Windows Server:如何将受信任的证书用于远程桌面服务

Summary: 本文介绍如何将远程桌面服务 (RDS) 配置为使用来自第三方证书颁发机构 (CA) 的受信任证书。

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

RDS 的多个组件可以使用证书来提供安全通信。可以使用自签名证书,但必须在客户端上手动安装这些证书才能获得信任。受信任的 CA 颁发的证书会自动受到客户端的信任,但配置 RDS 以使用这些证书并不简单,原因有二:

  • RDS 中没有用于创建证书签名请求 (CSR) 的集成机制。
  • 从 CA 收到的证书必须绑定到其私钥,然后 RDS 才能使用它。

本文介绍如何生成 CSR、使用颁发的证书完成 CSR 以及配置 RDS 以使用证书。

生成 CSR 并将其提交给 CA。

提醒:在以下步骤中,Internet Information Services (IIS) 管理器用于生成和完成 CSR。大多数 RDS 部署都至少在一台服务器上安装了 IIS 组件,供远程桌面 Web 访问使用。IIS 管理器提供了用于执行这些步骤的图形界面,但还有其他方法可以执行这些步骤,例如 certreq 命令,将存储在节点日志中的数据写入移动到文件系统。
  1. 从服务器管理器的 “工具 ”菜单启动 Internet Information Services (IIS) 管理器。
  2. 在左侧窗格中选择服务器,然后双击中间窗格中的 服务器证书
  3. 在作菜单中,选择 创建证书请求
    IIS 管理器中的服务器证书屏幕截图,突出显示了“创建证书请求”链接图 1:单击 Create Certificate Request 以开始创建 CSR 的过程。
  4. 向 CSR 向导提供请求的信息。
  5. 指定 CSR 的文件名和路径,然后单击 完成
    提示输入 CSR 文件名和路径的对话框
    图 2:指定证书请求的文件名和路径。
  6. 将 CSR 提交给 CA。此处无法记录执行此作的过程,因为它取决于 CA。

 

下载证书,填写 CSR,然后将其导出。

提醒:CA 颁发的证书可能具有 .cer.crt 扩展名,但 RDS 需要 .pfx 文件中的命名冲突。要将颁发的证书转换为 .pfx 文件,通过以下步骤将其绑定到其私钥。此处再次使用 IIS 管理器来执行这些步骤,但还有其他方法。
  1. 下载由 CA 颁发以响应 CSR 的证书。
  2. 启动 IIS 管理器并返回到 Server Certificates 部分。
  3. 单击 Complete Certificate Request
    IIS 管理器中的服务器证书屏幕截图,突出显示了“完成证书请求”链接图 3:单击 Complete Certificate Request 以使用 CA 颁发的证书完成 CSR。
  4. 提供证书的路径和文件名、其友好名称以及应存储证书的证书存储区。友好名称可以是所需的任何名称,并且首选个人商店。单击 OK。这会将证书与与 CSR 一起创建的私钥相关联。
    请求 CA 颁发的证书的路径、其易于识别的名称以及将包含该证书的证书存储的对话框
    图 4:指定证书的路径、其友好名称和证书存储。
  5. 双击证书。确认存在相应的私钥,然后单击 OK。
    证书的属性,表明存在相应的私钥
    图 5:证书的属性,指示是否存在其私钥
  6. 选择证书后,单击 导出
    IIS 管理器中的服务器证书的屏幕截图,突出显示了“导出”链接图 6:单击 导出 以导出证书及其私钥。 
  7. 为导出的证书提供文件名和路径。指定密码并确认,然后单击 OK。
    提示输入导出证书的文件名、路径和密码的对话框
    图 7:提供导出的证书的文件名、路径和密码。

 

配置 RDS 以使用证书。

  1. 在“服务器管理器”的“ 远程桌面服务” 部分中,选择“编辑部署属性”。
    服务器管理器中的远程桌面服务的屏幕截图,显示“编辑部署属性”链接
    图 8:单击 Edit Deployment Properties 以在 RDS 中配置证书使用。
  2. 在属性窗口中,选择 证书
  3. 针对每个角色服务执行以下步骤:
    1. 选择角色服务,然后单击 Select existing certificate
      RDS 部署属性窗口的“证书”部分的屏幕截图,突出显示了“选择现有证书”按钮
      图 9:单击 Select existing certificate 以为每个角色服务指定证书。  
    2. 在选择 其他证书 的情况下,提供导出证书的路径及其密码。选择 “允许将证书添加到目标计算机上的受信任根证书颁发机构证书存储中”。
      提示输入要使用的证书的路径和密码的对话框
      图 10:指定所用证书的路径和密码,然后选中 允许证书... 框。
    3. 单击 OK
    4. 单击 Apply
  4. 确认 Level 列对每个角色服务显示 Trusted 状态,然后单击 OK。
    RDS 部署属性窗口的“证书”部分的屏幕截图,显示所有证书都是受信任的
    图 11:现在,所有 RDS 角色服务使用的证书都是可信的。

Affected Products

Microsoft Windows Server 2016, Microsoft Windows Server 2019, Microsoft Windows Server 2022, Microsoft Windows Server 2025
Article Properties
Article Number: 000273687
Article Type: How To
Last Modified: 28 May 2025
Version:  4
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.