工作組環(huán)境配置RDS證書(shū)

使 用RDS（Remote Desktop Service，遠(yuǎn)程桌面服務(wù)）服務(wù)，可以實(shí)現(xiàn)最基本的遠(yuǎn)程控制操作，讓網(wǎng)管員可以輕松實(shí)現(xiàn)遠(yuǎn)控操作。RDS可以為每個(gè)遠(yuǎn)控用戶(hù)提供獨(dú)立的操作進(jìn)。實(shí)際上，在Windows Server 2012中，RDS服務(wù)屬于微軟桌面虛擬化的基礎(chǔ)技術(shù)，并由此實(shí)現(xiàn)了桌面虛擬化和應(yīng)用程序虛擬化，因此，RDS和RemoteAPP以及VDI是存在緊密聯(lián)系的。RDS服務(wù)可以在工作組或者域環(huán)境下運(yùn)作，但是在兩種環(huán)境中，證書(shū)的配置是存在很大不同的。

與RDS服務(wù)相關(guān)的組件

為了更好地使用RDS服務(wù)，這里先簡(jiǎn)單介紹一下RDS服務(wù)的相關(guān)組件。在Windows Server 2012中，RDS服務(wù)是由RD Web訪問(wèn)、RD網(wǎng)關(guān)、RD授權(quán)、RD連接代理、RD虛擬化主機(jī)、RD會(huì)話主機(jī)等組件構(gòu)成，其中的RD會(huì)話主機(jī)指的是承載應(yīng)用程序或者遠(yuǎn)程桌面程序的服務(wù)器，RD連接代理可以記錄客戶(hù)端的連接信息，RD Web訪問(wèn)組件可以提供一個(gè)訪問(wèn)接口，RD網(wǎng)關(guān)其實(shí)是一個(gè)反向代理。

在多臺(tái)RD會(huì)話主機(jī)的場(chǎng)景中，當(dāng)客戶(hù)端訪問(wèn)某臺(tái)RD會(huì)話主機(jī)上的程序時(shí)，如果出現(xiàn)中途異常斷開(kāi)的情況，該用戶(hù)再次連接時(shí)，RD代理服務(wù)器會(huì)從自身的數(shù)據(jù)庫(kù)中查找該用戶(hù)上次的連接信息，將其自動(dòng)導(dǎo)向之前連接的RD會(huì)話主機(jī)。這樣，可以保證該客戶(hù)端可以繼續(xù)操作RemoteAPP程序。在Windows Server 2012中已經(jīng)取消了直接讓客戶(hù)端連接到RD會(huì)話主機(jī)的模式，只允許用戶(hù)通過(guò)RD Web訪問(wèn)這一接口，來(lái)訪問(wèn)RemoteAPP程序或者VDI遠(yuǎn)程桌面。

在默認(rèn)情況下，客戶(hù)端通過(guò)TCP 3389端口來(lái)訪問(wèn)遠(yuǎn)程桌面。存在多臺(tái)會(huì)話主機(jī)的情況下，客戶(hù)端會(huì)先訪問(wèn)RD Web節(jié)后，之后再轉(zhuǎn)向目標(biāo)RD會(huì)話主機(jī)。這就出現(xiàn)了一個(gè)問(wèn)題，即單個(gè)3389端口處理多個(gè)Remote APP程序的映射比較繁瑣。RD網(wǎng)關(guān)的出現(xiàn)，有效解決了該問(wèn)題，當(dāng)客戶(hù)端訪問(wèn)RemoteAPP程序時(shí)。首先連接RD網(wǎng)關(guān)，之后由其引導(dǎo)用戶(hù)連接到合適的RD會(huì)話主機(jī)，讓用戶(hù)順利訪問(wèn)RemoteAPP程序，并由其處理客戶(hù)端和RD 會(huì)話主機(jī)的映射關(guān)系。當(dāng)然，這會(huì)使用到TCP 443等端口。

工作組環(huán)境中RDS證書(shū)問(wèn)題

在RDS服務(wù)中，證書(shū)是一個(gè)非常重要的對(duì)象。使用證書(shū)有兩個(gè)目的，不僅可以對(duì)用戶(hù)的遠(yuǎn)程登錄進(jìn)行認(rèn)證，而且可以對(duì)數(shù)據(jù)的傳輸進(jìn)行加密。對(duì)于RDS服務(wù)器來(lái)說(shuō)，希望客戶(hù)端執(zhí)行的是安全的連接。在工作組環(huán)境中，即RDS服務(wù)器和客戶(hù)端是獨(dú)立的，當(dāng)客戶(hù)端執(zhí)行“mstsc.exe”程序，輸入RDS服務(wù)器地址，連接完成后，在遠(yuǎn)程桌面連接窗口中會(huì)顯示“無(wú)法驗(yàn)證此遠(yuǎn)程計(jì)算機(jī)的身份，是否仍要連接？”的提示，說(shuō)明證書(shū)來(lái)自不信任的證書(shū)驗(yàn)證機(jī)構(gòu)。

以上情況說(shuō)明，RDS服務(wù)器會(huì)創(chuàng)建自簽名證書(shū)，但自簽名證書(shū)默認(rèn)是不受信任的，即在工作組環(huán)境中，證書(shū)的安全實(shí)際上沒(méi)有得到有效保證。但在域環(huán)境中情況則截然不同。例如，在域環(huán)境中，當(dāng)客戶(hù)端登錄RDS服務(wù)器時(shí)，卻不會(huì)出現(xiàn)無(wú)法驗(yàn)證連接者身份的警告窗口，在遠(yuǎn)程桌面窗口頂部點(diǎn)擊鎖型按鈕，在彈出窗口中顯示“已使用Kerberos驗(yàn)證遠(yuǎn)程計(jì)算機(jī)的身份”信息。Kerberos是Windows活動(dòng)目錄架構(gòu)中用于身份驗(yàn)證的加密協(xié)議，這說(shuō)明該RDS連接是安全的。

申請(qǐng)所需證書(shū)

如何在工作組環(huán)境中也能實(shí)現(xiàn)安全連接呢？在域中某服務(wù)器（例如名為“CAsrv“”）上打開(kāi)服務(wù)器管理器，點(diǎn)擊“添加角色和功能”項(xiàng)，在向?qū)Ы缑嬷械慕巧斜碇羞x擇“Active Directory證書(shū)服務(wù)”項(xiàng)，在下一步窗口中選擇“證書(shū)頒發(fā)機(jī)構(gòu)”和“證書(shū)頒發(fā)機(jī)構(gòu)Web注冊(cè)”項(xiàng)，當(dāng)安裝該角色后，按照向?qū)崾具M(jìn)行AD證書(shū)服務(wù)的配置操作，例如，修改CA的公用名稱(chēng)等，一般來(lái)說(shuō)采取默認(rèn)值即可。打開(kāi)證書(shū)頒發(fā)機(jī)構(gòu)窗口，在左側(cè)選擇CA公用名稱(chēng)，在其屬性窗口中的“擴(kuò)展”面板中選擇以“https：//”起始的一行，選擇“包括在CRL中?？蛻?hù)端用它來(lái)尋找增量的位置”，“包含在頒發(fā)的證書(shū)的CDP擴(kuò)展中”，“包含在已發(fā)布的CRL的IDP擴(kuò)展中”項(xiàng)，點(diǎn)擊應(yīng)用按鈕，重啟AD證書(shū)服務(wù)。

在左側(cè)的“吊銷(xiāo)的證書(shū)”項(xiàng)的右鍵菜單上點(diǎn)擊“所有任務(wù)→吊銷(xiāo)發(fā)布”項(xiàng)，點(diǎn)擊確定按鈕。在RDS服務(wù)器上打開(kāi)瀏覽器，訪問(wèn)“http：//CAsrv.xxx.com/certsrv”，輸入合適的域賬戶(hù)名和密碼，在歡迎頁(yè)面中點(diǎn)擊“下載CA證書(shū)，證書(shū)鏈或CRL”鏈接，在打開(kāi)頁(yè)面中點(diǎn)擊“下載證書(shū)鏈”鏈接，將后綴為“.p7b”的文件保存到本地，假設(shè)為名“xinren.p7b”，這是一張信任證書(shū)。

信任根證書(shū)頒發(fā)機(jī)構(gòu)

打開(kāi)MMC控制臺(tái)，點(diǎn)擊“Ctrl+M”鍵，在打開(kāi)窗口左側(cè)選擇“證書(shū)”項(xiàng)，點(diǎn)擊添加按鈕，選擇“計(jì)算機(jī)賬戶(hù)”項(xiàng)，在控制臺(tái)左側(cè)選擇“證書(shū)→受信任的證書(shū)頒發(fā)機(jī)構(gòu)→證書(shū)”項(xiàng)，在右鍵菜單上點(diǎn)擊“所有任務(wù)→導(dǎo)入”項(xiàng)，在向?qū)Ы缑嬷羞x擇上述“xinren.p7b”文件，依次點(diǎn)擊“下一步”和“完成”按鈕，將其添加到收信人的根證書(shū)頒發(fā)機(jī)構(gòu)列表中。在客戶(hù)端執(zhí)行同樣的操作，使其信任根證書(shū)頒發(fā)機(jī)構(gòu)。當(dāng)信任了證書(shū)頒發(fā)機(jī)構(gòu)后，接下來(lái)需要申請(qǐng)證書(shū)。

在RDS服務(wù)器安裝好IIS之后，在IIS管理器中打開(kāi)服務(wù)器證書(shū)窗口，因?yàn)槭窃诠ぷ鹘M環(huán)境中申請(qǐng)證書(shū)，所以點(diǎn)擊“創(chuàng)建證書(shū)申請(qǐng)”鏈接，在操作向?qū)Вㄈ鐖D1）中輸入證書(shū)的通用名稱(chēng)（輸入 RDS主機(jī)名）、組織、組織單元、城市/地點(diǎn)、省/市/自治區(qū)、國(guó)家/地區(qū)等信息，點(diǎn)擊“下一步”按鈕，選擇加密服務(wù)提供程序和位長(zhǎng)信息，一般來(lái)說(shuō)保持默認(rèn)即可。在下一步窗口中點(diǎn)擊瀏覽按鈕，選擇申請(qǐng)文件保存路徑，點(diǎn)擊“完成”按鈕，就得到了所需的申請(qǐng)文件。這其實(shí)是一個(gè)文本文件，使用記事本可以查看其內(nèi)容，并將其內(nèi)容完整復(fù)制到剪切板中。

創(chuàng)建證書(shū)操作

之后打開(kāi)瀏覽器，訪問(wèn)“http：//CAsrv.xxx.com/certsrv”，在彈出頁(yè)面中點(diǎn)擊“申請(qǐng)證書(shū)”鏈接，之后點(diǎn)擊“高級(jí)證書(shū)申請(qǐng)”鏈接，在打開(kāi)頁(yè)面中點(diǎn)擊“使用Base64編碼的CMC或PKCS#10文件提交 一個(gè)證書(shū)，或使用Base64編碼的PKCS#7續(xù)訂證書(shū)申請(qǐng)”鏈接，在打開(kāi)頁(yè)面中的“保存的申請(qǐng)”欄中粘貼申請(qǐng)文件內(nèi)容，在“證書(shū)模板”列表中選擇“Web服務(wù)器”。點(diǎn)擊“提交”按鈕，在證書(shū)已頒發(fā)頁(yè)面中點(diǎn)擊“下載證書(shū)”鏈接，將證書(shū)文件下載到本地。之后，在IIS管理器中的“服務(wù)器證書(shū)”窗口右側(cè)點(diǎn)擊“完成證書(shū)申請(qǐng)”鏈接，在彈出窗口中的“包含證書(shū)頒發(fā)機(jī)構(gòu)相應(yīng)的文件名”欄點(diǎn)擊“瀏覽”按鈕，選擇上述證書(shū)文件，設(shè)置易于記憶的名稱(chēng)，選擇證書(shū)存儲(chǔ)位置，點(diǎn)擊“確定”按鈕，就完成了該證書(shū)的創(chuàng)建操作。

圖1 申請(qǐng)證書(shū)

圖2 查看證書(shū)的指紋信息

對(duì)證書(shū)進(jìn)行綁定

如何將該證書(shū)綁定到RDS服務(wù)上呢？這需要使用命令行實(shí)現(xiàn)。打開(kāi)申請(qǐng)到的證書(shū)的屬性窗口，在“詳細(xì)信息”面板（如圖2）中點(diǎn)擊“指紋”項(xiàng)，可以看到指紋信息。在CMD窗口中執(zhí)行“wmic /namespace：\rootcimv2TerminalServices PATH Win32_TSGeneralSetting Set SSLCertificateSHA1Hash="xxxxxxxxx"”命令，當(dāng)出現(xiàn)“屬性更細(xì)成功”的提示，說(shuō)明完成證書(shū)的綁定操作。其中的“xxxxxxxxx”表示證書(shū)的指紋信息。這樣，在工作組環(huán)境中，當(dāng)客戶(hù)端連接RDS服務(wù)器時(shí)，就可以利用該證書(shū)實(shí)現(xiàn)安全連接了。

客戶(hù)端需要使用RDS服務(wù)器名進(jìn)行連接，才可以依靠證書(shū)實(shí)現(xiàn)安全連接。可以在客戶(hù)端打開(kāi)“C：WindowsSystem32DriversEtc”目錄，編輯其中的“hosts”文件，在其中添加RDS名稱(chēng)和IP對(duì)應(yīng)關(guān)系，實(shí)現(xiàn)簡(jiǎn)單的DNS解析功能，就可以使用RDS名稱(chēng)連接RDS服務(wù)器了。但是，如果使用RDS服務(wù)器的IP進(jìn)行連接，就會(huì)出現(xiàn)上述無(wú)法信任的問(wèn)題。因?yàn)樽C書(shū)是和RDS主機(jī)名綁定的，這是證書(shū)的特點(diǎn)之一。應(yīng)該說(shuō)同域環(huán)境相比，在工作組中環(huán)境中配置和管理證書(shū)是比較繁瑣的。