創(chuàng)建終端服務網關證書

建立服務器證書模板

在為終端服務網關（TS GW）服務器安裝專用的計算器證書之前，我們必須先建立一個它專用的證書模板。首先登錄證書服務器，開啟“系統(tǒng)管理工具”下拉選單中的“證書授權單位”管理接口，展開至“證書模板”項目節(jié)點，點擊鼠標右鍵，選擇“管理”繼續(xù)。

注意：想要產生終端服務網關專用的主機證書，所使用的Windows Server 2003或Windows Server 2008的CA證書服務器操作系統(tǒng)必須是企業(yè)版才可以。

接著，將會開啟“證書模板控制臺”管理界面，在眾多的證書模板項目中找到“IPSec（脫機要求）”項目，并且按下鼠標右鍵，選擇“復制范本”繼續(xù)。接下來您必須設置一個惟一的模板顯示名稱，接著可以自行定義證書的有效期（最多999年），以及更新的間隔時間。然后切換到“處理要求”頁面，勾選“允許導出私鑰“選項，點擊右下角的“CSP”按鈕繼續(xù)。

在“CSP選取”頁面中，在選取“要求必須是以下其中一個CSP”之后，勾選下方CSP清單中的“Microsoft Enhanced RSA and ASE Cryptographic”，點擊“確定”繼續(xù)。切換到“延伸”頁面中，在選取“應用程序政策”項目之后，按下鼠標右鍵，點擊“編輯”繼續(xù)。

接下來會開啟“編輯應用程序政策延伸”頁面，先將默認的“IP安全性IKE中繼”刪除之后，再分別將“客戶端驗證”與“服務器驗證”加入，點選“確定”繼續(xù)。隨后，切換到“安全性”頁面中，在“群組或用戶名稱”清單中選取“Authentication Users”項目，然后將下方權限清單中的允許“注冊”勾選，點選“確定”完成設置。

再次回到“證書授權單位”管理界面，點選“證書模板”項目后，按下鼠標右鍵，點選“新增”下拉選單中的“要發(fā)出的證書范本”繼續(xù)。

在“啟用證書模板”頁面中，可以看見我們在前面所建立的“終端服務網關（TS GW）Server”證書范本，請在選取之后點擊“確定”。在“證書模板”的項目節(jié)點上，便可以看到前面新增進來的“終端服務網關（TS GW）Server”證書范本。

申請與安裝終端服務網關（TS GW）服務器證書

完成了自定義的終端服務網關 （TS GW）Server 證書模板的建立之后，接下來當然要從證書授權單位的主機上，來申請與安裝此計算機證書在終端服務網關（TS GW）主機本地計算機中。首先在終端服務網關（TS GW）主機的IE瀏覽器中連接登錄證書授權單位的網站（例如 ：https：//caserver/certsrv），選擇“要求證書“連接繼續(xù)。接著在“要求證書”連接頁面中，選擇“進階證書要求”連接繼續(xù)。

接著在“進階證書要求”頁面中，選擇“向這個CA建立并提交一個要求”連接繼續(xù)。接著將會來到如圖2所示的“進階證書要求”頁面，在此首先要在“證書范本”下拉選單中選取“終端服務網關（TS GW）Server”，然后在脫機模板識別信息區(qū)域的第一個字段中，輸入單位終端服務網關（TS GW）網絡給予外部使用者連接的網際網絡FQDN地址（絕對不可以輸入錯誤），接著請在下方的CSP下拉選單中選取“Microsoft Enhanced RSA and AES Cryptographic Provider”，并且將“將密鑰標示成可匯出”設置勾選，最后點擊“送出”按鈕繼續(xù)。

圖2 進階證書要求設置

點擊“送出”按鈕時，將會彈跳“Web存取確認”的警告信息，點擊“是（Y）”繼續(xù)。接著會出現(xiàn)“證書已發(fā)出”頁面，在此點擊“安裝這個證書”連接繼續(xù)。執(zhí)行之后將會再一次出現(xiàn)“Web存取確認”警告頁面，主要是用來讓使用者可以確認來源證書的合法性，點擊“是”按鈕繼續(xù)。完成證書安裝之后，將會出現(xiàn)“證書已安裝”頁面，點擊“關閉”按鈕繼續(xù)。

調整終端服務網證書設置

完成在證書授權單位主機上的終端服務網關（TS GW）Server證書安裝之后，還有一個地方需要做一下調整，那就是將默認安裝在以目前用戶容器中的終端服務網關（TS GW）Server證書，加入到以本地為主的證書容器中才可以正常運行。

首先在終端服務網關（TS GW）服務器上以MMC接口開啟MMC管理接口之后，然后在“新增或移除嵌入式管理單元”頁面中，分別加入兩個“證書”管理項目，請務必記得“目前的使用者”以及“本地計算機”都必須加入才可以。點擊“確定”繼續(xù)。在“證書-目前的使用者→個人→證書”中，可以看到目前所安裝的終端服務網關（TS GW）Server專屬的計算器證書，針對此證書項目點擊鼠標右鍵，選擇“所有工作→匯出”繼續(xù)。

接著將會開啟“證書匯出向導”頁面，整個過程中有些設置要特別注意。首先在“匯出私鑰”頁面中，必須選取“是，導出私鑰”選項，點選“下一步”繼續(xù)。在“匯出文件格式”頁面中，請將“如果可能的話，包含證書路徑中的所有證書”以及“導出所有延伸屬性”項目勾選繼續(xù)。點選“下一步”繼續(xù)。在“密碼”頁面中可以設置用來保護這個證書檔案的密碼，而這個密碼也將在后續(xù)匯入到本地計算機的操作中需要再次輸入。

完成了證書從目前使用者的容器中匯出之后，緊接著需要將此證書檔案匯入本地計算機的證書容器中。在本地計算機的“個人→證書”節(jié)點上，點擊鼠標右鍵，選擇“匯入”，執(zhí)行過程中會出現(xiàn)“匯入檔案”頁面，選擇“瀏覽”按鈕選取前面所導出的證書檔案（擴展名=pfx），點擊“下一步”繼續(xù)。

接著，會出現(xiàn)“密碼”頁面，首先必須先輸入前面證書導出時所設置的密碼，然后把“將這個密鑰設成可匯出，這樣可以在以后備份或傳輸您的密鑰”項目，以及“包含所有延伸屬性”項目勾選，點擊“下一步”繼續(xù)完成證書的匯入作業(yè)即可。在完成了終端網關服務證書的安裝之后，最后必須在“TS網關管理員”接口中將所安裝的證書設置進來即可。