从Windows Server 2003 SP1开始,客户端便可以通过服务器身份验证安全套接字层(SSL)证书连接到远程桌面服务器。要实现这一功能,只需管理员使用和配置服务器操作系统的“远程桌面会话主机” 配置工具即可。尽管Windows Vista和Windows 7这样的客户端操作系统并无这样的管理工具可用,但服务器仍可以向它们颁发远程桌面连接证书。要通过证书来实现安全的远程桌面连接连接有两种常用配置方法。第一种方法使用组策略和证书模板来进行配置;第二种方法则是使用WMI脚本来进行配置。
第一种方法:使用组策略和证书模板
此种方式允许管理员为域中的多台计算机安装远程桌面证书,前提是域中必须有正常工作的公钥基础结构(PKI)。
首先,管理员需要创建一个远程桌面证书模板。
创建远程桌面证书模板:
在企业证书颁发机构中找到“证书模板”。 找到并右键单击“计算机”模板,选择“复制模板”。 在弹出的对话框中选择“Windows Server 2008 Enterprise”模板类型。
此时会弹出一个新模板的“属性”对话框。 我们在“常规”选项卡中将“模板显示名称”和“模板名称”改为“RemoteDesktopComputer”以方便今后识别和使用。注意:此处的模板显示名称和模板名称必须相同。 再到“扩展”选项卡中选择“应用程序策略”并点击“编辑”按钮。 此时会出现一个“编辑应用程序策略扩展”对话框。
要创建“远程桌面身份认证”策略必须先删除“客户端身份验证”和“服务器身份验证”策略,然后再点击“添加”。 此时会出现一个“添加应用程序策略扩展”对话框。我们在对话框中单击“新建”。
此时会出现一个“新建程序策略扩展”对话框。我们在“名称”中输入“Remote Desktop Authentication”,再在“对象标识符”中输入“1.3.6.1.4.1.311.54.1.2”并单击“确定”。
在“添加应用程序策略”对话框中选中“Remote Desktop Authentication”点击“确定”。 现在“编辑应用程序策略扩展”对话框显示如下:
再通过点击2次确定后,就回到新模板的“属性”对话框了。此时,新模板的准备工作已经完成。
下一步骤就是发布模板。
发布“RemoteDesktopComputer”证书模板:
在企业根证书颁发机构中找到“证书模板”。 在“证书模板”上右键单击并选择“新建”—“要颁发的证书模板”。 此时会弹出一个“启用证书模板”对话框。我们找到并选择“RemoteDesktopComputer”,然后单击确定。 现在“RemoteDesktopComputer”模板已经发布并可以用于证书请求。
最后一步,我们需要使用组策略将“RemoteDesktopComputer”模板配置为远程桌面身份验证的基本证书。
.
分页: [1] [2]
TAG: windows 远程桌面 连接证书