04-Windows Server 2012 R2 会话远程桌面-标准部署-CA证书(RemoteApp)

在以前的博客中，已经按照标准部署进行了配置，基本上标准的部署已经完成，可是在IT环境中，细节决定成败，在咱们经过Web进行访问RemoteApp程序时候，总会有一些警告和阻拦，这些问题虽然不影响到用户的使用，可是这影响到在使用过程当中的安全性，解决这些问题的方法就是证书。

首先咱们要解决的问题就是，当咱们登陆到RDWeb服务器进行访问时，老是提示“此网站的安全证书存在问题”

其次，主要解决的问题是，当启动其中的一个RemoteApp应用程序时候，老是弹出“网站要求运行RemoteApp程序。没法识别此RemoteApp程序发布者”

以上的2个问题都是能够经过证书服务器来进行解决，配置好证书问题，这2个警告就能够消除，在本次博客中，主要完成下面3个方面：

一、 安装CA证书服务器

二、 设置Web安全访问

三、 信任remoteapp发布者

在这次配置中，使用的服务器状况以下：

服务器名称	操做系统	IP设置	功能
AD-DC.mabofeng.com	Windows Server 2012 R2	192.168.1.100	域控制器
AD-DC.mabofeng.com	Windows Server 2012 R2	192.168.1.100	CA证书服务器
RD-CB.mabofeng.com	Windows Server 2012 R2	192.168.1.201	远程桌面链接代理
RD-WA.mabofeng.com	Windows Server 2012 R2	192.168.1.150	远程桌面Web访问
RD-SH.mabofeng.com	Windows Server 2012 R2	192.168.1.170	远程桌面会话主机
RD-CC.mabofeng.com	Windows 8.1	192.168.1.99	客户端计算机

1、安装CA证书服务器

一、在AD-DC.mabofeng.com服务器中，在域控服务器上安装证书服务器，在服务器管理器中，点击管理，在弹出的菜单中选择“添加角色和功能”

二、在添加角色和功能向导中“开始以前”页面中，点击下一步。

三、在选择安装类型页面中，选择基于角色或者基于功能的安装，点击下一步

四、在“服务器选择”页面中，选择要安装角色和功能的服务器或虚拟硬盘，选择“从服务器池中选择服务器”而后选择本机，点击下一步。

五、在“选择服务器角色”界面中，选择Active Directory证书服务，点击下一步。此时，咱们将Active Directory域服务和DNS服务器同时安装在了同一台计算机中，若是服务器资源富裕，建议单独部署各个功能组件，并设置Active Directory辅域。

六、在“选择功能”页面中，不选择任何功能组件，直接点击下一步。

七、接下来就进入了“Active Directory证书服务”的配置页面，在配置向导中点击下一步。

八、在“选择角色服务”页面中，选择Active Directory证书服务的角色服务，这里选择“证书颁发机构”和“证书颁发机构Web注册”，而后点击下一步。

九、当咱们勾选“证书颁发机构Web注册”时，同时须要添加Web服务器（IIS），在添加证书颁发机构Web注册所需的功能页面中，显示了要配置iis的功能组件，这里点击“添加功能”。

十、接下来就是配置Web服务器角色（IIS），在Web服务器角色（IIS）页面中，点击下一步。

十一、在“角色服务”页面中，为web服务器（IIS）选择要安装的角色服务，默认基本选项，点击下一步。

十二、在“确认安装所选内容”页面中，确认要在所选服务器上安装的角色、角色服务或功能，勾选“若是须要。自动从新启动目标服务器”最后点击安装。

等待一段时间后，CA证书服务器就安装完成了，安装阶段的工做就完成了，可是要使用CA证书服务器就必须配置一个企业CA证书。接下来就来配置业CA证书。

一、在AD CS配置向导中，凭据界面中，指定凭据以配置角色服务，默认是域管理员，如须要进行更改用户，能够点击“更改”，而后点击下一步。

二、在“角色服务”页面中，选择要配置的角色服务，点击“证书颁发机构”和“证书颁发机构web注册”，而后点击下一步。

三、在“设置类型”页面中，指定CA的设置类型，企业证书颁发机构分为2种，一种是企业CA，另外一种是独立CA，使用企业CA的用户要求必须是域成员，而且一般处于练级状态以颁发证书或证书策略，而独立的CA通常是非域环境，独立的CA不须要AD DS，而且能够在没有网络链接的状况下使用，通常是指第三方的CA证书服务。这里选择企业CA，而后点击下一步。

四、在CA类型页面中，指点CA类型，在安装证书服务器时，将建立或扩展公钥基础结构层次结构，根CA位于PKI层次结构的顶部，颁发其本身的自签名证书，从属CA从PKI层次结构中位于其上方的CA接收证书。这里选择根CA，点击下一步。

五、在私钥页面中，指定私钥的类型，可使用现有的私钥，也能够是建立新的私钥，这里选择建立新的私钥，点击下一步。

六、在CA加密页面中，选择加密的选项，而后点击下一步。

七、在指定CA名称页面中,键入公用名称以标识该证书颁发机构，此名称将添加到该CA颁发的全部证书者，CA的公用名称是以证书服务器的计算机名称后面加-CA，可分辨名称后缀值是自动生成的，不过能够对其进行修改，而后点击下一步。

八、在“有效期”界面中，选择为此证书颁发机构CA生成的证书有效期，默认时间为5年，以配置完成时间为起始，设置完成后点击下一步。

九、在CA数据库页面中，指定证书数据库的位置和证书服务器日志的位置，默认地址为C:/Windows/System32文件夹中，设置完成后点击下一步。

十、在确认页面中，确认配置的角色、角色服务或功能，而后点击配置。

十一、在配置进度页面中，正在配置角色服务，等待一段时间后，便可配置完成。

十二、在结果页面中，成功配置证书颁发机构和证书颁发机构Web注册，至此，证书的安装和配置工做就全面完成了，接下来就是配置证书模版。

接下来主要是配置证书模版，因为通常企业中的证书服务器是给域中全部的计算机中使用，域证书服务器中默认包含了不少证书模版，为了保险和安全，建议手动创建一个证书模版，能够专门为RD服务器使用，因为咱们是颁发公用的证书，因此对模版也要进行简单的设置。

一、在服务器管理器中，点击工具，在弹出的工具菜单中，选择证书颁发机构，在证书颁发机构页面中，右键选择证书模版，在弹出的菜单中选择管理。

二、在证书模版控制台中，找到计算机模版，而后右键点击计算机模版，在弹出的选项中选择复制模版。

三、在新建模版的属性中，首先选择常规页面，在常规页面中，设置模版显示名称，这里输入RD计算机，并勾选在Active Directory中发布证书。

四、在使用这名称的选项中，点击“在请求中提供”设置完成后，点击应用。

五、在“证书颁发机构”页面中，右键选择证书模版，在弹出的菜单中选择新建-要颁发的证书模版。

六、在启用证书模版页面中，找到以前设置的RD计算机，选中后点击肯定。

七、最后，在证书模版中，就能够看到设置的RD计算机模版，此时，证书方面的设置基本完成了。

2、设置Web安全访问

Web安全访问主要设置IIS，不管是采用什么安装模式，包括标准部署或者是快速部署，只要安装了远程桌面Web访问Remote Desktop Web Access服务，那么在服务器中就会安装IIS web服务器，若是须要进行安全访问，其主要就是设置IIS，其实这部分不属于RemoteApp设置范畴，应该属于IIS的安全访问设置，因此对IIS较为熟悉的工程师，对这部分都会感到熟悉，下面就来设置Web的安全访问。

一、 在RD-WA.mabofeng.com服务器中，在服务器管理器中，点击工具，在弹出的工具菜单中，选择IIS管理器，在IIS中的RD-WA服务器中，双击选择“证书服务器”。

二、在服务器证书页面中，右边的操做栏目中，点击选择建立域证书。

三、在建立证书向导中的可分辨名称属性中，输入申请证书的必要信息，这里的通用名称要输入服务器的完整域名，输入完成后，点击下一步。

四、在建立证书向导中的联机证书颁发机构页面中，指定域内将对证书进行签名的证书颁发机构，并指定一个好记的名称以便于记忆，首先点击选择，选择域中的证书服务器，而后设置一个名称，点击完成。

四、 当申请完成后，接下来咱们进行网站443端口绑定，首先咱们点开网站树状结构，右键选择Default Web Site，在弹出的菜单中选择“编辑绑定”。

五、在网站绑定页面中，选择https，端口443，而后点击编辑。

六、在“编辑网站绑定”页面中，选择SSL证书，点击选择按钮，选择以前申请的证书，而后点击肯定。

七、为了简单方便的进行访问，咱们能够将IIS中默认的首页，设置为RD Web访问的地址，因此咱们能够设置默认首页中的HTTP重定向。

八、在IIS首页中的http重定向页面中，勾选要求重定向到此目录，并在文本框中填写RD Web的地址，其地址为/RDWeb/Pages。

九、设置完成后，在RD-CC.mabofeng.com的Windows 8.1操做系统中，打开IE浏览器，输入远程桌面Web访问Remote Desktop Web Access服务器的地址，https:// RD-WA.mabofeng.com/。此时咱们就能够看到，能够安全的进行访问Remote Desktop Web Access，而且不会提示证书错误。

3、信任RemoteApp发布者

信任RemoteApp发布者就是解决当启动其中的一个RemoteApp应用程序时候，老是弹出“网站要求运行RemoteApp程序，没法识别此RemoteApp程序发布者”，若是配置了证书服务，就能够此类的问题。

一、以域管理员的身份登陆到RD-SH.mabofeng.com 远程桌面会话主机，而后在运行中输入mmc。

二、打开系统的控制台后，点击文件-添加/删除管理单元。

三、在计算机上为此控制台选择证书并配置所选的单元组，点击添加。

四、在证书管理单元界面中，选择计算机帐户，而后点击下一步。

五、在选择计算机页面中，选择本地计算机（运行此控制台的计算机），而后点击完成。

六、在证书（本地计算机）页面中，在我的证书里，右键点击我的，在弹出的菜单中选择全部任务-申请新证书。

七、在证书注册页面里开始界面中，点击下一步，在申请以前，要确保能申请的服务器能链接到证书服务器，而后点击下一步。

八、在证书注册页面里选择证书注册策略界面中，注册策略启用基于预约义证书模版的证书注册，能够点击属性查看域证书服务器。而后点击下一步。

九、选择RD计算机证书模版，并点击×××感叹号，“注册此证书须要详细信息，单击以配置设置。”

十、在证书属性中的使用者界面中，在使用者名称中，选择公用名，并添加RD-SH.mabofeng.com远程会话主机，在备用名称中，选择其余组件服务器的名称。

十一、在证书属性中的私钥界面中，密钥选项中设置私钥的密钥长度和导出选项，勾选“使私钥能够导出”，设置完成后，点击应用。

十二、设置证书属性完成后，回到证书注册界面中，点击注册。

1三、在证书注册里证书安装结果中，查看证书申请的状态，证书申请成功后，点击完成，退出证书注册。

1四、成功申请证书后，在我的-证书里能够看到证书，这是右键选择证书，在弹出的菜单中选择全部任务-导出…。

1五、在“欢迎使用证书导出向导”中，点击下一步。

1六、在导出私钥中，能够选择将私钥和证书一块儿导出，可是这里咱们只须要导出私钥便可，因此选择“是，导出私钥”。点击下一步。

1七、在证书导出向导中，选择使用要导出的格式，选择我的信息交换-PKCS # 12(.PFX)，并选择导出全部扩展属性，而后点击下一步。

1八、在安全页面中，须要设置导出私钥的安全性，能够对用户进行私钥的权限设置，或者设置一个私钥密码，而后点击下一步。

1九、设置要导出私钥的地址和名称，而后点击下一步。

20、最后，成功导出证书私钥，点击完成，退出证书导出向导。

接着咱们把这张证书分别复制到RD-SH，RD-CB，RD-WA服务器上，在运行里输入MMC，选择本地计算机账户证书，我的证书里导入此证书。而后在各服务器上用各自的管理控制台选择此证书应用起来。

一、在其中的一台RD服务器管理器中，选择远程桌面服务器，点击概述，在部署概述中，点击任务，在下拉菜单中选择“编辑部署属性”

二、在配置部署里证书页面里，远程桌面服务部署要求使用证书进行服务器身份验证，单一登陆以及创建安全链接，将以前的证书分别导入到这些角色中。

三、点击选择现有证书后，选择以前导出的私钥，并输入正式的密码，而后点击肯定。

四、导入后，须要点击应用，每一个证书都必须分别进行导入。

五、导入后会显示是否成功导入和证书的安全级别。

六、以后能够拆开证书的详细信息，这里要注意的是，要记住指纹的编号，在后面的域策略中会要求输入认证的指纹信息。

七、当证书设置完成后，须要在域策略中信任这些证书所在服务器的发布者，首先咱们以域管理员的形式登陆到域控制器，在AD的组策略里，右键单击Default Domain Policy，选择编辑。

八、在Default Domain Policy中，定位到计算机配置\策略\管理模板\Windows组件\远程桌面服务\远程桌面链接客户端。双击指定表示受信任.rdp发行者的SA1证书指纹。

九、在.rdp发行者的SA1证书指纹策略中点击启用，把指纹复制进去，而后点击肯定。

十、将用于对RDP文件进行数字签名的证书的指纹添加到Default Domain Group Policy设置中，这一步是必需的，这样用户每次启动RemoteApp程序时才不会出现受信任的发行者的警告对话框。完成后使用命令gpupdate /force强制跟新域策略。

十一、接下来咱们就来进行下测试，在RD-CC.mabofeng.com，win8.1客户端中点击应用后，会直接弹出运行窗口，不会弹出任何的警告，此时证书验证成功。