Win2008学习(七),域环境中远程桌面证书问题解决方法
在上一篇博文中我费了九牛二虎之力,才搞定了工作组情况下的远程桌面证书问题,在本篇文章中我将在域环境中解决win7远程桌面到win2008的证书问题,其实解决这个问题很简单下面就先看下网络拓扑图然后一步步搞定这个实验。
网络拓扑如下图,其中08Server06和win7均已经加入域。
实验的思路:
1.安装企业CA,安装企业CA后域中的客户端只要刷新了组策略就会信任企业CA颁发的所有证书,当然组策略的刷新可以根据域中的定义也可以在客户端执行命令立即进行刷新
2.08Server06向企业CA申请证书,应用证书,因为默认情况下08Server06的远程桌面使用了自签名证书
3.win7客户端刷新,再次尝试远程桌面到08Server06
安装企业CA
在DC上安装企业CA,服务器管理器中选择“添加角色”
选择“Active Diretcory证书服务”
通常CA的安装都会选择“证书颁发机构Web注册”,所以我们选择这个选项
直接下一步
选择“企业”
因为这是第一个CA,所以我需要选择根CA
新建私钥
直接保持默认
此CA的公用名称我输入Enterprise CA来标识,您可以根据实际情况定义名称
默认企业CA的有效期为5年,您可以更改下比如10年,100年。因为CA颁发的证书的有效期永远不会超过CA本身,延长申请证书的有效期请见博文http://jqq1982.blog.51cto.com/515663/1068190
安装路径
直接下一步
选择安装,注:因为证书安装在了DC上所以给出了黄色警告,一般生产环境中都不建议把CA安装在DC上,有问题很麻烦
安装成功,安装成功后建议重启下服务器
安装成功后,证书颁发机构如下图所示
申请证书
在08Server06上安装IIS,因为IIS可以非常方便的申请SSL证书,然后把申请的这个证书给RDP用即可。在08Server06服务器管理器中选择“添加角色”
选择Web服务器
保持默认,选择“下一步”
安装
完成IIS的安装后,我们打开IIS管理器,选择如下视图中的服务器证书,然后双击
选择“创建域证书”
通用名称中填写服务器的FQDN名,其它的根据您的实际情况,选择“下一步
如下图无法进行选择是灰色的,为什么?因为还没有刷新组策略,刷新下组策略,然后重新打开IIS管理器进行申请。
刷新组策略,重新打开下IIS管理器,再次运行下创建域证书向导
如下图现在可以选择了,选择证书颁发机构
好记的名称这个随意,我这里填写RDP
完成后视图如下
应用证书
在08Server06上打开“远程桌面会话主机配置”
双击RDP-Tcp
单击“选择”然后选择刚才的证书,选择“确定”
如下图证书变成了08Server06.abc.com,选择应用,确定
测试win7的远程访问
在win7上刷新下组策略,使用FQDN名进行连接
输入域管理员
如下图,win7远程桌面成功
