配置Win Server遠程桌面連接證書的兩種方法
從Windows Server 2003 SP1開始,客戶端便可以通過服務(wù)器身份驗證安全套接字層(SSL)證書連接到遠程桌面服務(wù)器。要實現(xiàn)這一功能,只需管理員使用和配置服務(wù)器操作系統(tǒng)的“遠程桌面會話主機” 配置工具即可。盡管Windows Vista和Windows 7這樣的客戶端操作系統(tǒng)并無這樣的管理工具可用,但服務(wù)器仍可以向它們頒發(fā)遠程桌面連接證書。要通過證書來實現(xiàn)安全的遠程桌面連接連接有兩種常用配置方法。第一種方法使用組策略和證書模板來進行配置;第二種方法則是使用WMI腳本來進行配置。
第一種方法:使用組策略和證書模板
此種方式允許管理員為域中的多臺計算機安裝遠程桌面證書,前提是域中必須有正常工作的公鑰基礎(chǔ)結(jié)構(gòu)(PKI)。
首先,管理員需要創(chuàng)建一個遠程桌面證書模板。
創(chuàng)建遠程桌面證書模板:
在企業(yè)證書頒發(fā)機構(gòu)中找到“證書模板”。 找到并右鍵單擊“計算機”模板,選擇“復(fù)制模板”。 在彈出的對話框中選擇“Windows Server 2008 Enterprise”模板類型。
此時會彈出一個新模板的“屬性”對話框。 我們在“常規(guī)”選項卡中將“模板顯示名稱”和“模板名稱”改為“RemoteDesktopComputer”以方便今后識別和使用。注意:此處的模板顯示名稱和模板名稱必須相同。 再到“擴展”選項卡中選擇“應(yīng)用程序策略”并點擊“編輯”按鈕。 此時會出現(xiàn)一個“編輯應(yīng)用程序策略擴展”對話框。
要創(chuàng)建“遠程桌面身份認(rèn)證”策略必須先刪除“客戶端身份驗證”和“服務(wù)器身份驗證”策略,然后再點擊“添加”。 此時會出現(xiàn)一個“添加應(yīng)用程序策略擴展”對話框。我們在對話框中單擊“新建”。
此時會出現(xiàn)一個“新建程序策略擴展”對話框。我們在“名稱”中輸入“Remote Desktop Authentication”,再在“對象標(biāo)識符”中輸入“1.3.6.1.4.1.311.54.1.2”并單擊“確定”。
在“添加應(yīng)用程序策略”對話框中選中“Remote Desktop Authentication”點擊“確定”。 現(xiàn)在“編輯應(yīng)用程序策略擴展”對話框顯示如下:
再通過點擊2次確定后,就回到新模板的“屬性”對話框了。此時,新模板的準(zhǔn)備工作已經(jīng)完成。
下一步驟就是發(fā)布模板。
發(fā)布“RemoteDesktopComputer”證書模板:
在企業(yè)根證書頒發(fā)機構(gòu)中找到“證書模板”。 在“證書模板”上右鍵單擊并選擇“新建”—“要頒發(fā)的證書模板”。 此時會彈出一個“啟用證書模板”對話框。我們找到并選擇“RemoteDesktopComputer”,然后單擊確定。 現(xiàn)在“RemoteDesktopComputer”模板已經(jīng)發(fā)布并可以用于證書請求。
最后一步,我們需要使用組策略將“RemoteDesktopComputer”模板配置為遠程桌面身份驗證的基本證書。
配置組策略
在域控制器上打開“組策略管理”工具,右鍵單擊“默認(rèn)域策略”并點擊“編輯”。此時會彈出“組策略管理編輯器”(注意:策略可以應(yīng)用到域中的所有計算機,管理員也可以根據(jù)需要將其應(yīng)用到所需的OU) 導(dǎo)航至“計算機配置—策略—管理模板—Windows 組件—遠程桌面服務(wù)—遠程桌面會話主機—安全。” 雙擊“服務(wù)器身份驗證證書模板”策略 啟用策略,并在“證書模板名稱”中輸入“RemoteDesktopComputer”并點擊確定。
當(dāng)此策略應(yīng)用到域中的所有計算機后,所有啟用遠程桌面連接的計算機都將到證書頒發(fā)機構(gòu)服務(wù)器去請求基于“RemoteDesktopComputer”模板的證書,并用證書對遠程桌面客戶端進行驗證。(管理員可通過gpupdate /force命令在客戶端上強制刷新以獲取到組策略的更新) #p#
第二種方法:使用WMI腳本
此方法允許管理員直接使用遠程桌面連接的服務(wù)器證書,但管理員需要提前手動對證書進行安裝。這種方法通常用于:使用企業(yè)向Internet公共證書頒發(fā)機構(gòu)購買的證書。
首先需要檢查我們已有的證書是否符合遠程桌面證書的要求。不符合這些要求的證書將不能正常工作,并將被服務(wù)器忽略。
遠程桌面證書的基本要求:
證書必須安裝到計算機的“個人”證書存儲區(qū)域中 必須擁有證書的私鑰 證書的“增強型密鑰用法”擴展中應(yīng)有“服務(wù)器身份驗證”或“遠程桌面身份驗證”(1.3.6.1.4.1.311.54.1.2)。
為了正常使用,我們首先要獲取到遠程桌面連接證書的指紋。
獲取證書的指紋:
雙擊已有的證書 單擊“詳細(xì)信息”標(biāo)簽 在列表中選擇“指紋”
將指紋值復(fù)制到記事本當(dāng)中 刪除數(shù)字之間的所有空格
如上圖示例,我們獲取到的指紋應(yīng)該是: 3d710cecbb29d5dfcb61a6157cefd746b7b04b74
注意:當(dāng)我們獲取到證書指紋之后,才能通過腳本將證書應(yīng)用于遠程桌面連接。.
配置遠程桌面證書的WMI腳本:
/* ============================================================== JScript Source File NAME: ConfigRemoteDesktop.js AUTHOR: Billy Fu DATE : 2010/8/2 ==================================================================*/ var strComputer = ".";
var strNamespace = "\\root\\CIMV2\\TerminalServices"; var wbemChangeFlagUpdateOnly = 1; var wbemAuthenticationLevelPktPrivacy = 6; var Locator = new ActiveXObject("WbemScripting.SWbemLocator"); Locator.Security_.AuthenticationLevel = wbemAuthenticationLevelPktPrivacy; var Service = Locator.ConnectServer (strComputer, strNamespace); var TSSettings = Service.Get("Win32_TSGeneralSetting.TerminalName=\"RDP-Tcp\""); if (WScript.Arguments.length >= 1 ) { TSSettings.SSLCertificateSHA1Hash = WScript.Arguments(0); } else { TSSettings.SSLCertificateSHA1Hash = "0000000000000000000000000000000000000000"; } TSSettings.Put_(wbemChangeFlagUpdateOnly);
將以上腳本內(nèi)容復(fù)制到 “ConfigRemoteDesktop.js”文件當(dāng)中,并以管理員方式啟動命令提示符號(Cmd.exe.),再通過“cscript ConfigRemoteDesktop.js <證書指紋>”命令來將證書應(yīng)用到遠程桌面連接。
(注意:執(zhí)行此腳本不加任何參數(shù)時將自動還原到遠程桌面的自簽名證書)
【編輯推薦】
