你可以使用证书来保护与远程桌面服务 (RDS) 部署的连接以及 RDS 服务器角色之间的连接。 RDS 使用安全套接字层(SSL)或传输层安全性(TLS)来加密与 RDS Web、连接代理和网关角色服务的连接。
证书可阻止中间人攻击,在这些攻击中,不良行为者通过验证向客户端发送信息的服务器是否真实,来截获远程桌面协议 (RDP) 服务器与客户端之间的流量,以窃取机密信息或拒绝访问凭据。 设置此信任关系后,客户端会认为连接安全,并且可以接受往返于服务器的数据。
Prerequisites
在 RDS 中使用证书需要满足以下条件:
用于配置 RDS 角色的计算机。 有关详细信息,请参阅安装或卸载角色、角色服务或功能。
具有管理员权限或等效于一个或多个 RDS 服务器的帐户。
一个满足以下要求的服务器证书:
为服务器身份验证 (EKU 1.3.6.1.5.5.7.3.1) 而颁发。
为使用增强型密钥 (OID 2.5.29.37) 而颁发。
为使用密钥 (OID 2.5.29.15) 而颁发。
由一个或多个 RDS 服务器和客户端信任的证书颁发机构颁发。
使用可导出的私钥颁发。
采用 .pfx 格式的相应私钥导出证书。 若要详细了解如何导出私钥,请参阅导出证书及其私钥。
Note
如果要使用 Active Directory 证书服务 (AD CS) 颁发证书,那么你还可以创建证书模板或复制 Web 服务器证书模板。 若要详细了解如何创建证书模板,请参阅创建新证书模板。
将远程桌面配置为使用证书
创建证书并了解其内容后,你必须将远程桌面配置为使用这些证书。
若要将远程桌面配置为使用特定证书,请执行以下操作:
GUI
PowerShell
在 服务器管理器的左窗格中,选择 远程桌面服务。
在“ 概述 ”选项卡上的 “部署概述”下,选择“ 任务”,然后选择“ 编辑部署属性”。
在配置部署窗口中,选择证书。
选择选择现有证书,选择浏览,找到 .pfx 格式的证书文件,然后选择打开。
在 “密码 ”字段中,输入所创建的证书的密码,然后选择“ 确定”。
选择允许向目标计算机上受信任的根证书颁发机构证书存储中添加证书复选框,然后选择确定。
选择 “确定 ”以完成部署。
Note
即使部署中有多个服务器,服务器管理器也会将证书导入到所有服务器。 服务器管理器将证书放在每个服务器的受信任根目录中,然后将证书绑定到其各自的角色。
登录到安装了 RDS 远程服务器管理工具 (RSAT) 并具有您想要配置的 RD 角色的计算机。
打开提升的 PowerShell 会话。
为计划用于会话的 RD 证书运行以下脚本,其中会提示输入导出证书的密码和位置。 将
$password = Read-Host -AsSecureString -Prompt "Enter Password"
$parameters = @{
Role = "RDWebAccess"
Password = $password
ImportPath = "PathToPFXFile"
}
Set-RDCertificate @parameters
若要基于特定的 -Role 类型设置证书,请参阅 Set-RDCertificate。
若要查看所有配置的 RDS 证书,请运行以下命令:
Get-RDCertificate
你可能希望将 RDS 会话主机的证书与你在服务器管理器中配置的证书一起使用。 有关 RDS 会话主机证书的详细信息,请参阅远程桌面侦听器证书配置。
相关内容
远程桌面服务 - 使用 UPD 保护数据存储
远程桌面服务 - 多重身份验证