使用免費(fèi)SSL證書為Windows Server或(非Server)操作系統(tǒng)遠(yuǎn)程桌面(3389))RDP連接加密
[重要通告]如您遇疑難雜癥,本站支持知識(shí)付費(fèi)業(yè)務(wù),掃右邊二維碼加博主微信,可節(jié)省您寶貴時(shí)間哦!
這兩天淘寶來了一個(gè)老鐵,說是因?yàn)橐粋€(gè)遠(yuǎn)程3389的漏洞出了問題,用的是啥深信服的安全軟件,對(duì)此軟件具體不詳,提示錯(cuò)誤;錯(cuò)誤如下:“此服務(wù)的 X.509 證書鏈未經(jīng)公認(rèn)證書頒發(fā)機(jī)構(gòu)簽名。如果遠(yuǎn)程主機(jī)為生產(chǎn)環(huán)境中的公共主機(jī),這樣會(huì)使 SSL 的使用無效,因?yàn)槿魏稳硕伎梢越⑨槍?duì)遠(yuǎn)程主機(jī)的中間人攻擊。請(qǐng)注意,此插件不會(huì)檢查以非自簽名、而經(jīng)未公認(rèn)證書頒發(fā)機(jī)構(gòu)簽名的證書結(jié)尾的證書鏈?!比缦聢D:
出現(xiàn)這個(gè)問題,是跟“非信任機(jī)構(gòu)”有關(guān)系,具體看圖;
出現(xiàn)這個(gè)問題的原理:
導(dǎo)致這個(gè)問題的原因?qū)嶋H是系統(tǒng)使用了一個(gè)自簽名的默認(rèn)證書,而這個(gè)自簽名證書對(duì)于客戶端來說是不可信的,也就是說無法用于證明服務(wù)端的身份,客戶端自然就會(huì)報(bào)告其不安全,那相對(duì)應(yīng)的安全軟件也會(huì)給予提示不安全,應(yīng)該是這么個(gè)原理;那么解決的思路就有了,那就是我們?yōu)榉?wù)端添加一個(gè)可信的證書,并在遠(yuǎn)程桌面連接中讓系統(tǒng)使用這個(gè)證書。首先獲得一個(gè)這樣的證書并不難,只要你已經(jīng)有至少一個(gè)可用的域名,阿里云、騰訊云等各種云可以免費(fèi)為提供;然后導(dǎo)入這個(gè)證書也不難,只要參照配置https服務(wù)的方法,直接導(dǎo)入就行了;
具體操作流程:分五部分;
第一部分,修改計(jì)算機(jī)名稱:
我們的PC或者服務(wù)器默認(rèn)的計(jì)算機(jī)名稱是隨機(jī)的,遠(yuǎn)程桌面連接時(shí),會(huì)提示證書有錯(cuò)誤。先修改計(jì)算機(jī)名,如本例,設(shè)置為 yuancheng.laoliang.fun ,重啟系統(tǒng)后,新計(jì)算機(jī)名生效;
第二部分、申請(qǐng)SSL證書、以及設(shè)置SLL證書;
已經(jīng)用證書配置好https的可以跳過第一步。我之前已經(jīng)申請(qǐng)好證書了,在這里就不演示申請(qǐng)過程了,關(guān)于阿里云,騰訊云等云免費(fèi)證書的教程很多,可以自行百度之。申請(qǐng)到證書后,在我們手中的應(yīng)該是一個(gè) *.p12 的證書文件, 放在一邊備用。如果手上只有 私鑰 *.key 和 證書 *.crt ,熟悉linux的也可以用openssl命令行大法搞定。
首先按下‘Win + R’,進(jìn)入“運(yùn)行”,鍵入“mmc”,打開“管理控制臺(tái)”。
在?文件?中選擇?添加/刪除管理單元?。
在左側(cè)選中?證書?后點(diǎn)擊?添加?。在彈出的對(duì)話框中選擇?計(jì)算機(jī)賬戶,點(diǎn)擊?下一步?。之后選擇?本地計(jì)算機(jī)(保持默認(rèn)) 然后點(diǎn)擊?完成?,再然后點(diǎn)擊?確定?。
在?證書-個(gè)人?上點(diǎn)擊?右鍵?,選擇?所有任務(wù)-導(dǎo)入?。
按照向?qū)c(diǎn)擊?下一步?,之后選擇你的?證書文件?(p12格式的證書文件選擇時(shí)需要更改文件類型才可以找到),之后需要輸入之前設(shè)置的密碼,證書存儲(chǔ)?選擇?根據(jù)證書類型,自動(dòng)選擇證書存儲(chǔ)?,然后點(diǎn)擊下一步即可。
導(dǎo)入完成后如下圖所示:
第三部分、 分配權(quán)限;
首先在已經(jīng)導(dǎo)入的證書上點(diǎn)擊?右鍵?,選擇?所有任務(wù)-管理私鑰?。
之后添加?NETWORK SERVICE?用戶。至少要將?讀取?權(quán)限分配給?NETWORK SERVICE?,然后確定。
第四部分、編輯注冊(cè)表
首先是按下‘Win + R’,進(jìn)入“運(yùn)行”,鍵入“regedit”,打開“管理控制臺(tái)”。
展開路徑 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp ,然后添加如下項(xiàng):
名稱: SSLCertificateSHA1Hash? ? ? ? 類型: REG_BINARY
之后回到之前的證書管理,雙擊打開已經(jīng)導(dǎo)入的證書,在?詳細(xì)信息?中選擇?指紋?,并記錄下方的值。
最后將記錄的值填入之前新建注冊(cè)表項(xiàng)的?數(shù)據(jù)?位置。
添加成功如下圖:
按照此操作,用IP鏈接,依然顯示下面的錯(cuò)誤,具體請(qǐng)看;? ?因?yàn)槲矣玫氖怯蛎淖C書,應(yīng)該用域名鏈接即可;? ? ? ?
第五部分、內(nèi)網(wǎng)設(shè)置HOST;
那如果是內(nèi)網(wǎng)呢?做一下host嘍,在自己以及所在服務(wù)器里都做一下host,具體路徑為 C:\Windows\System32\drivers\etc 然后基本打開hosts 編輯此文件;(注意,是客戶端以及服務(wù)器都這么設(shè)置才可以);
按照以上的操作,就基本大功告成嘍;
問題未解決?付費(fèi)解決問題加Q或微信 2589053300 (即Q號(hào)又微信號(hào))右上方掃一掃可加博主微信
所寫所說,是心之所感,思之所悟,行之所得;文當(dāng)無敷衍,落筆求簡潔。 以所舍,求所獲;有所依,方所成!