從Windows Server 2003 SP1開(kāi)始，客戶端便可以通過(guò)服務(wù)器身份驗(yàn)證安全套接字層（SSL）證書(shū)連接到遠(yuǎn)程桌面服務(wù)器。要實(shí)現(xiàn)這一功能，只需管理員使用和配置服務(wù)器操作系統(tǒng)的“遠(yuǎn)程桌面會(huì)話主機(jī)” 配置工具即可。盡管Windows Vista和Windows 7這樣的客戶端操作系統(tǒng)并無(wú)這樣的管理工具可用，但服務(wù)器仍可以向它們頒發(fā)遠(yuǎn)程桌面連接證書(shū)。要通過(guò)證書(shū)來(lái)實(shí)現(xiàn)安全的遠(yuǎn)程桌面連接連接有兩種常用配置方法。第一種方法使用組策略和證書(shū)模板來(lái)進(jìn)行配置；第二種方法則是使用WMI腳本來(lái)進(jìn)行配置。

 第一種方法：使用組策略和證書(shū)模板

此種方式允許管理員為域中的多臺(tái)計(jì)算機(jī)安裝遠(yuǎn)程桌面證書(shū)，前提是域中必須有正常工作的公鑰基礎(chǔ)結(jié)構(gòu)（PKI）。

首先，管理員需要?jiǎng)?chuàng)建一個(gè)遠(yuǎn)程桌面證書(shū)模板。

創(chuàng)建遠(yuǎn)程桌面證書(shū)模板：

在企業(yè)證書(shū)頒發(fā)機(jī)構(gòu)中找到“證書(shū)模板”。 找到并右鍵單擊“計(jì)算機(jī)”模板，選擇“復(fù)制模板”。 在彈出的對(duì)話框中選擇“Windows Server 2008 Enterprise”模板類(lèi)型。

此時(shí)會(huì)彈出一個(gè)新模板的“屬性”對(duì)話框。 我們?cè)?ldquo;常規(guī)”選項(xiàng)卡中將“模板顯示名稱(chēng)”和“模板名稱(chēng)”改為“RemoteDesktopComputer”以方便今后識(shí)別和使用。注意：此處的模板顯示名稱(chēng)和模板名稱(chēng)必須相同。 再到“擴(kuò)展”選項(xiàng)卡中選擇“應(yīng)用程序策略”并點(diǎn)擊“編輯”按鈕。 此時(shí)會(huì)出現(xiàn)一個(gè)“編輯應(yīng)用程序策略擴(kuò)展”對(duì)話框。

要?jiǎng)?chuàng)建“遠(yuǎn)程桌面身份認(rèn)證”策略必須先刪除“客戶端身份驗(yàn)證”和“服務(wù)器身份驗(yàn)證”策略，然后再點(diǎn)擊“添加”。 此時(shí)會(huì)出現(xiàn)一個(gè)“添加應(yīng)用程序策略擴(kuò)展”對(duì)話框。我們?cè)趯?duì)話框中單擊“新建”。

此時(shí)會(huì)出現(xiàn)一個(gè)“新建程序策略擴(kuò)展”對(duì)話框。我們?cè)?ldquo;名稱(chēng)”中輸入“Remote Desktop Authentication”，再在“對(duì)象標(biāo)識(shí)符”中輸入“1.3.6.1.4.1.311.54.1.2”并單擊“確定”。

在“添加應(yīng)用程序策略”對(duì)話框中選中“Remote Desktop Authentication”點(diǎn)擊“確定”。 現(xiàn)在“編輯應(yīng)用程序策略擴(kuò)展”對(duì)話框顯示如下：

再通過(guò)點(diǎn)擊2次確定后，就回到新模板的“屬性”對(duì)話框了。此時(shí)，新模板的準(zhǔn)備工作已經(jīng)完成。

下一步驟就是發(fā)布模板。

發(fā)布“RemoteDesktopComputer”證書(shū)模板：

在企業(yè)根證書(shū)頒發(fā)機(jī)構(gòu)中找到“證書(shū)模板”。 在“證書(shū)模板”上右鍵單擊并選擇“新建”—“要頒發(fā)的證書(shū)模板”。 此時(shí)會(huì)彈出一個(gè)“啟用證書(shū)模板”對(duì)話框。我們找到并選擇“RemoteDesktopComputer”，然后單擊確定。 　　現(xiàn)在“RemoteDesktopComputer”模板已經(jīng)發(fā)布并可以用于證書(shū)請(qǐng)求。

最后一步，我們需要使用組策略將“RemoteDesktopComputer”模板配置為遠(yuǎn)程桌面身份驗(yàn)證的基本證書(shū)。

配置組策略

在域控制器上打開(kāi)“組策略管理”工具，右鍵單擊“默認(rèn)域策略”并點(diǎn)擊“編輯”。此時(shí)會(huì)彈出“組策略管理編輯器”（注意：策略可以應(yīng)用到域中的所有計(jì)算機(jī)，管理員也可以根據(jù)需要將其應(yīng)用到所需的OU） 導(dǎo)航至“計(jì)算機(jī)配置—策略—管理模板—Windows 組件—遠(yuǎn)程桌面服務(wù)—遠(yuǎn)程桌面會(huì)話主機(jī)—安全。” 雙擊“服務(wù)器身份驗(yàn)證證書(shū)模板”策略 啟用策略，并在“證書(shū)模板名稱(chēng)”中輸入“RemoteDesktopComputer”并點(diǎn)擊確定。

當(dāng)此策略應(yīng)用到域中的所有計(jì)算機(jī)后，所有啟用遠(yuǎn)程桌面連接的計(jì)算機(jī)都將到證書(shū)頒發(fā)機(jī)構(gòu)服務(wù)器去請(qǐng)求基于“RemoteDesktopComputer”模板的證書(shū)，并用證書(shū)對(duì)遠(yuǎn)程桌面客戶端進(jìn)行驗(yàn)證。（管理員可通過(guò)gpupdate /force命令在客戶端上強(qiáng)制刷新以獲取到組策略的更新） #p#

第二種方法：使用WMI腳本

此方法允許管理員直接使用遠(yuǎn)程桌面連接的服務(wù)器證書(shū)，但管理員需要提前手動(dòng)對(duì)證書(shū)進(jìn)行安裝。這種方法通常用于：使用企業(yè)向Internet公共證書(shū)頒發(fā)機(jī)構(gòu)購(gòu)買(mǎi)的證書(shū)。

首先需要檢查我們已有的證書(shū)是否符合遠(yuǎn)程桌面證書(shū)的要求。不符合這些要求的證書(shū)將不能正常工作，并將被服務(wù)器忽略。

遠(yuǎn)程桌面證書(shū)的基本要求：

證書(shū)必須安裝到計(jì)算機(jī)的“個(gè)人”證書(shū)存儲(chǔ)區(qū)域中 必須擁有證書(shū)的私鑰 證書(shū)的“增強(qiáng)型密鑰用法”擴(kuò)展中應(yīng)有“服務(wù)器身份驗(yàn)證”或“遠(yuǎn)程桌面身份驗(yàn)證”（1.3.6.1.4.1.311.54.1.2）。

為了正常使用，我們首先要獲取到遠(yuǎn)程桌面連接證書(shū)的指紋。 　　

獲取證書(shū)的指紋：

雙擊已有的證書(shū) 單擊“詳細(xì)信息”標(biāo)簽 在列表中選擇“指紋”

將指紋值復(fù)制到記事本當(dāng)中 刪除數(shù)字之間的所有空格

如上圖示例，我們獲取到的指紋應(yīng)該是： 3d710cecbb29d5dfcb61a6157cefd746b7b04b74

注意：當(dāng)我們獲取到證書(shū)指紋之后，才能通過(guò)腳本將證書(shū)應(yīng)用于遠(yuǎn)程桌面連接。.
配置遠(yuǎn)程桌面證書(shū)的WMI腳本：

/* ==============================================================
JScript Source File 
NAME: ConfigRemoteDesktop.js
AUTHOR: Billy Fu
DATE  : 2010/8/2
==================================================================*/
var strComputer = ".";
var strNamespace = "\\root\\CIMV2\\TerminalServices";
var wbemChangeFlagUpdateOnly = 1;
var wbemAuthenticationLevelPktPrivacy = 6;
var Locator = new ActiveXObject("WbemScripting.SWbemLocator");
Locator.Security_.AuthenticationLevel = wbemAuthenticationLevelPktPrivacy;
var Service = Locator.ConnectServer (strComputer, strNamespace);
var TSSettings = Service.Get("Win32_TSGeneralSetting.TerminalName=\"RDP-Tcp\"");
if (WScript.Arguments.length >= 1 )
{
    TSSettings.SSLCertificateSHA1Hash = WScript.Arguments(0);
}
else
{
     TSSettings.SSLCertificateSHA1Hash = "0000000000000000000000000000000000000000";
}
TSSettings.Put_(wbemChangeFlagUpdateOnly);

將以上腳本內(nèi)容復(fù)制到 “ConfigRemoteDesktop.js”文件當(dāng)中，并以管理員方式啟動(dòng)命令提示符號(hào)（Cmd.exe.），再通過(guò)“cscript ConfigRemoteDesktop.js <證書(shū)指紋>”命令來(lái)將證書(shū)應(yīng)用到遠(yuǎn)程桌面連接。

（注意：執(zhí)行此腳本不加任何參數(shù)時(shí)將自動(dòng)還原到遠(yuǎn)程桌面的自簽名證書(shū)）

【編輯推薦】

1. Windows 2008 R2中的NAP新功能詳解
2. Windows 2008 R2桌面圖標(biāo)巧更改
3. 巧用PowerShell管理Win Server 2008 R2
4. Server 2008 R2 SP1的RemoteFX功能實(shí)驗(yàn)手記
5. Windows Server 2008 R2熱門(mén)功能：活動(dòng)目錄最受青睞