• 
    

    
    

      99热精品在线国产_美女午夜性视频免费_国产精品国产高清国产av_av欧美777_自拍偷自拍亚洲精品老妇_亚洲熟女精品中文字幕_www日本黄色视频网_国产精品野战在线观看 ?

      工作組環(huán)境配置RDS證書(shū)

      2017-11-08 10:39:10
      網(wǎng)絡(luò)安全和信息化 2017年12期
      關(guān)鍵詞:遠(yuǎn)程桌面工作組頁(yè)面

      使 用RDS(Remote Desktop Service,遠(yuǎn)程桌面服務(wù))服務(wù),可以實(shí)現(xiàn)最基本的遠(yuǎn)程控制操作,讓網(wǎng)管員可以輕松實(shí)現(xiàn)遠(yuǎn)控操作。RDS可以為每個(gè)遠(yuǎn)控用戶(hù)提供獨(dú)立的操作進(jìn)。實(shí)際上,在Windows Server 2012中,RDS服務(wù)屬于微軟桌面虛擬化的基礎(chǔ)技術(shù),并由此實(shí)現(xiàn)了桌面虛擬化和應(yīng)用程序虛擬化,因此,RDS和RemoteAPP以及VDI是存在緊密聯(lián)系的。RDS服務(wù)可以在工作組或者域環(huán)境下運(yùn)作,但是在兩種環(huán)境中,證書(shū)的配置是存在很大不同的。

      與RDS服務(wù)相關(guān)的組件

      為了更好地使用RDS服務(wù),這里先簡(jiǎn)單介紹一下RDS服務(wù)的相關(guān)組件。在Windows Server 2012中,RDS服務(wù)是由RD Web訪問(wèn)、RD網(wǎng)關(guān)、RD授權(quán)、RD連接代理、RD虛擬化主機(jī)、RD會(huì)話主機(jī)等組件構(gòu)成,其中的RD會(huì)話主機(jī)指的是承載應(yīng)用程序或者遠(yuǎn)程桌面程序的服務(wù)器,RD連接代理可以記錄客戶(hù)端的連接信息,RD Web訪問(wèn)組件可以提供一個(gè)訪問(wèn)接口,RD網(wǎng)關(guān)其實(shí)是一個(gè)反向代理。

      在多臺(tái)RD會(huì)話主機(jī)的場(chǎng)景中,當(dāng)客戶(hù)端訪問(wèn)某臺(tái)RD會(huì)話主機(jī)上的程序時(shí),如果出現(xiàn)中途異常斷開(kāi)的情況,該用戶(hù)再次連接時(shí),RD代理服務(wù)器會(huì)從自身的數(shù)據(jù)庫(kù)中查找該用戶(hù)上次的連接信息,將其自動(dòng)導(dǎo)向之前連接的RD會(huì)話主機(jī)。這樣,可以保證該客戶(hù)端可以繼續(xù)操作RemoteAPP程序。在Windows Server 2012中已經(jīng)取消了直接讓客戶(hù)端連接到RD會(huì)話主機(jī)的模式,只允許用戶(hù)通過(guò)RD Web訪問(wèn)這一接口,來(lái)訪問(wèn)RemoteAPP程序或者VDI遠(yuǎn)程桌面。

      在默認(rèn)情況下,客戶(hù)端通過(guò)TCP 3389端口來(lái)訪問(wèn)遠(yuǎn)程桌面。存在多臺(tái)會(huì)話主機(jī)的情況下,客戶(hù)端會(huì)先訪問(wèn)RD Web節(jié)后,之后再轉(zhuǎn)向目標(biāo)RD會(huì)話主機(jī)。這就出現(xiàn)了一個(gè)問(wèn)題,即單個(gè)3389端口處理多個(gè)Remote APP程序的映射比較繁瑣。RD網(wǎng)關(guān)的出現(xiàn),有效解決了該問(wèn)題,當(dāng)客戶(hù)端訪問(wèn)RemoteAPP程序時(shí)。首先連接RD網(wǎng)關(guān),之后由其引導(dǎo)用戶(hù)連接到合適的RD會(huì)話主機(jī),讓用戶(hù)順利訪問(wèn)RemoteAPP程序,并由其處理客戶(hù)端和RD 會(huì)話主機(jī)的映射關(guān)系。當(dāng)然,這會(huì)使用到TCP 443等端口。

      工作組環(huán)境中RDS證書(shū)問(wèn)題

      在RDS服務(wù)中,證書(shū)是一個(gè)非常重要的對(duì)象。使用證書(shū)有兩個(gè)目的,不僅可以對(duì)用戶(hù)的遠(yuǎn)程登錄進(jìn)行認(rèn)證,而且可以對(duì)數(shù)據(jù)的傳輸進(jìn)行加密。對(duì)于RDS服務(wù)器來(lái)說(shuō),希望客戶(hù)端執(zhí)行的是安全的連接。在工作組環(huán)境中,即RDS服務(wù)器和客戶(hù)端是獨(dú)立的,當(dāng)客戶(hù)端執(zhí)行“mstsc.exe”程序,輸入RDS服務(wù)器地址,連接完成后,在遠(yuǎn)程桌面連接窗口中會(huì)顯示“無(wú)法驗(yàn)證此遠(yuǎn)程計(jì)算機(jī)的身份,是否仍要連接?”的提示,說(shuō)明證書(shū)來(lái)自不信任的證書(shū)驗(yàn)證機(jī)構(gòu)。

      以上情況說(shuō)明,RDS服務(wù)器會(huì)創(chuàng)建自簽名證書(shū),但自簽名證書(shū)默認(rèn)是不受信任的,即在工作組環(huán)境中,證書(shū)的安全實(shí)際上沒(méi)有得到有效保證。但在域環(huán)境中情況則截然不同。例如,在域環(huán)境中,當(dāng)客戶(hù)端登錄RDS服務(wù)器時(shí),卻不會(huì)出現(xiàn)無(wú)法驗(yàn)證連接者身份的警告窗口,在遠(yuǎn)程桌面窗口頂部點(diǎn)擊鎖型按鈕,在彈出窗口中顯示“已使用Kerberos驗(yàn)證遠(yuǎn)程計(jì)算機(jī)的身份”信息。Kerberos是Windows活動(dòng)目錄架構(gòu)中用于身份驗(yàn)證的加密協(xié)議,這說(shuō)明該RDS連接是安全的。

      申請(qǐng)所需證書(shū)

      如何在工作組環(huán)境中也能實(shí)現(xiàn)安全連接呢?在域中某服務(wù)器(例如名為“CAsrv“”)上打開(kāi)服務(wù)器管理器,點(diǎn)擊“添加角色和功能”項(xiàng),在向?qū)Ы缑嬷械慕巧斜碇羞x擇“Active Directory證書(shū)服務(wù)”項(xiàng),在下一步窗口中選擇“證書(shū)頒發(fā)機(jī)構(gòu)”和“證書(shū)頒發(fā)機(jī)構(gòu)Web注冊(cè)”項(xiàng),當(dāng)安裝該角色后,按照向?qū)崾具M(jìn)行AD證書(shū)服務(wù)的配置操作,例如,修改CA的公用名稱(chēng)等,一般來(lái)說(shuō)采取默認(rèn)值即可。打開(kāi)證書(shū)頒發(fā)機(jī)構(gòu)窗口,在左側(cè)選擇CA公用名稱(chēng),在其屬性窗口中的“擴(kuò)展”面板中選擇以“https://”起始的一行,選擇“包括在CRL中??蛻?hù)端用它來(lái)尋找增量的位置”,“包含在頒發(fā)的證書(shū)的CDP擴(kuò)展中”,“包含在已發(fā)布的CRL的IDP擴(kuò)展中”項(xiàng),點(diǎn)擊應(yīng)用按鈕,重啟AD證書(shū)服務(wù)。

      在左側(cè)的“吊銷(xiāo)的證書(shū)”項(xiàng)的右鍵菜單上點(diǎn)擊“所有任務(wù)→吊銷(xiāo)發(fā)布”項(xiàng),點(diǎn)擊確定按鈕。在RDS服務(wù)器上打開(kāi)瀏覽器,訪問(wèn)“http://CAsrv.xxx.com/certsrv”,輸入合適的域賬戶(hù)名和密碼,在歡迎頁(yè)面中點(diǎn)擊“下載CA證書(shū),證書(shū)鏈或CRL”鏈接,在打開(kāi)頁(yè)面中點(diǎn)擊“下載證書(shū)鏈”鏈接,將后綴為“.p7b”的文件保存到本地,假設(shè)為名“xinren.p7b”,這是一張信任證書(shū)。

      信任根證書(shū)頒發(fā)機(jī)構(gòu)

      打開(kāi)MMC控制臺(tái),點(diǎn)擊“Ctrl+M”鍵,在打開(kāi)窗口左側(cè)選擇“證書(shū)”項(xiàng),點(diǎn)擊添加按鈕,選擇“計(jì)算機(jī)賬戶(hù)”項(xiàng),在控制臺(tái)左側(cè)選擇“證書(shū)→受信任的證書(shū)頒發(fā)機(jī)構(gòu)→證書(shū)”項(xiàng),在右鍵菜單上點(diǎn)擊“所有任務(wù)→導(dǎo)入”項(xiàng),在向?qū)Ы缑嬷羞x擇上述“xinren.p7b”文件,依次點(diǎn)擊“下一步”和“完成”按鈕,將其添加到收信人的根證書(shū)頒發(fā)機(jī)構(gòu)列表中。在客戶(hù)端執(zhí)行同樣的操作,使其信任根證書(shū)頒發(fā)機(jī)構(gòu)。當(dāng)信任了證書(shū)頒發(fā)機(jī)構(gòu)后,接下來(lái)需要申請(qǐng)證書(shū)。

      在RDS服務(wù)器安裝好IIS之后,在IIS管理器中打開(kāi)服務(wù)器證書(shū)窗口,因?yàn)槭窃诠ぷ鹘M環(huán)境中申請(qǐng)證書(shū),所以點(diǎn)擊“創(chuàng)建證書(shū)申請(qǐng)”鏈接,在操作向?qū)Вㄈ鐖D1)中輸入證書(shū)的通用名稱(chēng)(輸入 RDS主機(jī)名)、組織、組織單元、城市/地點(diǎn)、省/市/自治區(qū)、國(guó)家/地區(qū)等信息,點(diǎn)擊“下一步”按鈕,選擇加密服務(wù)提供程序和位長(zhǎng)信息,一般來(lái)說(shuō)保持默認(rèn)即可。在下一步窗口中點(diǎn)擊瀏覽按鈕,選擇申請(qǐng)文件保存路徑,點(diǎn)擊“完成”按鈕,就得到了所需的申請(qǐng)文件。這其實(shí)是一個(gè)文本文件,使用記事本可以查看其內(nèi)容,并將其內(nèi)容完整復(fù)制到剪切板中。

      創(chuàng)建證書(shū)操作

      之后打開(kāi)瀏覽器,訪問(wèn)“http://CAsrv.xxx.com/certsrv”,在彈出頁(yè)面中點(diǎn)擊“申請(qǐng)證書(shū)”鏈接,之后點(diǎn)擊“高級(jí)證書(shū)申請(qǐng)”鏈接,在打開(kāi)頁(yè)面中點(diǎn)擊“使用Base64編碼的CMC或PKCS#10文件提交 一個(gè)證書(shū),或使用Base64編碼的PKCS#7續(xù)訂證書(shū)申請(qǐng)”鏈接,在打開(kāi)頁(yè)面中的“保存的申請(qǐng)”欄中粘貼申請(qǐng)文件內(nèi)容,在“證書(shū)模板”列表中選擇“Web服務(wù)器”。點(diǎn)擊“提交”按鈕,在證書(shū)已頒發(fā)頁(yè)面中點(diǎn)擊“下載證書(shū)”鏈接,將證書(shū)文件下載到本地。之后,在IIS管理器中的“服務(wù)器證書(shū)”窗口右側(cè)點(diǎn)擊“完成證書(shū)申請(qǐng)”鏈接,在彈出窗口中的“包含證書(shū)頒發(fā)機(jī)構(gòu)相應(yīng)的文件名”欄點(diǎn)擊“瀏覽”按鈕,選擇上述證書(shū)文件,設(shè)置易于記憶的名稱(chēng),選擇證書(shū)存儲(chǔ)位置,點(diǎn)擊“確定”按鈕,就完成了該證書(shū)的創(chuàng)建操作。

      圖1 申請(qǐng)證書(shū)

      圖2 查看證書(shū)的指紋信息

      對(duì)證書(shū)進(jìn)行綁定

      如何將該證書(shū)綁定到RDS服務(wù)上呢?這需要使用命令行實(shí)現(xiàn)。打開(kāi)申請(qǐng)到的證書(shū)的屬性窗口,在“詳細(xì)信息”面板(如圖2)中點(diǎn)擊“指紋”項(xiàng),可以看到指紋信息。在CMD窗口中執(zhí)行“wmic /namespace:\rootcimv2TerminalServices PATH Win32_TSGeneralSetting Set SSLCertificateSHA1Hash="xxxxxxxxx"”命令,當(dāng)出現(xiàn)“屬性更細(xì)成功”的提示,說(shuō)明完成證書(shū)的綁定操作。其中的“xxxxxxxxx”表示證書(shū)的指紋信息。這樣,在工作組環(huán)境中,當(dāng)客戶(hù)端連接RDS服務(wù)器時(shí),就可以利用該證書(shū)實(shí)現(xiàn)安全連接了。

      客戶(hù)端需要使用RDS服務(wù)器名進(jìn)行連接,才可以依靠證書(shū)實(shí)現(xiàn)安全連接。可以在客戶(hù)端打開(kāi)“C:WindowsSystem32DriversEtc”目錄,編輯其中的“hosts”文件,在其中添加RDS名稱(chēng)和IP對(duì)應(yīng)關(guān)系,實(shí)現(xiàn)簡(jiǎn)單的DNS解析功能,就可以使用RDS名稱(chēng)連接RDS服務(wù)器了。但是,如果使用RDS服務(wù)器的IP進(jìn)行連接,就會(huì)出現(xiàn)上述無(wú)法信任的問(wèn)題。因?yàn)樽C書(shū)是和RDS主機(jī)名綁定的,這是證書(shū)的特點(diǎn)之一。應(yīng)該說(shuō)同域環(huán)境相比,在工作組中環(huán)境中配置和管理證書(shū)是比較繁瑣的。

      猜你喜歡
      遠(yuǎn)程桌面工作組頁(yè)面
      大狗熊在睡覺(jué)
      刷新生活的頁(yè)面
      肖幼率工作組赴戴家湖涵指導(dǎo)搶險(xiǎn)
      治淮(2020年8期)2020-09-22 06:25:46
      實(shí)戰(zhàn)Windows Server 2008 R2遠(yuǎn)程桌面服務(wù)
      32個(gè)工作組印跡 >
      安裝遠(yuǎn)程桌面服務(wù)
      為Windows 2012指定授權(quán)服務(wù)器
      監(jiān)控遠(yuǎn)程用戶(hù)行為
      磁縣政協(xié)專(zhuān)題聽(tīng)取委員工作組2015年工作匯報(bào)
      鄉(xiāng)音(2016年2期)2016-02-26 20:38:40
      百項(xiàng)能效標(biāo)準(zhǔn)推進(jìn)工程聯(lián)合工作組會(huì)議在京召開(kāi)
      怀远县| 屯昌县| 乌海市| 孝昌县| 宣武区| 泰宁县| 澄迈县| 建始县| 麟游县| 威远县| 浪卡子县| 汽车| 广平县| 门源| 鹤壁市| 合作市| 凭祥市| 洛浦县| 屏边| 九龙县| 伊春市| 南京市| 大埔区| 宁夏| 永新县| 东阳市| 洱源县| 延边| 瓮安县| 积石山| 韶山市| 正安县| 澄江县| 左贡县| 诸暨市| 阿克陶县| 敦化市| 景宁| 简阳市| 平顺县| 峨边|