使用免費(fèi)SSL證書為Windows Server或(非Server)操作系統(tǒng)遠(yuǎn)程桌面(3389))RDP連接加密

[重要通告]如您遇疑難雜癥,本站支持知識(shí)付費(fèi)業(yè)務(wù),掃右邊二維碼加博主微信,可節(jié)省您寶貴時(shí)間哦!

這兩天淘寶來了一個(gè)老鐵,說是因?yàn)橐粋€(gè)遠(yuǎn)程3389的漏洞出了問題,用的是啥深信服的安全軟件,對(duì)此軟件具體不詳,提示錯(cuò)誤;錯(cuò)誤如下:“此服務(wù)的 X.509 證書鏈未經(jīng)公認(rèn)證書頒發(fā)機(jī)構(gòu)簽名。如果遠(yuǎn)程主機(jī)為生產(chǎn)環(huán)境中的公共主機(jī),這樣會(huì)使 SSL 的使用無效,因?yàn)槿魏稳硕伎梢越⑨槍?duì)遠(yuǎn)程主機(jī)的中間人攻擊。請(qǐng)注意,此插件不會(huì)檢查以非自簽名、而經(jīng)未公認(rèn)證書頒發(fā)機(jī)構(gòu)簽名的證書結(jié)尾的證書鏈?!比缦聢D:

出現(xiàn)這個(gè)問題,是跟“非信任機(jī)構(gòu)”有關(guān)系,具體看圖;

出現(xiàn)這個(gè)問題的原理:

導(dǎo)致這個(gè)問題的原因?qū)嶋H是系統(tǒng)使用了一個(gè)自簽名的默認(rèn)證書,而這個(gè)自簽名證書對(duì)于客戶端來說是不可信的,也就是說無法用于證明服務(wù)端的身份,客戶端自然就會(huì)報(bào)告其不安全,那相對(duì)應(yīng)的安全軟件也會(huì)給予提示不安全,應(yīng)該是這么個(gè)原理;那么解決的思路就有了,那就是我們?yōu)榉?wù)端添加一個(gè)可信的證書,并在遠(yuǎn)程桌面連接中讓系統(tǒng)使用這個(gè)證書。首先獲得一個(gè)這樣的證書并不難,只要你已經(jīng)有至少一個(gè)可用的域名,阿里云、騰訊云等各種云可以免費(fèi)為提供;然后導(dǎo)入這個(gè)證書也不難,只要參照配置https服務(wù)的方法,直接導(dǎo)入就行了;

具體操作流程:分五部分;

第一部分,修改計(jì)算機(jī)名稱:

我們的PC或者服務(wù)器默認(rèn)的計(jì)算機(jī)名稱是隨機(jī)的,遠(yuǎn)程桌面連接時(shí),會(huì)提示證書有錯(cuò)誤。先修改計(jì)算機(jī)名,如本例,設(shè)置為 yuancheng.laoliang.fun ,重啟系統(tǒng)后,新計(jì)算機(jī)名生效;

第二部分、申請(qǐng)SSL證書、以及設(shè)置SLL證書;

已經(jīng)用證書配置好https的可以跳過第一步。我之前已經(jīng)申請(qǐng)好證書了,在這里就不演示申請(qǐng)過程了,關(guān)于阿里云,騰訊云等云免費(fèi)證書的教程很多,可以自行百度之。申請(qǐng)到證書后,在我們手中的應(yīng)該是一個(gè) *.p12 的證書文件, 放在一邊備用。如果手上只有 私鑰 *.key 和 證書 *.crt ,熟悉linux的也可以用openssl命令行大法搞定。

首先按下‘Win + R’,進(jìn)入“運(yùn)行”,鍵入“mmc”,打開“管理控制臺(tái)”。

在?文件?中選擇?添加/刪除管理單元?。

在左側(cè)選中?證書?后點(diǎn)擊?添加?。在彈出的對(duì)話框中選擇?計(jì)算機(jī)賬戶,點(diǎn)擊?下一步?。之后選擇?本地計(jì)算機(jī)(保持默認(rèn)) 然后點(diǎn)擊?完成?,再然后點(diǎn)擊?確定?。

在?證書-個(gè)人?上點(diǎn)擊?右鍵?,選擇?所有任務(wù)-導(dǎo)入?。

按照向?qū)c(diǎn)擊?下一步?,之后選擇你的?證書文件?(p12格式的證書文件選擇時(shí)需要更改文件類型才可以找到),之后需要輸入之前設(shè)置的密碼,證書存儲(chǔ)?選擇?根據(jù)證書類型,自動(dòng)選擇證書存儲(chǔ)?,然后點(diǎn)擊下一步即可。

 

導(dǎo)入完成后如下圖所示:

第三部分、 分配權(quán)限;

首先在已經(jīng)導(dǎo)入的證書上點(diǎn)擊?右鍵?,選擇?所有任務(wù)-管理私鑰?。

之后添加?NETWORK SERVICE?用戶。至少要將?讀取?權(quán)限分配給?NETWORK SERVICE?,然后確定。

 

第四部分、編輯注冊(cè)表

首先是按下‘Win + R’,進(jìn)入“運(yùn)行”,鍵入“regedit”,打開“管理控制臺(tái)”。

展開路徑 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp ,然后添加如下項(xiàng):
名稱: SSLCertificateSHA1Hash? ? ? ? 類型: REG_BINARY

之后回到之前的證書管理,雙擊打開已經(jīng)導(dǎo)入的證書,在?詳細(xì)信息?中選擇?指紋?,并記錄下方的值。

最后將記錄的值填入之前新建注冊(cè)表項(xiàng)的?數(shù)據(jù)?位置。

添加成功如下圖:

按照此操作,用IP鏈接,依然顯示下面的錯(cuò)誤,具體請(qǐng)看;? ?因?yàn)槲矣玫氖怯蛎淖C書,應(yīng)該用域名鏈接即可;? ? ? ?

第五部分、內(nèi)網(wǎng)設(shè)置HOST;

那如果是內(nèi)網(wǎng)呢?做一下host嘍,在自己以及所在服務(wù)器里都做一下host,具體路徑為 C:\Windows\System32\drivers\etc 然后基本打開hosts 編輯此文件;(注意,是客戶端以及服務(wù)器都這么設(shè)置才可以);

按照以上的操作,就基本大功告成嘍;

問題未解決?付費(fèi)解決問題加Q或微信 2589053300 (即Q號(hào)又微信號(hào))右上方掃一掃可加博主微信

所寫所說,是心之所感,思之所悟,行之所得;文當(dāng)無敷衍,落筆求簡潔。 以所舍,求所獲;有所依,方所成!

支付寶贊助
微信贊助

免責(zé)聲明,若由于商用引起版權(quán)糾紛,一切責(zé)任均由使用者承擔(dān)。

您必須遵守我們的協(xié)議,如您下載該資源,行為將被視為對(duì)《免責(zé)聲明》全部內(nèi)容的認(rèn)可->聯(lián)系老梁投訴資源
LaoLiang.Net部分資源來自互聯(lián)網(wǎng)收集,僅供用于學(xué)習(xí)和交流,請(qǐng)勿用于商業(yè)用途。如有侵權(quán)、不妥之處,請(qǐng)聯(lián)系站長并出示版權(quán)證明以便刪除。 敬請(qǐng)諒解! 侵權(quán)刪帖/違法舉報(bào)/投稿等事物聯(lián)系郵箱:service@laoliang.net
意在交流學(xué)習(xí),歡迎贊賞評(píng)論,如有謬誤,請(qǐng)聯(lián)系指正;轉(zhuǎn)載請(qǐng)注明出處: » 使用免費(fèi)SSL證書為Windows Server或(非Server)操作系統(tǒng)遠(yuǎn)程桌面(3389))RDP連接加密

發(fā)表回復(fù)

本站承接,網(wǎng)站推廣(SEM,SEO);軟件安裝與調(diào)試;服務(wù)器或網(wǎng)絡(luò)推薦及配置;APP開發(fā)與維護(hù);網(wǎng)站開發(fā)修改及維護(hù); 各財(cái)務(wù)軟件安裝調(diào)試及注冊(cè)服務(wù)(金蝶,用友,管家婆,速達(dá),星宇等);同時(shí)也有客戶管理系統(tǒng),人力資源,超市POS,醫(yī)藥管理等;

立即查看 了解詳情