Windows Server：如何將受信任憑證與遠端桌面服務配合使用

RDS 的多個元件可以使用證書來提供安全通信。可以使用自簽名證書，但必須在用戶端上手動安裝它們才能受到信任。用戶端會自動信任受信任的 CA 頒發的證書，但出於兩個原因，將 RDS 配置為使用這些證書並不簡單：

• RDS 中沒有用於創建證書簽名請求 （CSR） 的集成機制。
• 從 CA 接收的證書必須綁定到其私鑰，RDS 才能使用它。

本文介紹如何生成 CSR、使用頒發的證書完成 CSR，以及配置 RDS 以使用證書。

產生 CSR 並提交給 CA。

1. 從伺服器 管理員的工具功能表 啟動網際網路資訊服務 （IIS） 管理員。
2. 在左窗格中選取伺服器，然後按兩下中間窗格中 的伺服器憑證 。
3. 在「動作」功能表中，選取 建立憑證申請。
   圖 1：按一下 建立憑證申請 以開始建立 CSR 的程序。
4. 向 CSR 精靈提供要求的資訊。
5. 指定 CSR 的檔案名稱和路徑，然後按一下 完成。
   
   圖 2：指定證書請求的檔名和路徑。
6. 將 CSR 提交給 CA。無法在此處記錄執行此操作的過程，因為它取決於 CA。

下載憑證，完成 CSR，然後匯出。

1. 下載 CA 針對 CSR 核發的憑證。
2. 啟動 IIS 管理員並返回 到「伺服器證書 」 部分。
3. 按一下 完成憑證申請。
   圖 3：按一下 完成憑證申請 ，使用 CA 簽發的憑證完成 CSR。
4. 提供證書的路徑和檔名、其友好名稱以及應存儲證書的證書存儲。友好名稱可以是所需的任何名稱，並且首選個人存儲。按一下確定。這會將憑證與與 CSR 一起建立的私密金鑰相關聯。
   
   圖 4：指定證書的路徑、其友好名稱和證書存儲。
5. 連按兩下憑證。確認是否存在對應的私人金鑰，然後按一下 確定。
   
   圖 5：憑證的屬性，指示其私鑰的存在
6. 選取憑證後，按一下 匯出。
   圖 6：按 一下匯出 以匯出憑證及其私密金鑰。 
7. 提供匯出憑證的檔案名稱和路徑。指定密碼並確認 ，然後按一下確定。
   
   圖 7：提供匯出憑證的檔案名稱、路徑和密碼。

配置 RDS 以使用證書。

1. 在伺服器管理員的 “遠端桌面服務 ”部分，選擇“編輯部署屬性”。
   
   圖 8：按兩下 編輯部署屬性 以配置 RDS 中的證書用法。
2. 在屬性視窗中，選擇 “證書”。
3. 為每個角色服務執行以下步驟：
   1. 選擇角色服務，然後按下 「選擇現有證書」。
      
      圖 9：單擊「 選擇現有證書 」為每個角色服務指定證書。  
   2. 選取 選擇其他憑證 ，提供匯出憑證的路徑及其密碼。選擇 「允許將證書添加到目標計算機上的受信任的根證書頒發機構證書存儲」。
      
      圖 10：指定要使用的證書的路徑和密碼，然後選中允許 證書... 框。
   3. 按一下確定。
   4. 按一下套用。
4. 確認「級別」列顯示每個角色服務的 受信任 狀態，然後按兩下 確定。
   
   圖 11：現在，所有 RDS 角色服務使用的證書都是受信任的。