點擊管理，在彈出的菜單中選擇「添加角色和功能」

二、在添加角色和功能嚮導中「開始以前」頁面中，點擊下一步。

三、在選擇安裝類型頁面中，選擇基於角色或者基於功能的安裝，點擊下一步

四、在「服務器選擇」頁面中，選擇要安裝角色和功能的服務器或虛擬硬盤，選擇「從服務器池中選擇服務器」而後選擇本機，點擊下一步。

五、在「選擇服務器角色」界面中，選擇Active Directory證書服務，點擊下一步。此時，咱們將Active Directory域服務和DNS服務器同時安裝在了同一臺計算機中，若是服務器資源富裕，建議單獨部署各個功能組件，並設置Active Directory輔域。

六、在「選擇功能」頁面中，不選擇任何功能組件，直接點擊下一步。

七、接下來就進入了「Active Directory證書服務」的配置頁面，在配置嚮導中點擊下一步。

八、在「選擇角色服務」頁面中，選擇Active Directory證書服務的角色服務，這裏選擇「證書頒發機構」和「證書頒發機構Web註冊」，而後點擊下一步。

九、當咱們勾選「證書頒發機構Web註冊」時，同時須要添加Web服務器（IIS），在添加證書頒發機構Web註冊所需的功能頁面中，顯示了要配置iis的功能組件，這裏點擊「添加功能」。

十、接下來就是配置Web服務器角色（IIS），在Web服務器角色（IIS）頁面中，點擊下一步。

十一、在「角色服務」頁面中，爲web服務器（IIS）選擇要安裝的角色服務，默認基本選項，點擊下一步。

十二、在「確認安裝所選內容」頁面中，確認要在所選服務器上安裝的角色、角色服務或功能，勾選「若是須要。自動從新啓動目標服務器」最後點擊安裝。

等待一段時間後，CA證書服務器就安裝完成了，安裝階段的工做就完成了，可是要使用CA證書服務器就必須配置一個企業CA證書。接下來就來配置業CA證書。

一、在AD CS配置嚮導中，憑據界面中，指定憑據以配置角色服務，默認是域管理員，如須要進行更改用戶，能夠點擊「更改」，而後點擊下一步。

二、在「角色服務」頁面中，選擇要配置的角色服務，點擊「證書頒發機構」和「證書頒發機構web註冊」，而後點擊下一步。

三、在「設置類型」頁面中，指定CA的設置類型，企業證書頒發機構分爲2種，一種是企業CA，另外一種是獨立CA，使用企業CA的用戶要求必須是域成員，而且一般處於練級狀態以頒發證書或證書策略，而獨立的CA通常是非域環境，獨立的CA不須要AD DS，而且能夠在沒有網絡鏈接的狀況下使用，通常是指第三方的CA證書服務。這裏選擇企業CA，而後點擊下一步。

四、在CA類型頁面中，指點CA類型，在安裝證書服務器時，將建立或擴展公鑰基礎結構層次結構，根CA位於PKI層次結構的頂部，頒發其本身的自簽名證書，從屬CA從PKI層次結構中位於其上方的CA接收證書。這裏選擇根CA，點擊下一步。

五、在私鑰頁面中，指定私鑰的類型，可使用現有的私鑰，也能夠是建立新的私鑰，這裏選擇建立新的私鑰，點擊下一步。

六、在CA加密頁面中，選擇加密的選項，而後點擊下一步。

七、在指定CA名稱頁面中,鍵入公用名稱以標識該證書頒發機構，此名稱將添加到該CA頒發的全部證書者，CA的公用名稱是以證書服務器的計算機名稱後面加-CA，可分辨名稱後綴值是自動生成的，不過能夠對其進行修改，而後點擊下一步。

八、在「有效期」界面中，選擇爲此證書頒發機構CA生成的證書有效期，默認時間爲5年，以配置完成時間爲起始，設置完成後點擊下一步。

九、在CA數據庫頁面中，指定證書數據庫的位置和證書服務器日誌的位置，默認地址爲C:/Windows/System32文件夾中，設置完成後點擊下一步。

十、在確認頁面中，確認配置的角色、角色服務或功能，而後點擊配置。

十一、在配置進度頁面中，正在配置角色服務，等待一段時間後，便可配置完成。

十二、在結果頁面中，成功配置證書頒發機構和證書頒發機構Web註冊，至此，證書的安裝和配置工做就全面完成了，接下來就是配置證書模版。

接下來主要是配置證書模版，因爲通常企業中的證書服務器是給域中全部的計算機中使用，域證書服務器中默認包含了不少證書模版，爲了保險和安全，建議手動創建一個證書模版，能夠專門爲RD服務器使用，因爲咱們是頒發公用的證書，因此對模版也要進行簡單的設置。

一、在服務器管理器中，點擊工具，在彈出的工具菜單中，選擇證書頒發機構，在證書頒發機構頁面中，右鍵選擇證書模版，在彈出的菜單中選擇管理。

二、在證書模版控制檯中，找到計算機模版，而後右鍵點擊計算機模版，在彈出的選項中選擇複製模版。

三、在新建模版的屬性中，首先選擇常規頁面，在常規頁面中，設置模版顯示名稱，這裏輸入RD計算機，並勾選在Active Directory中發佈證書。

四、在使用這名稱的選項中，點擊「在請求中提供」設置完成後，點擊應用。

五、在「證書頒發機構」頁面中，右鍵選擇證書模版，在彈出的菜單中選擇新建-要頒發的證書模版。

六、在啓用證書模版頁面中，找到以前設置的RD計算機，選中後點擊肯定。

七、最後，在證書模版中，就能夠看到設置的RD計算機模版，此時，證書方面的設置基本完成了。

2、設置Web安全訪問

Web安全訪問主要設置IIS，不管是採用什麼安裝模式，包括標準部署或者是快速部署，只要安裝了遠程桌面Web訪問Remote Desktop Web Access服務，那麼在服務器中就會安裝IIS web服務器，若是須要進行安全訪問，其主要就是設置IIS，其實這部分不屬於RemoteApp設置範疇，應該屬於IIS的安全訪問設置，因此對IIS較爲熟悉的工程師，對這部分都會感到熟悉，下面就來設置Web的安全訪問。

一、 在RD-WA.mabofeng.com服務器中，在服務器管理器中，點擊工具，在彈出的工具菜單中，選擇IIS管理器，在IIS中的RD-WA服務器中，雙擊選擇「證書服務器」。

二、在服務器證書頁面中，右邊的操做欄目中，點擊選擇建立域證書。

三、在建立證書嚮導中的可分辨名稱屬性中，輸入申請證書的必要信息，這裏的通用名稱要輸入服務器的完整域名，輸入完成後，點擊下一步。

四、在建立證書嚮導中的聯機證書頒發機構頁面中，指定域內將對證書進行簽名的證書頒發機構，並指定一個好記的名稱以便於記憶，首先點擊選擇，選擇域中的證書服務器，而後設置一個名稱，點擊完成。

四、 當申請完成後，接下來咱們進行網站443端口綁定，首先咱們點開網站樹狀結構，右鍵選擇Default Web Site，在彈出的菜單中選擇「編輯綁定」。

五、在網站綁定頁面中，選擇https，端口443，而後點擊編輯。

六、在「編輯網站綁定」頁面中，選擇SSL證書，點擊選擇按鈕，選擇以前申請的證書，而後點擊肯定。

七、爲了簡單方便的進行訪問，咱們能夠將IIS中默認的首頁，設置爲RD Web訪問的地址，因此咱們能夠設置默認首頁中的HTTP重定向。

八、在IIS首頁中的http重定向頁面中，勾選要求重定向到此目錄，並在文本框中填寫RD Web的地址，其地址爲/RDWeb/Pages。

九、設置完成後，在RD-CC.mabofeng.com的Windows 8.1操做系統中，打開IE瀏覽器，輸入遠程桌面Web訪問Remote Desktop Web Access服務器的地址，https:// RD-WA.mabofeng.com/。此時咱們就能夠看到，能夠安全的進行訪問Remote Desktop Web Access，而且不會提示證書錯誤。

3、信任RemoteApp發佈者

信任RemoteApp發佈者就是解決當啓動其中的一個RemoteApp應用程序時候，老是彈出「網站要求運行RemoteApp程序，沒法識別此RemoteApp程序發佈者」，若是配置了證書服務，就能夠此類的問題。

一、以域管理員的身份登陸到RD-SH.mabofeng.com 遠程桌面會話主機，而後在運行中輸入mmc。

二、打開系統的控制檯後，點擊文件-添加/刪除管理單元。

三、在計算機上爲此控制檯選擇證書並配置所選的單元組，點擊添加。

四、在證書管理單元界面中，選擇計算機帳戶，而後點擊下一步。

五、在選擇計算機頁面中，選擇本地計算機（運行此控制檯的計算機），而後點擊完成。

六、在證書（本地計算機）頁面中，在我的證書裏，右鍵點擊我的，在彈出的菜單中選擇全部任務-申請新證書。

七、在證書註冊頁面裏開始界面中，點擊下一步，在申請以前，要確保能申請的服務器能鏈接到證書服務器，而後點擊下一步。

八、在證書註冊頁面裏選擇證書註冊策略界面中，註冊策略啓用基於預約義證書模版的證書註冊，能夠點擊屬性查看域證書服務器。而後點擊下一步。

九、選擇RD計算機證書模版，並點擊×××感嘆號，「註冊此證書須要詳細信息，單擊以配置設置。」

十、在證書屬性中的使用者界面中，在使用者名稱中，選擇公用名，並添加RD-SH.mabofeng.com遠程會話主機，在備用名稱中，選擇其餘組件服務器的名稱。

十一、在證書屬性中的私鑰界面中，密鑰選項中設置私鑰的密鑰長度和導出選項，勾選「使私鑰能夠導出」，設置完成後，點擊應用。

十二、設置證書屬性完成後，回到證書註冊界面中，點擊註冊。

1三、在證書註冊裏證書安裝結果中，查看證書申請的狀態，證書申請成功後，點擊完成，退出證書註冊。

1四、成功申請證書後，在我的-證書裏能夠看到證書，這是右鍵選擇證書，在彈出的菜單中選擇全部任務-導出…。

1五、在「歡迎使用證書導出嚮導」中，點擊下一步。

1六、在導出私鑰中，能夠選擇將私鑰和證書一塊兒導出，可是這裏咱們只須要導出私鑰便可，因此選擇「是，導出私鑰」。點擊下一步。

1七、在證書導出嚮導中，選擇使用要導出的格式，選擇我的信息交換-PKCS # 12(.PFX)，並選擇導出全部擴展屬性，而後點擊下一步。

1八、在安全頁面中，須要設置導出私鑰的安全性，能夠對用戶進行私鑰的權限設置，或者設置一個私鑰密碼，而後點擊下一步。

1九、設置要導出私鑰的地址和名稱，而後點擊下一步。

20、最後，成功導出證書私鑰，點擊完成，退出證書導出嚮導。

接着咱們把這張證書分別複製到RD-SH，RD-CB，RD-WA服務器上，在運行裏輸入MMC，選擇本地計算機賬戶證書，我的證書裏導入此證書。而後在各服務器上用各自的管理控制檯選擇此證書應用起來。

一、在其中的一臺RD服務器管理器中，選擇遠程桌面服務器，點擊概述，在部署概述中，點擊任務，在下拉菜單中選擇「編輯部署屬性」

二、在配置部署裏證書頁面裏，遠程桌面服務部署要求使用證書進行服務器身份驗證，單一登陸以及創建安全鏈接，將以前的證書分別導入到這些角色中。

三、點擊選擇現有證書後，選擇以前導出的私鑰，並輸入正式的密碼，而後點擊肯定。

四、導入後，須要點擊應用，每一個證書都必須分別進行導入。

五、導入後會顯示是否成功導入和證書的安全級別。

六、以後能夠拆開證書的詳細信息，這裏要注意的是，要記住指紋的編號，在後面的域策略中會要求輸入認證的指紋信息。

七、當證書設置完成後，須要在域策略中信任這些證書所在服務器的發佈者，首先咱們以域管理員的形式登陸到域控制器，在AD的組策略裏，右鍵單擊Default Domain Policy，選擇編輯。

八、在Default Domain Policy中，定位到計算機配置\策略\管理模板\Windows組件\遠程桌面服務\遠程桌面鏈接客戶端。雙擊指定表示受信任.rdp發行者的SA1證書指紋。

九、在.rdp發行者的SA1證書指紋策略中點擊啓用，把指紋複製進去，而後點擊肯定。

十、將用於對RDP文件進行數字簽名的證書的指紋添加到Default Domain Group Policy設置中，這一步是必需的，這樣用戶每次啓動RemoteApp程序時纔不會出現受信任的發行者的警告對話框。完成後使用命令gpupdate /force強制跟新域策略。

十一、接下來咱們就來進行下測試，在RD-CC.mabofeng.com，win8.1客戶端中點擊應用後，會直接彈出運行窗口，不會彈出任何的警告，此時證書驗證成功。