從Windows Server 2003 SP1開始，客戶端便可以通過服務器身份驗證安全套接字層（SSL）證書連接到遠程桌面服務器。要實現(xiàn)這一功能，只需管理員使用和配置服務器操作系統(tǒng)的“遠程桌面會話主機” 配置工具即可。盡管Windows Vista和Windows 7這樣的客戶端操作系統(tǒng)并無這樣的管理工具可用，但服務器仍可以向它們頒發(fā)遠程桌面連接證書。要通過證書來實現(xiàn)安全的遠程桌面連接連接有兩種常用配置方法。第一種方法使用組策略和證書模板來進行配置；第二種方法則是使用WMI腳本來進行配置。

 第一種方法：使用組策略和證書模板

此種方式允許管理員為域中的多臺計算機安裝遠程桌面證書，前提是域中必須有正常工作的公鑰基礎結構（PKI）。

首先，管理員需要創(chuàng)建一個遠程桌面證書模板。

創(chuàng)建遠程桌面證書模板：

在企業(yè)證書頒發(fā)機構中找到“證書模板”。 找到并右鍵單擊“計算機”模板，選擇“復制模板”。 在彈出的對話框中選擇“Windows Server 2008 Enterprise”模板類型。

此時會彈出一個新模板的“屬性”對話框。 我們在“常規(guī)”選項卡中將“模板顯示名稱”和“模板名稱”改為“RemoteDesktopComputer”以方便今后識別和使用。注意：此處的模板顯示名稱和模板名稱必須相同。 再到“擴展”選項卡中選擇“應用程序策略”并點擊“編輯”按鈕。 此時會出現(xiàn)一個“編輯應用程序策略擴展”對話框。

要創(chuàng)建“遠程桌面身份認證”策略必須先刪除“客戶端身份驗證”和“服務器身份驗證”策略，然后再點擊“添加”。 此時會出現(xiàn)一個“添加應用程序策略擴展”對話框。我們在對話框中單擊“新建”。

此時會出現(xiàn)一個“新建程序策略擴展”對話框。我們在“名稱”中輸入“Remote Desktop Authentication”，再在“對象標識符”中輸入“1.3.6.1.4.1.311.54.1.2”并單擊“確定”。

在“添加應用程序策略”對話框中選中“Remote Desktop Authentication”點擊“確定”。 現(xiàn)在“編輯應用程序策略擴展”對話框顯示如下：

再通過點擊2次確定后，就回到新模板的“屬性”對話框了。此時，新模板的準備工作已經(jīng)完成。

下一步驟就是發(fā)布模板。

發(fā)布“RemoteDesktopComputer”證書模板：

在企業(yè)根證書頒發(fā)機構中找到“證書模板”。 在“證書模板”上右鍵單擊并選擇“新建”—“要頒發(fā)的證書模板”。 此時會彈出一個“啟用證書模板”對話框。我們找到并選擇“RemoteDesktopComputer”，然后單擊確定。 　　現(xiàn)在“RemoteDesktopComputer”模板已經(jīng)發(fā)布并可以用于證書請求。

最后一步，我們需要使用組策略將“RemoteDesktopComputer”模板配置為遠程桌面身份驗證的基本證書。

配置組策略

在域控制器上打開“組策略管理”工具，右鍵單擊“默認域策略”并點擊“編輯”。此時會彈出“組策略管理編輯器”（注意：策略可以應用到域中的所有計算機，管理員也可以根據(jù)需要將其應用到所需的OU） 導航至“計算機配置—策略—管理模板—Windows 組件—遠程桌面服務—遠程桌面會話主機—安全。” 雙擊“服務器身份驗證證書模板”策略 啟用策略，并在“證書模板名稱”中輸入“RemoteDesktopComputer”并點擊確定。

當此策略應用到域中的所有計算機后，所有啟用遠程桌面連接的計算機都將到證書頒發(fā)機構服務器去請求基于“RemoteDesktopComputer”模板的證書，并用證書對遠程桌面客戶端進行驗證。（管理員可通過gpupdate /force命令在客戶端上強制刷新以獲取到組策略的更新） #p#

第二種方法：使用WMI腳本

此方法允許管理員直接使用遠程桌面連接的服務器證書，但管理員需要提前手動對證書進行安裝。這種方法通常用于：使用企業(yè)向Internet公共證書頒發(fā)機構購買的證書。

首先需要檢查我們已有的證書是否符合遠程桌面證書的要求。不符合這些要求的證書將不能正常工作，并將被服務器忽略。

遠程桌面證書的基本要求：

證書必須安裝到計算機的“個人”證書存儲區(qū)域中 必須擁有證書的私鑰 證書的“增強型密鑰用法”擴展中應有“服務器身份驗證”或“遠程桌面身份驗證”（1.3.6.1.4.1.311.54.1.2）。

為了正常使用，我們首先要獲取到遠程桌面連接證書的指紋。 　　

獲取證書的指紋：

雙擊已有的證書 單擊“詳細信息”標簽 在列表中選擇“指紋”

將指紋值復制到記事本當中 刪除數(shù)字之間的所有空格

如上圖示例，我們獲取到的指紋應該是： 3d710cecbb29d5dfcb61a6157cefd746b7b04b74

注意：當我們獲取到證書指紋之后，才能通過腳本將證書應用于遠程桌面連接。.
配置遠程桌面證書的WMI腳本：

/* ==============================================================
JScript Source File 
NAME: ConfigRemoteDesktop.js
AUTHOR: Billy Fu
DATE  : 2010/8/2
==================================================================*/
var strComputer = ".";
var strNamespace = "\\root\\CIMV2\\TerminalServices";
var wbemChangeFlagUpdateOnly = 1;
var wbemAuthenticationLevelPktPrivacy = 6;
var Locator = new ActiveXObject("WbemScripting.SWbemLocator");
Locator.Security_.AuthenticationLevel = wbemAuthenticationLevelPktPrivacy;
var Service = Locator.ConnectServer (strComputer, strNamespace);
var TSSettings = Service.Get("Win32_TSGeneralSetting.TerminalName=\"RDP-Tcp\"");
if (WScript.Arguments.length >= 1 )
{
    TSSettings.SSLCertificateSHA1Hash = WScript.Arguments(0);
}
else
{
     TSSettings.SSLCertificateSHA1Hash = "0000000000000000000000000000000000000000";
}
TSSettings.Put_(wbemChangeFlagUpdateOnly);

將以上腳本內(nèi)容復制到 “ConfigRemoteDesktop.js”文件當中，并以管理員方式啟動命令提示符號（Cmd.exe.），再通過“cscript ConfigRemoteDesktop.js <證書指紋>”命令來將證書應用到遠程桌面連接。

（注意：執(zhí)行此腳本不加任何參數(shù)時將自動還原到遠程桌面的自簽名證書）

【編輯推薦】

1. Windows 2008 R2中的NAP新功能詳解
2. Windows 2008 R2桌面圖標巧更改
3. 巧用PowerShell管理Win Server 2008 R2
4. Server 2008 R2 SP1的RemoteFX功能實驗手記
5. Windows Server 2008 R2熱門功能：活動目錄最受青睞