使用SSL加密远程桌面连接

使用SSL加密远程桌面连接windows的远程桌面功能操作服务器有一定的安全隐患，也就是说数据传输的安全级不够高，虽然传输信息进行了一定的加密，但黑客高手还是很容易将其还原成本来信息的。其实通过一定加密和认证手段完全可以打造安全的远程桌面，本文讲得是通过SSL加密远程桌面的方法来加强VPS的安全性。提示：如果你使用的是windows2003，但是没有安装最新的SP1补丁的话还是不能够使用SSL加密的远程桌面认证方式。因此建议各个公司马上将服务器升级到windows2003+SP1。一、安装证书颁发机构：首先要将服务器升级到最新版本windows2003，然后还需要通过windowsupdate或网站将servicepacket1补丁包安装。因为只有安装了SP1的indows2003才具备通过SSL加密的远程桌面功能。以下所有操作都是对服务器而言的，只有服务器经过设置容许支持SSL加密认证，客户端才可以通过远程桌面访问程序正常连接。安装证书颁发机构（证书服务）的过程参照“SERVER2003证书颁发机构安装与配置”一文章。二、申请证书：IIS启动后我们就可以通过网页来申请证书了。第一步：打开证书颁发机构所在服务器的IE浏览器，在地址栏处输入例如服务器地址为192.168.1.1，则输入如果IIS工作正常，证书服务安装正确的话会出现microsoft证书服务界面。我们在该界面中选择“申请一个证书”。第三步：在申请证书界面选择“高级证书申请”。在高级证书申请界面选择“创建并向此CA提交一个申请”。在高级证书申请填写界面需要我们修改的地方比较多，首先输入姓名，这个姓名要填写服务器的IP地址。提示：如果高级证书姓名填写的是其他信息，那么在配置SSL加密认证时会出现配置信息与服务器名不符合的错误。所以务必填写服务器的IP地址。第六步：电子邮件和公司，部门，地区等信息随意填写。第七步：需要的证书类型选择“服务器身份验证证书”。第八步：密钥选项设置为“创建新密钥集”。第九步：密钥用户设置为“交换”。第十步：将最下方的“标记密钥为可导出”与“将证书保存在本地计算机存储”前打对勾。至此高级证书申请参数填写完毕。点提交申请后会出现“潜在的脚本冲突”提示，我们不用理会直接选择“是”即可。提交申请完毕会出现证书挂起的提示，系统会提示你的申请信息已经挂起，等待管理员颁发，并还会显示出申请ID的序号。接下来还需要对申请的证书进行颁发，只有颁发了我们才可以开始使用。三、颁发与安装证书：下面为大家介绍如何颁发刚刚申请的证书。第一步：通过任务栏的“开始-程序-管理工具-证书颁发机构”来打开证书设置窗口。第二步：在本地计算机softer下的“挂起的申请”处会看到有一个申请，ID号为2，这个就是刚才的申请。第三步：在该申请上点鼠标右键选择“所有任务-颁发”，颁发后我们申请的证书就可以使用了。下面就要在服务器上安装我们申请的证书。第一步：打开IE浏览器，在地址栏处输入例如服务器地址为10.91.30.45，则输入如果IIS工作正常，证书服务安装正确的话会出现microsoft证书服务界面。第二步：选择“查看挂起的证书申请状态”，在这里会看到我们原来提交的那个“服务器身份验证证书”的踪影。点该“服务器身份验证证书”后出现证书已颁发的提示，我们直接点“安装此证书”。系统会弹出“潜在的脚本冲突”提示，我们不用理睬继续点“是”即可。系统会自动将该证书安装在服务器上。安装完毕系统会以网页的形式将“证书已安装信息”反馈给用户。四、服务器终端服务设置：默认情况下远程桌面功能是不支持SSL加密认证的，即使我们申请并安装了证书。第一步：通过任务栏的“开始-程序-管理工具-终端服务配置”来启动tscc终端服务配置窗口。在tscc终端服务配置窗口中我们点“终端服务配置连接”，在右边窗口中会显示出终端服务，我们在其上点鼠标右键选择“属性”。在常规标签中的证书设置处旁边有一个“编辑”按钮，点击该按钮打开证书设置窗口。然后通过查看证书找到我们在上期文章中安装的证书（证书名为192.168.1.1）。选择完证书后还需要对常规标签中的安全级别进行设置，我们将安全层设置为“SSL”，将加密级别设置为“高”。确定后完成全部服务器远程桌面设置工作。五、客户端安装认证证书：既然服务器上使用了证书进行SSL加密认证，那么还需要在客户机上安装这些认证。如果不安装的话远程桌面访问将无法进行。有两种方法获得证书，我们将一一介绍。1、从证书服务器上导出证书：从管理工具中进行证书颁发机构，找到要导出的证书，双击进入证书详情。点击选项卡上的复制到文件进入证书导出向导选择一种导出的格式。输入要保存的证书名称，点击浏览选择要导出的路径，点击完成导出所想要的证书。2、通过证书页面安装证书：我们还有另外一种方法在客户机上安装证书。第一步：在客户机上打开浏览器，在地址栏处输入。例如服务器地址为10.91.30.45，则输入。浏览器将打开证书申请页面。选择下载CA证书后直接点“安装此CA证书链”。这里点击是，系统将自动安装该CA证书，并给出安装完毕的提示。安装了证书的客户机就可以通过远程桌面连接的SSL加密功能访问远程的服务器了。六、客户端程序要齐备：Windows2003以外的系统如果需要安装标签需要安装新版远程桌面连接程序，该程序存在于WINDOWS2003系统光盘中，存放路径为i:\support\tools下，程序名称为msrdpcli.exe。直接运行该程序即可。安装了新版远程桌面程序后我们就要配置他使用SSL访问远程服务器了。第一步：启动新版远程桌面连接程序。第二步：你会发现多出了一个“安全”标签。第三步：在“安全”标签中将身份验证方式修改为“要求身份验证”。设置完毕后点“连接”按钮就可以访问远程配置好SSL加密模式的服务器了。小提示：安全标签中的三个选项依次为“无身份验证”（使用常规模式访问远程服务器），“试图身份验证”（先使用SSL加密身份验证访问服务器，如果不成功则使用传统模式），“要求身份验证”（使用SSL加密模式访问服务器，如果失败则退出）。