嗨,我是 David我是 Dell 的首席工程師 在本影片中,我將示範如何配置遠端桌面服務 以使用受信任的第三方憑證遠端桌面服務的多個元件可以使用證書,包括遠端桌面 Web 存取和遠端桌面閘道。可以將自簽名證書與遠端桌面服務一起使用,但由於自簽名證書本質上不受信任,因此必須手動配置用戶端以信任它們,這隻會導致大量額外的工作。
在此演示中,我將對所有遠端桌面服務使用相同的受信任證書,但可以對具有特定約束的不同服務使用不同的證書,我將在到達那裡時解決該約束。首先,我們需要發出憑證簽署要求 (CSR)。有幾種方法可以做到這一點,但我將使用 IIS 管理器,因為它相當直觀。在左窗格中選取伺服器後 我們需要前往「伺服器憑證」 按兩下,即可顯示伺服器上的任何現有憑證
現在這裡只有一個自我簽署憑證 所以我們按一下右窗格中的「建立憑證要求」,然後填寫欄位公用名應與證書使用者名稱匹配,但在此實驗室環境中,其餘欄位並不重要。但是,這些欄位是必填的,所以我要添加一些資訊,然後按兩下一步。在這裡,我們可以選擇加密服務提供者和位長度。為了進行這次示範,我會保留預設值 然後再次按一下「Next」然後,我需要指定將存儲證書請求的檔。
它會變成一個文字檔案 我就儲存在我建立的「cert」資料夾中我給它一個名字,然後按一下「完成」,要求現在已經建立我會去檢查目錄並確保它在那裡。如果我打開證書請求,您可以看到它的樣子。這隻是一個標準證書請求。此時,我需要將請求提交給證書頒發機構或 CA。執行此操作的過程因 CA 而異。在這種情況下,我需要將請求檔的內容複製到特定欄位中。某些 CA 可能要求您上傳文字檔本身。
我不打算演示提交請求和接收證書的過程,因為它差異很大。相反,我們只是跳過一點。證書現在已經頒發,我已將其下載到同一資料夾中。它是一個CER檔,它是證書檔的常見擴展名之一,但我不能將CER檔與RDS一起使用。它需要一個 PFX 檔。如果我查看檔本身,我們可以看到有關證書和頒發該證書的 CA 的資訊。值得注意的是,這裡沒有任何關於私鑰的內容,因為證書尚未與其私鑰相關聯,私鑰是在生成請求時生成的。
我們需要先將其綁定到私鑰中,然後才能將其用於 RDS。為此,我們返回 IIS 管理員並按下“完成證書請求”。然後,我們選擇證書檔,為其指定一個友好名稱(這將是證書使用者名稱),並指定應存儲該文件的證書存儲。按一下「OK」 現在可以看到該選項會顯示在伺服器憑證清單中如果我們查看證書的屬性,您會看到一個註釋,說明我們確實有一個與此證書對應的私鑰,因此它現在已綁定到其私鑰,並且可以由 RDS 使用。首先,我們需要將其匯出。為此,我們在同一台主控台按一下「Export」,並為其輸入檔案名稱 如您所見,這將會是一個 PFX 檔案
現在,只需將其保存在同一個資料夾中,我們必須為私鑰分配密碼。這是為了保護金鑰。單擊“確定”,如果我返回到該資料夾,您現在會看到其中有一個 PFX 檔,這是我們可以導入到 RDS 中的檔。為此,我們轉到伺服器管理器的“遠端桌面服務”部分和“部署屬性”。在「部署屬性」視窗中,有一個「證書」部分,目前,它配置為對所有四個角色服務使用自簽名證書。
如先前所說,您可以為每個服務使用不同的憑證,但我將針對這四個服務使用相同的憑證。為此,我們選擇其中一個角色服務,然後按下標有“選擇現有證書”的按鈕,然後選擇“選擇其他證書”,按兩下“流覽”按鈕,然後流覽到 PFX 檔。開啟該檔案,指定我們在該檔案上設定的密碼 然後按一下「允許新增憑證」方塊 然後按一下「確定」您必須對每個角色服務執行相同的過程。完成每個操作後,您必須按兩下“應用”,然後等待一分鐘以應用證書。不幸的是,您不能一次完成所有四個操作,因此這部分過程變得有點乏味。
我將跳過前面,這樣您就不必連續四次看著我做同樣的事情。我想要注意此處出現的警告 指出您應該對遠端桌面閘道和遠端桌面 Web 存取使用相同的憑證這是Microsoft的最佳做法。現在,我已將所有四個角色服務配置為使用該證書。您可以看到所有狀態都顯示“成功”,信任級別顯示“受信任”。我們按一下「OK」以完成 現在我們要在另一台機器上進行測試
我會做一個非常簡單的測試。我將啟動一個 Web 瀏覽器並流覽到遠端桌面 Web 存取登入頁面,您可以看到它在沒有憑證警告的情況下出現。如果我們查看證書本身,您會發現這是我們剛剛配置的證書。通用名稱匹配,CA 名稱匹配,頒發日期和到期日期匹配。
因此,這就是如何將遠端桌面服務配置為使用受信任的第三方證書。我希望它有用。再一次,我的名字是大衛。我是 Dell 的首席工程師,感謝您的觀看
