配置終端服務使用SSL

微軟在 Windows Server 2003 SP1 中針對終端服務提供了SSL加密功能，它能夠基於SSL（TLS 1.0）來實現如下兩個功能：
  對RDP客戶端提供終端服務器的服務器身份驗證；加密和RDP客戶端的通訊。
  在啓用終端服務器的SSL加密功能時，當RDP客戶向終端服務器發起鏈接時，終端服務器會向RDP客戶出示配置使用的服務器證書，而RDP客戶會檢查頒發此服務器證書的CA是否位於本身受信任的根證書頒發機構列表中，若是存在則使用此服務器證書進行後續的RDP加密通信，若是不存在則根據RDP客戶的配置進行處理，你能夠選擇繼續和終端服務器進行鏈接或者拒絕鏈接。
 

1、終端服務器軟件要求：

1．終端服務器組件的版本必須是 RDP 5.2 或以上，即所運行的操做系統必須是 Windows Server 2003 SP1 或其後版本；
  

2．必須具備一個有效的服務器身份驗證證書；
  

2、RDP客戶端軟件要求：

1．客戶端操做系統必須是 Windows 2000、Windows XP 或 Windows Server 2003；
  

2．客戶端的RDP客戶端鏈接組件版本必須爲 RDP 5.2 以上，即必須爲 Windows Server 2003 SP1 及其後版本中所帶的RDP客戶端鏈接組件（此組件的安裝文件位於 Windows Server 2003 SP1 操做系統中的 %systemdrive\system32\clients\tsclient\win32\ 目錄下找到。）
  

3、安裝CA證書服務器：
   

1．點擊開始，指向控制面板，點擊添加或刪除程序中的添加刪除windows組件，安裝證書服務（注意，在安裝證書服務的時候必定要安裝IIS服務和Active Server Pages子組件，而且一旦安裝證書服務則這臺電腦就不能更改計算機名了）。
2．輸入CA的公用名稱，這裏名稱必須是英文。(例如：mcse.org.cn)在點下一步。

3．輸入證書數據庫安裝目錄，通常直接按下一步。

4．這裏我就完成了證書服務器的安裝了。

4、爲終端服務申請證書

首先，咱們須要在終端服務器上申請一個有效的（即頒發此證書的CA必須位於終端服務器的受信任的根證書頒發機構列表中）服務器身份驗證證書。

1．點擊開始，指向Internet Explorer單擊，在地址欄中輸入 [url]http://127.0.0.1/certsrv[/url]

2.單擊申請一個證書。

３．單擊高級證書申請。

４．單擊建立並向此 CA 提交一個申請。

輸入姓名（注意：這裏的姓名必須是您對外的域名如 [url]www.mcse.org.cn[/url]）

在須要的證書類型中選「擇服務器身份驗證證書」。

在CSP中選擇「Microsoft RSA SChannel Cryptographic Provider」。

在「將證書保存在本地計算機存儲中」前打鉤。

４．申請證書成功。

5、頒發證書

您剛剛申請的那張證書其實他的狀態是掛起狀態，此時的那張證書是沒有任何做用，您須要請CA 管理員，在證書頒發機構中，頒發這張證書。

1.點擊開始，指向全部程序→管理工具→證書頒發機構，選擇掛起的申請單擊

2．選種所申請的證書右擊全部任務→頒發

3．點擊開始，指向Internet Explorer單擊，在地址欄中輸入 [url]http://127.0.0.1/certsrv[/url]選擇查看掛起的證書申請的狀態。

4．安裝此證書。

6、配置終端服務器使用SSL加密

1．點擊開始，指向全部程序，點擊管理工具中的終端服務配置，

2．在彈出的終端服務配置\鏈接對話框，右擊右邊詳細面板中的RDP-Tcp，選擇屬性；  

而後在彈出的RDP-Tcp屬性對話框上，點擊常規頁中的編輯按鈕；

3．在選擇證書對話框上，選擇對應的服務器身份驗證證書，而後點擊肯定；

4．在配置使用服務器身份驗證證書後，就可使用SSL加密功能了。在安全層欄選擇SSL，而後點擊肯定；

配置RDP客戶端使用SSL加密

１．在安裝完成之後，點擊開始，選擇全部程序中的遠程桌面鏈接，而後在安全標籤選擇是否使用基於SSL（TLS 1.0）的服務器身份驗證：

無身份驗證：RDP客戶端不要求終端服務器進行服務器身份驗證，當使用這個選項時，RDP客戶端鏈接組件的行爲和更低版本的RDP客戶端鏈接組件的行爲一致，適用於終端服務器沒有使用SSL加密的場景，若是終端服務器已經配置爲使用SSL加密，則終端服務器會拒絕進行鏈接；
  

試圖身份驗證：RDP客戶端試圖要求但不是必需要求終端服務器進行服務器身份驗證，若是終端服務器並未配置爲使用SSL加密或者頒發終端服務器所使用的服務器身份驗證證書的CA並不位於RDP客戶端計算機的受信任的根證書頒發機構列表中，RDP客戶端鏈接組件會進行提示，可是你一樣能夠選擇繼續進行鏈接；
  

要求身份驗證：RDP客戶端必需要求終端服務器進行服務器身份驗證，若是終端服務器並未配置爲使用SSL加密或者頒發終端服務器所使用的服務器身份驗證證書的CA並不位於RDP客戶端計算機的受信任的根證書頒發機構列表中，RDP客戶端鏈接組件會拒絕進行鏈接。須要注意的是，若是RDP客戶端所鏈接的目的地（服務器名或IP地址）和終端服務器上配置使用的服務器身份驗證證書的公共名稱不一致，則RDP客戶端組件會認爲所鏈接的終端服務器沒法經過身份驗證，從而會拒絕進行鏈接。
  

2.當成功使用SSL進行RDP鏈接後，在全屏模式下，屏幕頂部的提示欄上會具備一個小鎖標誌，表明使用的是SSL加密鏈接，單擊它能夠查看終端服務器所配置使用的服務器身份驗證證書。

 

當成功使用SSL進行RDP鏈接後，在全屏模式下，屏幕頂部的提示欄上會具備一個小鎖標誌，表明使用的是SSL加密鏈接，單擊它能夠查看終端服務器所配置使用的服務器身份驗證證書。