终端服务加密SSL终极教程
【原理基础】
从windows2000 server版本开始微软就将一个名为“远程桌面”的程序集成到操作系统中,通过这个“远程桌面”网络管理员可以在网络的另一端轻松的控制公司的服务器,在上面进行操作,删除程序,运行命令和在本地计算机一样。因此“远程桌面”功能极大的方便了网络管理员的工作,在推出以后受到了越来越多网管的青睐。 然而随着网络的普及,网络的安全性越来越受到企业的重视,很多网管发现使用windows的远程桌面功能操作服务器有一定的安全隐患,也就是说数据传输的安全级不够高,虽然传输信息进行了一定的加密,但黑客高手还是很容易将其还原成本来信息的。正因为远程桌面在安全性上的不足使得一些网络管理员开始寻求其他远程控制工具,例如remote admin,pc any where等。
提示:如果你使用的是windows2003,但是没有安装最新的SP1补丁的话还是不能够使用SSL加密的远程桌面认证方式。因此建议将服务器升级到windows2003+SP1。
【跟我操作】
1. 安装证书服务
第一步:默认情况下windows2003没有安装证书服务,我们通过控制面板的添加/删除windows组件来安装“证书服务”。(如图1)
如图1 安装证书服务
第二步在CA证书类型中选择“独立根CA”,然后点“下一步”继续。(如图2)
图2 选择独立根
第三步:在CA识别信息窗口中为安装的CA起一个公用名称——www.sans.org.cn,可分辨名称后缀处空白不填写,有效期限保持默认5年即可。(如图3)
图3 命令CA公用名称
第四步:在证书数据库设置窗口我们保持默认即可,因为只有保证默认目录(windows\system32\certlog)系统才会根据证书类型自动分类和调用。点“下一步”后继续。(如图4)
图4 设置证书数据库路径
第五步:提示要暂止IIS服务.选择是,如图5所示
图5 暂停IIS服务
图12 点击看大图第六步:在安装服务的最后系统会提示“要容许证书服务需要启用IIS的ASP功能”,我们选择“是”来启用ASP。(如图6)
图6 启用ASP
第七步:完成CA证书服务的windows组件安装工作。(如图7)
图7 完成证书服务安装
如果windows2003没有安装IIS组件的话还需要按照上面介绍的方法将IIS组件也安装。
2. 设置证书服务参数
默认情况下证书类型不是我们本次操作所需要的,所以还需要对其进行修改设置。
第一步:通过任务栏的“开始->程序->管理工具->证书颁发机构”来打开证书设置窗口。(如图8)
图8 打开证书配置程序
第二步:在证书主程序面板中选择www.sans.org.cn ,点鼠标右键选择“属性”,然后点“策略模快”标签,在策略模快标签下还有一个“属性”按钮。(如图9)
图9 打开证书属性面板
第三步:点属性按钮后在设置请求处理窗口中将默认的设置修改为“如果可以的话,按照证书模板中的设置。否则,将自动颁发证书”。(如图10)
图10 设置自动颁发证书
3.服务端申请证书
IIS启动后我们就可以通过网页来申请证书了。
第一步:打开IE浏览器,在地址栏处输入http://证书服务器IP/certsrv/ 或 http://localhost/certsrv/,例如服务器地址为192.168.0.170则输入:http://192.168.0.170/certsrv
第二步:我们在该界面中选择“申请一个证书”如果IIS工作正常,证书服务安装正确的话会出现microsoft证书服务界面。(如图11)
图11 申请证书
第三步:在申请证书界面选择“高级证书申请”。(如图12)
图12 选择高级证书申请
第四步:在高级证书申请界面选择“创建并向此CA提交一个申请”
第五步:在高级证书申请填写界面需要我们修改的地方比较多,首先输入姓名,要填写服务器的IP地址。
提示:如果高级证书姓名填写的是其他信息,那么在配置SSL加密认证时会出现配置信息与服务器名不符合的错误。所以务必填写服务器的IP地址。
第六步:电子邮件和公司,部门,地区等信息随意填写。
第七步:需要的证书类型选择“服务器身份验证证书”。
第八步:密钥选项设置为“创建新密钥集”。
第九步:密钥用户设置为“交换”。
第十步:将最下方的“标记密钥为可导出”与“将证书保存在本地计算机存储”前打对勾。至此高级证书申请参数填写完毕。(如图13)
图13 填写证书资料
第十一步:点提交申请后会出现“潜在的脚本冲突”提示,我们不用理会直接选择“是”即可。(如图14)
图14 脚本冲突选择是
第十二步:提交申请完毕会出现证书挂起的提示,系统会提示你的申请信息已经挂起,等待管理员颁发,并还会显示出申请ID的序号。(如图15)
图15 证书挂起
至此我们就完成了证书的申请工作,接下来还需要对申请的证书进行颁发,只有颁发了我们才可以开始使用证书。
4.颁发证书:
下面为大家介绍如何颁发刚刚申请的证书。
第一步:通过任务栏的“开始->程序->管理工具->证书颁发机构”来打开证书设置窗口。
第二步:在本地计算机www.sans.org.cn下的“挂起的申请”处会看到有一个申请,ID号为2,这个就是刚才的申请。
第三步:在该申请上点鼠标右键选择“所有任务->颁发”,颁发后我们申请的证书就可以使用了。如图16
图16 颁发证书
5.安装证书:
证书已经通过服务器的审批,下面就要在服务器上安装我们申请的证书。只有拥有了证书才能让我们远程访问中传输的数据更加安全。
第一步:打开IE浏览器,在地址栏处输入http://ip/certsrv/,例如服务器地址为:192.168.0.170,则输入http://192.168.0.170/certsrv如果IIS工作正常,证书服务安装正确的话会出现microsoft证书服务界面。
第二步:选择“查看挂起的证书申请状态”,在这里会看到我们原来提交的那个“服务器身份验证证书”的踪影。(如图17)
图17 查看证书申请
第三步:点该“服务器身份验证证书”后出现证书已颁发的提示,我们直接点“安装此证书”。(如图18)
图18 安装证书
第四步:系统会弹出“潜在的脚本冲突”提示,我们不用理睬继续点“是”即可。系统会自动将该证书安装在服务器上。(如图19)
图19 脚本冲突
第五步:安装完毕系统会以网页的形式将“证书已安装信息”反馈给用户。(如图20)
图20 成功安装证书
5 服务器远程桌面设置:
默认情况下远程桌面功能是不支持SSL加密认证的,即使我们申请并安装了证书。所以我们需要对修改终端服务配置
第一步:通过任务栏的“开始->程序->控制面板->管理工具->终端服务配置”来启动tscc终端服务配置窗口.
第二步:在tscc终端服务配置窗口中我们点“终端服务配置>连接”,在右边窗口中会显示出终端服务,我们在其上点鼠标右键选择“属性”。(如图21)
图21 选择张终端属性
第三步:在常规标签中的证书设置处旁边有一个“编辑”按钮,点击该按钮打开证书设置窗口。然后通过查看证书找到我们在前面安装的证书(证书名192.168.0.170、如图22)
图22 选择前面安装好的服务器证书
第四步:选择完证书后还需要对常规标签中的安全级别进行设置,我们将安全层设置为“SSL”,将加密级别设置为“高”。确定后完成全部服务器远程桌面设置工作。(如图23)
图23 设置属性
6 客户端安装认证证书:
既然服务器上使用了证书进行SSL加密认证,那么还需要在客户机上安装这些认证。如果不安装的话远程桌面访问将无法进行。
第一步:在客户机上打开浏览器,在地址栏处输入http://ip/certsrv/,例如服务器地址为192.168.0.170,则输入http://192.168.0.170/certsrv,浏览器将打开证书申请页面。(如图24)
图24 浏览服务器证书
第二步:选择下载CA证书后,保存到本地计算机。(如图25)
图25 下载CA证书
第三步:打开下载到本地的证书,安装证书,如图26
图26 安装证书
第四步:选择证书存储区,选择默认的根据证书类型,自动选择证书存储区。如图27
图27 选择存储区
第五步:成功导入证书,点击完成。如图28
图28 成功导入证书
7 配置客户端远程管理
默认情况下,XP和2000中的远程桌面工具没有地方设置安全模式。这是因为SSL加密模式是2003SP1中添加的新功能,所以如果要使用该功能就需要安装全新的远程桌面连接工具。
我们可以通过以下两种方式运行新的远程桌面连接工具:
从Windows 2003操作系统中的c:\windows\system32\clients\tsclient\win32\目录下找到msrdpcli.msi程序并安装(如图29)
从Windows 2003操作系统安装光盘中找,在\support\tools\下找到名为msrdpcli.exe程序安装(如图29)
图29 安装新远程桌面连接工具
8. 配置远程客户端SSL连接
第一步:启动新版远程桌面连接程序。
第二步:你会发现多出了一个“安全”标签。选择”要求身份验证”(如图30)
图30 查看远程连接工具
第三步:设置完毕后点“连接”按钮就可以访问远程配置好SSL加密模式的服务器了。
小提示:安全标签中的三个选项依次为“无身份验证”(使用常规模式访问远程服务器),“试图身份验证”(先使用SSL加密身份验证访问服务器,如果不成功则使用传统模式),“要求身份验证”(使用SSL加密模式访问服务器,如果失败则退出)。成功使用SSL远程连接后屏幕顶部会有一个小锁标志,代表使用了SSL加密连接,单击它可以查看终端服务配置所使用的服务器身份验证证书.至此让终端使用SSL认证全部安装完成.哪图31
图31 SSL方式远程连接
9.常见故障
由于配置了SSL加密的远程桌面访问与传统的不同,所以在实际使用过程中会出现这样或那样的问题:
1.客户端无法建立跟远程计算机的连接:
使用老版本远程桌面连接程序访问配置加密SSL模式的服务器的话就会出现这个“无法建立跟远程计算机的连接”的提示。解决方法是升级到新版桌面连接程序。(如图32)
图32
2.远程计算机要求经过身份验证才能连接:
如果安装了新版桌面连接程序但没有设置“安全”标签参数的话就会出现“远程计算机要求经过身份验证才能连接”的提示,我们通过“安全”标签设置身份验证方式为“要求身份验证”或“试图身份验证”即可。(如图33)
图33
3.验证远程计算机证书遇到错误:
如果在服务器上配置了SSL加密模式但是在客户机上安装的证书不正确,或者在申请证书名称时没有按照IP地址信息书写而是填写了其他名称的话则会出现“验证远程计算机证书遇到错误——证书上的服务器名错误”的提示。解决方法是重新申请证书并在客户端上安装该证书,申请时证书名称填写服务器的IP地址。(如图34)
图34
10. 总结:
当客户机使用SSL加密模式连接服务器并控制服务器后,在网络中传输的所有信息都是加密过的,黑客使用sniffer等工具无法抓取到可用的数据包。从而真真正正的将远程桌面的安全进行到底。远程操作界面也出现了SSL加密的图标。(如图35)
图35
中安致远 IT教育培训机构 www.sans.org.cn