配置终端服务使用SSL

微软在 Windows Server 2003 SP1 中针对终端服务提供了SSL加密功能，它能够基于SSL（TLS 1.0）来实现如下两个功能：
  对RDP客户端提供终端服务器的服务器身份验证；加密和RDP客户端的通讯。
  在启用终端服务器的SSL加密功能时，当RDP客户向终端服务器发起链接时，终端服务器会向RDP客户出示配置使用的服务器证书，而RDP客户会检查颁发此服务器证书的CA是否位于本身受信任的根证书颁发机构列表中，若是存在则使用此服务器证书进行后续的RDP加密通信，若是不存在则根据RDP客户的配置进行处理，你能够选择继续和终端服务器进行链接或者拒绝链接。
 

1、终端服务器软件要求：

1．终端服务器组件的版本必须是 RDP 5.2 或以上，即所运行的操做系统必须是 Windows Server 2003 SP1 或其后版本；
  

2．必须具备一个有效的服务器身份验证证书；
  

2、RDP客户端软件要求：

1．客户端操做系统必须是 Windows 2000、Windows XP 或 Windows Server 2003；
  

2．客户端的RDP客户端链接组件版本必须为 RDP 5.2 以上，即必须为 Windows Server 2003 SP1 及其后版本中所带的RDP客户端链接组件（此组件的安装文件位于 Windows Server 2003 SP1 操做系统中的 %systemdrive\system32\clients\tsclient\win32\ 目录下找到。）
  

3、安装CA证书服务器：
   

1．点击开始，指向控制面板，点击添加或删除程序中的添加删除windows组件，安装证书服务（注意，在安装证书服务的时候必定要安装IIS服务和Active Server Pages子组件，而且一旦安装证书服务则这台电脑就不能更改计算机名了）。
2．输入CA的公用名称，这里名称必须是英文。(例如：mcse.org.cn)在点下一步。

3．输入证书数据库安装目录，通常直接按下一步。

4．这里我就完成了证书服务器的安装了。

4、为终端服务申请证书

首先，咱们须要在终端服务器上申请一个有效的（即颁发此证书的CA必须位于终端服务器的受信任的根证书颁发机构列表中）服务器身份验证证书。

1．点击开始，指向Internet Explorer单击，在地址栏中输入 [url]http://127.0.0.1/certsrv[/url]

2.单击申请一个证书。

３．单击高级证书申请。

４．单击建立并向此 CA 提交一个申请。

输入姓名（注意：这里的姓名必须是您对外的域名如 [url]www.mcse.org.cn[/url]）

在须要的证书类型中选“择服务器身份验证证书”。

在CSP中选择“Microsoft RSA SChannel Cryptographic Provider”。

在“将证书保存在本地计算机存储中”前打钩。

４．申请证书成功。

5、颁发证书

您刚刚申请的那张证书其实他的状态是挂起状态，此时的那张证书是没有任何做用，您须要请CA 管理员，在证书颁发机构中，颁发这张证书。

1.点击开始，指向全部程序→管理工具→证书颁发机构，选择挂起的申请单击

2．选种所申请的证书右击全部任务→颁发

3．点击开始，指向Internet Explorer单击，在地址栏中输入 [url]http://127.0.0.1/certsrv[/url]选择查看挂起的证书申请的状态。

4．安装此证书。

6、配置终端服务器使用SSL加密

1．点击开始，指向全部程序，点击管理工具中的终端服务配置，

2．在弹出的终端服务配置\链接对话框，右击右边详细面板中的RDP-Tcp，选择属性；  

而后在弹出的RDP-Tcp属性对话框上，点击常规页中的编辑按钮；

3．在选择证书对话框上，选择对应的服务器身份验证证书，而后点击肯定；

4．在配置使用服务器身份验证证书后，就可使用SSL加密功能了。在安全层栏选择SSL，而后点击肯定；

配置RDP客户端使用SSL加密

１．在安装完成之后，点击开始，选择全部程序中的远程桌面链接，而后在安全标签选择是否使用基于SSL（TLS 1.0）的服务器身份验证：

无身份验证：RDP客户端不要求终端服务器进行服务器身份验证，当使用这个选项时，RDP客户端链接组件的行为和更低版本的RDP客户端链接组件的行为一致，适用于终端服务器没有使用SSL加密的场景，若是终端服务器已经配置为使用SSL加密，则终端服务器会拒绝进行链接；
  

试图身份验证：RDP客户端试图要求但不是必需要求终端服务器进行服务器身份验证，若是终端服务器并未配置为使用SSL加密或者颁发终端服务器所使用的服务器身份验证证书的CA并不位于RDP客户端计算机的受信任的根证书颁发机构列表中，RDP客户端链接组件会进行提示，可是你一样能够选择继续进行链接；
  

要求身份验证：RDP客户端必需要求终端服务器进行服务器身份验证，若是终端服务器并未配置为使用SSL加密或者颁发终端服务器所使用的服务器身份验证证书的CA并不位于RDP客户端计算机的受信任的根证书颁发机构列表中，RDP客户端链接组件会拒绝进行链接。须要注意的是，若是RDP客户端所链接的目的地（服务器名或IP地址）和终端服务器上配置使用的服务器身份验证证书的公共名称不一致，则RDP客户端组件会认为所链接的终端服务器没法经过身份验证，从而会拒绝进行链接。
  

2.当成功使用SSL进行RDP链接后，在全屏模式下，屏幕顶部的提示栏上会具备一个小锁标志，表明使用的是SSL加密链接，单击它能够查看终端服务器所配置使用的服务器身份验证证书。

 

当成功使用SSL进行RDP链接后，在全屏模式下，屏幕顶部的提示栏上会具备一个小锁标志，表明使用的是SSL加密链接，单击它能够查看终端服务器所配置使用的服务器身份验证证书。