第一步:通过任务栏的“控制面板->管理工具->终端服务配置”来启动tscc终端服务配置窗口。
第二步:在tscc终端服务配置窗口中我们点“终端服务>连接”,在右边窗口中会显示出终端服务,我们在其上点鼠标右键选择“属性”。
第二步:在tscc终端服务配置窗口中我们点“终端服务>连接”,在右边窗口中会显示出终端服务,我们在其上点鼠标右键选择“属性”。
第三步:在常规标签中的证书设置处旁边有一个“编辑”按钮,点击该按钮打开证书设置窗口。然后通过查看证书找到对应证书.
第四步:选择完证书后还需要对常规标签中的安全级别进行设置,我们将安全层设置为“SSL”,将加密级别设置为“高”。确定后完成全部服务器远程桌面设置工作。
二、客户端安装认证证书:
既然服务器上使用了证书进行SSL加密认证,那么还需要在客户机上安装这些认证。如果不安装的话远程桌面访问将无法进行。有两种方法获得证书,我们将一一介绍。
1 从TS服务器上导出证书:
第一步:通过任务栏的“开始->运行”,输入mmc来启动MMC管理单元。
第二步:打开MMC管理单元后我们需要加载证书服务,方法是通过控制台菜单中的“文件->添加/删除管理单元”。
第三步:从“可用的独立管理单元”中找到证书管理单元,然后点“添加”按钮加载该管理单元。
第四步:在证书管理单元中选择“计算机帐户”后点“下一步”。
第五步:在选择计算机窗口中找到“本地计算机”后完成 *** 作。
第六步:回到控制台界面后我们选择“控制台根节点->证书(本地计算机)->个人->证书”,在右边窗口中会看到服务器当前安装的所有证书。我们找到用于SSL加密连接的证书。
第七步:在该证书上点鼠标右键后选择“打开”,在证书信息界面中选择“详细信息”,然后点下方的“复制到文件”按钮,将证书进行复制。
第八步:打开证书导出向导后直接点“下一步”。
第九步:导出私钥处选择“不,不要导出私钥”。
第十步:导出文件格式处选择“DER 编码二进制X.509(.CER)”
第十一步:选择导出文件的保存路径,一般直接选桌面即可。
第十二步:完成证书导出向导配置工作,证书文件成功保存
第十三步:文件保存到桌面后我们就可以把这个证书文件复制到其他计算机上了,所有准备通过远程桌面连接服务器的客户机都需要安装该证书。
第十四步:直接双击该证书文件就可以安装了,在“常规”标签中有一个“安装证书”按钮。
第十五步:点“安装证书”按钮后进入证书导入向导,我们选择“根据证书类型,自动选择证书存储”后点“下一步”
第十六步:完成证书的全部导入工作。
我们还有另外一种方法在客户机上安装证书。
第一步:在客户机上打开浏览器,在地址栏处输入http://ip/certsrv/。例如服务器地址为10.91.30.45,则输入http://10.91.30.45/certsrv。浏览器将打开证书申请页面。
第二步:选择下载CA证书后直接点“安装此CA证书链”
第三步:系统将自动安装该CA证书,并给出安装完毕的提示。
安装了证书的客户机就可以通过远程桌面连接的SSL加密功能访问远程的服务器了
在2003+系统中的远程桌面连接程序自带有安全标签,通过这个标签我们可以直接设置SSL加密模式访问远程服务器。
在“安全”标签中将身份验证方式修改为“要求身份验证”
设置完毕后点“连接”按钮就可以访问远程配置好SSL加密模式的服务器了。
小提示:安全标签中的三个选项依次为“无身份验证”(使用常规模式访问远程服务器),“试图身份验证”(先使用SSL加密身份验证访问服务器,如果不成功则使用传统模式),“要求身份验证”(使用SSL加密模式访问服务器,如果失败则退出)。
由于配置了SSL加密的远程桌面访问与传统的不同,所以在实际使用过程中会出现这样或那样的问题,笔者总结了其中最典型的几个介绍给各位读者。 1.客户端无法建立跟远程计算机的连接:
使用老版本远程桌面连接程序访问配置加密SSL模式的服务器的话就会出现这个“无法建立跟远程计算机的连接”的提示。解决方法是升级到新版桌面连接程序。
2.远程计算机要求经过身份验证才能连接:
如果安装了新版桌面连接程序但没有设置“安全”标签参数的话就会出现“远程计算机要求经过身份验证才能连接”的提示,我们通过“安全”标签设置身份验证方式为“要求身份验证”或“试图身份验证”即可。
3.验证远程计算机证书遇到错误:
如果在服务器上配置了SSL加密模式但是在客户机上安装的证书不正确,或者在申请证书名称时没有按照IP地址信息书写而是填写了其他名称的话则会出现“验证远程计算机证书遇到错误——证书上的服务器名错误”的提示。解决方法是重新申请证书并在客户端上安装该证书,申请时证书名称填写服务器的IP地址。
当客户机使用SSL加密模式连接服务器并控制服务器后,在网络中传输的所有信息都是加密过的,黑客使用sniffer等工具无法抓取到可用的数据包。从而真真正正的将远程桌面的安全进行到底。远程 *** 作界面也出现了SSL加密的图标。
务器协商包含“使用 PPP 验证方法验(或 EAP 验证方法)证使用者证书以及进行 IPV4 或 IPV6 通讯”的 PPP 连接。 9、SSTP VPN 客户端开始发送基于 PPP 连接的 IPV4 或 IPV6 通讯流量(数据)。 以上一段话,引自互联网 作者:下里巴人 我们再来看这个环境: 一、配置第一台机器,机器名为 DC: 1.配置 DC 的 ip 地址:
2.提升域控:
域功能级别,林功能级别设置为 2003,具体过程:
没设置 IPV6 地址,会d如下窗口,按 2 次“是”继续。
默认向导直到安装完成,重启。
3.创建允许 VPN 拔入用户帐号,创建验证时用的共享文件夹。共享文件夹内放一文本。
二、配置第二台机器,机器名为 VPNsrv 1.配置 IP 地址:
2.把机器加入域: 加域前 nslookup 看是否能解释域名,确保加域成功。 重启:
3.安装证书服务和 IIS。 以域管理员用户登录安装。
选择 ADCS 角色,
选择安装证书颁发机构 WEB 注册,点击添加必要的角色服务
我这里用独立根 CA,当然企业根 CA 也可以。
配置证书公用名称,配置 iis,按默认向导致完成.
4.创建服务器身份验证证书,这步骤前先设置 IE 允许证书发布。 打开服务器管理器,配置 IE SEC:
以管理员身份运行 IE, 关闭自动网站检查,
设置 intranet 安全级别,低
5.创建一个服务器身份验证证书。 IE 中输入:http://localhost/certsrv,点击申请证书
高级证书申请
创建并向此 CA 提交一个申请
如下: 注意名称要为:VPNserver 的 FQDN
6.颁发证书,安装证书,移动证书,删除不用的证书。(简单点理解是把申请到的证书放到计算机证 书中) 打开 mmc,添加如下:
颁发证书,
安装证书,
移动证书, 安装的证书在用户证书中的个人证书里,导出证书到桌面, 再到计算机证书中导入,同时删除了服务器 CA 的证书(所有用途可用证书) 最终如图:
7.安装 VPN.
启用并配置 VPN:
因没有 DHCP,所以用静态分配的 IP 地址
VPN 服务器搭建完毕。
三、配置第三台机器 设置 ip 地址,host 文件
创建 PPTP 连接,验证访问共享
拔号验证 PPTP,但我们实验可不是为了 PPTP
在 vpnsrv 服务器上,过滤路由和远程访问,基于 pptp 的包,如图: 在管理工具,打开高级安全 windows 防火墙
再次拔 PPTP 的连接,如图:
启用 SSTP。 打开 IE,下载证书,安装证书,
安装完证书后,打开 mmc,加载用户证书和计算机证书,将证书为计算机证书,放到信任的根证书中
重命名,把 PPTP,改成 SSTP。协议也使用 SSTP
最终,使用,SSTP 连接
欢迎分享,转载请注明来源:内存溢出
评论列表(0条)