配置远程桌面服务以使用受信任的证书

下面介绍如何将远程桌面服务配置为使用受信任的第三方证书。KB 文章，请单击 此处。

大家好，我叫 David，我是戴尔的首席工程师，在本视频中，我将演示如何配置远程桌面服务以使用受信任的第三方证书。远程桌面服务的多个组件可以使用证书，包括远程桌面 Web 访问和远程桌面网关。可以将自签名证书用于远程桌面服务，但由于自签名证书本身不受信任，因此必须手动将客户端配置为信任它们，这只会导致大量额外的工作。

在本演示中，我将对所有远程桌面服务使用相同的受信任证书，但可以对不同的服务使用不同的证书，但有一个特定的约束条件，稍后我将解决该约束。首先，我们需要发出证书签名请求 （CSR）。有几种方法可以做到这一点，但我将使用 IIS 管理器，因为它非常直观。在左侧窗格中选择服务器后，我们需要转到“Server Certificates”，双击它，这将显示服务器上的任何现有证书。

现在，这里只有一个自签名证书，所以我们单击右侧窗格中的“创建证书请求”，然后填写这些字段。公用名应与证书使用者名称匹配，但在此实验室环境中，其余字段并不重要。不过这些字段是必填项，因此我将添加一些信息，然后单击“Next”。在这里，我们可以选择加密服务提供程序和位长度。出于本演示的目的，我将保留这些设置的默认值，然后再次单击“Next”。然后，我需要指定将存储证书请求的文件。

它只是一个文本文件，我将它存储在我为此目的创建的这个“cert”文件夹中。我给它起个名字，再单击“Finish”，现在请求就创建完成了。我将检查目录并确保它在那里。如果我打开证书请求，您可以看到它的样子。这只是一个标准的证书请求。此时，我需要将请求提交给证书颁发机构或 CA。执行此作的程序因 CA 而异。在这种情况下，我需要将请求文件的内容复制到特定字段中。某些 CA 可能会让您自行上传文本文件。

我不打算演示提交请求和接收证书的过程，因为它有很大不同。相反，我们将向前跳过一点。证书现已颁发，我已将其下载到同一文件夹中。这是一个CER文件，它是证书文件的常见扩展名之一，但我不能将CER文件用于RDS。它需要 PFX 文件。如果查看文件本身，我们可以看到有关证书和颁发证书的 CA 的信息。值得注意的是，此处没有任何关于私钥的内容，因为证书尚未与其私钥关联，私钥是在生成请求时生成的。

我们需要先将其绑定到私钥，然后才能将其用于 RDS。为此，我们返回到 IIS 管理器，然后单击“完成证书请求”。然后，我们选择证书文件，为其指定一个友好名称，即证书使用者名称，并指定应存储它的证书存储区。单击“OK”，我们现在可以看到它显示在服务器证书列表中。如果我们查看证书的属性，您会在下面看到一个注释，说明我们确实有一个与此证书相对应的私钥，因此它现在已绑定到其私钥，并且可供 RDS 使用。首先，我们需要导出它。为此，我们在同一控制台中单击“Export”，为其指定文件名，如您所见，它将是一个 PFX 文件。

现在，只需将其保存在同一个文件夹中，我们就必须为私钥分配密码。这是为了保护密钥。单击这里的“OK”，然后返回文件夹，您会看到里面有一个 PFX 文件，我们可以将该文件导入到 RDS 中。为此，我们转到服务器管理器的“远程桌面服务”部分和“部署属性”。在“Deployment Properties”窗口中，有一个“Certificate”部分，目前，它已配置为对所有这四个角色服务使用自签名证书。

如前所述，您可以为每个服务使用不同的证书，但我将对所有四个服务使用相同的证书。为此，我们选择其中一个角色服务，然后单击标记为“Select Existing Certificate”的按钮，接着选择“Choose a Different Certificate”，单击“Browse”按钮，然后浏览到 PFX 文件。打开它，指定我们在该文件上设置的密码，然后单击“允许添加证书”框，然后单击“确定”。您必须对每个角色服务执行相同的过程。完成每个测试后，您必须单击“Apply”，然后等待一分钟以应用证书。不幸的是，您不能一次完成所有四个作，因此该过程的这一部分变得有点乏味。

我会跳过前面，这样你就不必看着我连续四次做同样的事情。我确实想注意此处显示的警告，指出您应该对远程桌面网关和远程桌面 Web 访问使用相同的证书。这是 Microsoft 的最佳实践。现在，我已将所有四个角色服务配置为使用该证书。您可以看到，所有这些交换机的状态都显示为“Success”，信任级别显示为“Trusted”。因此，我们单击“确定”完成测试，现在我们将在另一台计算机上进行测试。

我将做一个非常简单的测试。我将启动 Web 浏览器并浏览到 Remote Desktop Web Access 登录页面，您可以看到它出现了，没有证书警告。如果我们看一下证书本身，你可以看出它是我们刚刚配置的证书。通用名称匹配，CA 名称匹配，发布日期和到期日期匹配。

以上就是如何配置远程桌面服务以使用受信任的第三方证书。我希望它对您有所帮助。我叫大卫。我是戴尔的首席工程师，感谢您观看本视频。