04-Windows Server 2012 R2 会话远程桌面-规范布置-CA证书(RemoteApp)51CTO博客 - 威尼斯人

04-Windows Server 2012 R2 会话远程桌面-规范布置-CA证书(RemoteApp)51CTO博客

2019年04月12日12时39分11秒 | 作者: 景彰 | 标签: 证书,效劳,点击 | 浏览: 1534

在之前的博客中,现已依照规范布置进行了装备,根本上规范的布置现已完结,可是在IT环境中,细节决定胜败,在咱们经过Web进行拜访RemoteApp程序时分,总会有一些正告和阻挠,这些问题尽管不影响到用户的运用,可是这影响到在运用过程中的安全性,处理这些问题的办法便是证书。

首要咱们要处理的问题便是,当咱们登录到RDWeb效劳器进行拜访时,总是提示“此网站的安全证书存在问题”

其次,首要处理的问题是,当发动其间的一个RemoteApp运用程序时分,总是弹出“网站要求运转RemoteApp程序。无法辨认此RemoteApp程序发布者”

以上的2个问题都是能够经过证书效劳器来进行处理,装备好证书问题,这2个正告就能够消除,在本次博客中,首要完结下面3个方面:

1、 装置CA证书效劳器

2、 设置Web安全拜访

3、 信赖remoteapp发布者

在此次装备中,运用的效劳器状况如下:

效劳器称号

操作体系

IP设置

功用

AD-DC.mabofeng.com

Windows Server 2012 R2

192.168.1.100

域操控器

AD-DC.mabofeng.com

Windows Server 2012 R2

192.168.1.100

CA证书效劳器

RD-CB.mabofeng.com

Windows Server 2012 R2

192.168.1.201

长途桌面衔接署理

RD-WA.mabofeng.com

Windows Server 2012 R2

192.168.1.150

长途桌面Web拜访

RD-SH.mabofeng.com

Windows Server 2012 R2

192.168.1.170

长途桌面会话主机

RD-CC.mabofeng.com

Windows 8.1

192.168.1.99

客户端核算机


一、装置CA证书效劳器

1、在AD-DC.mabofeng.com效劳器中,在域控效劳器上装置证书效劳器,在效劳器办理器中,点击办理,在弹出的菜单中挑选“增加人物和功用”

2、在增加人物和功用导游中“开端之前”页面中,点击下一步。

3、在挑选装置类型页面中,挑选根据人物或许根据功用的装置,点击下一步

4、在“效劳器挑选”页面中,挑选要装置人物和功用的效劳器或虚拟硬盘,挑选“从效劳器池中挑选效劳器”然后挑选本机,点击下一步。

5、在“挑选效劳器人物”界面中,挑选Active Directory证书效劳,点击下一步。此刻,咱们将Active Directory域效劳和DNS效劳器一同装置在了同一台核算机中,假如效劳器资源殷实,主张独自布置各个功用组件,并设置Active Directory辅域。

6、在“挑选功用”页面中,不挑选任何功用组件,直接点击下一步。

7、接下来就进入了“Active Directory证书效劳”的装备页面,在装备导游中点击下一步。

8、在“挑选人物效劳”页面中,挑选Active Directory证书效劳的人物效劳,这儿挑选“证书颁布组织”和“证书颁布组织Web注册”,然后点击下一步。

9、当咱们勾选“证书颁布组织Web注册”时,一同需求增加Web效劳器(IIS),在增加证书颁布组织Web注册所需的功用页面中,显现了要装备iis的功用组件,这儿点击“增加功用”。

10、接下来便是装备Web效劳器人物(IIS),在Web效劳器人物(IIS)页面中,点击下一步。

11、在“人物效劳”页面中,为web效劳器(IIS)挑选要装置的人物效劳,默许根本选项,点击下一步。

12、在“承认装置所选内容”页面中,承认要在所选效劳器上装置的人物、人物效劳或功用,勾选“假如需求。主动重新发动方针效劳器”最终点击装置。

等候一段时刻后,CA证书效劳器就装置完结了,装置阶段的作业就完结了,可是要运用CA证书效劳器就有必要装备一个企业CA证书。接下来就来装备业CA证书。

1、在AD CS装备导游中,凭证界面中,指定凭证以装备人物效劳,默许是域办理员,如需求进行更改用户,能够点击“更改”,然后点击下一步。

2、在“人物效劳”页面中,挑选要装备的人物效劳,点击“证书颁布组织”和“证书颁布组织web注册”,然后点击下一步。

3、在“设置类型”页面中,指定CA的设置类型,企业证书颁布组织分为2种,一种是企业CA,另一种是独立CA,运用企业CA的用户要求有必要是域成员,而且一般处于练级状况以颁布证书或证书战略,而独立的CA一般对错域环境,独立的CA不需求AD DS,而且能够在没有网络衔接的状况下运用,一般是指第三方的CA证书效劳。这儿挑选企业CA,然后点击下一步。

4、在CA类型页面中,点拨CA类型,在装置证书效劳器时,将创立或扩展公钥根底结构层次结构,根CA坐落PKI层次结构的顶部,颁布其自己的自签名证书,隶属CA从PKI层次结构中坐落其上方的CA接纳证书。这儿挑选根CA,点击下一步。

5、在私钥页面中,指定私钥的类型,能够运用现有的私钥,也能够是创立新的私钥,这儿挑选创立新的私钥,点击下一步。

6、在CA加密页面中,挑选加密的选项,然后点击下一步。

7、在指定CA称号页面中,键入共用称号以标识该证书颁布组织,此称号将增加到该CA颁布的一切证书者,CA的共用称号是以证书效劳器的核算机称号后边加-CA,可分辩称号后缀值是主动生成的,不过能够对其进行修正,然后点击下一步。

8、在“有效期”界面中,挑选为此证书颁布组织CA生成的证书有效期,默许时刻为5年,以装备完结时刻为开端,设置完结后点击下一步。

9、在CA数据库页面中,指定证书数据库的方位和证书效劳器日志的方位,默许地址为C:/Windows/System32文件夹中,设置完结后点击下一步。

10、在承认页面中,承认装备的人物、人物效劳或功用,然后点击装备。

11、在装备进展页面中,正在装备人物效劳,等候一段时刻后,即可装备完结。

12、在成果页面中,成功装备证书颁布组织和证书颁布组织Web注册,至此,证书的装置和装备作业就全面完结了,接下来便是装备证书模版。

接下来首要是装备证书模版,因为一般企业中的证书效劳器是给域中一切的核算机中运用,域证书效劳器中默许包含了许多证书模版,为了稳妥和安全,主张手动树立一个证书模版,能够专门为RD效劳器运用,因为咱们是颁布共用的证书,所以对模版也要进行简略的设置。

1、在效劳器办理器中,点击东西,在弹出的东西菜单中,挑选证书颁布组织,在证书颁布组织页面中,右键挑选证书模版,在弹出的菜单中挑选办理。

2、在证书模版操控台中,找到核算机模版,然后右键点击核算机模版,在弹出的选项中挑选仿制模版。

3、在新建模版的特点中,首要挑选惯例页面,在惯例页面中,设置模版显现称号,这儿输入RD核算机,并勾选在Active Directory中发布证书。

4、在运用这称号的选项中,点击“在恳求中供给”设置完结后,点击运用。

5、在“证书颁布组织”页面中,右键挑选证书模版,在弹出的菜单中挑选新建-要颁布的证书模版。

6、在启用证书模版页面中,找到之前设置的RD核算机,选中后点击确认。

7、最终,在证书模版中,就能够看到设置的RD核算机模版,此刻,证书方面的设置根本完结了。

二、设置Web安全拜访

Web安全拜访首要设置IIS,无论是选用什么装置方式,包含规范布置或许是快速布置,只需装置了长途桌面Web拜访Remote Desktop Web Access效劳,那么在效劳器中就会装置IIS web效劳器,假如需求进行安全拜访,其首要便是设置IIS,其实这部分不归于RemoteApp设置领域,应该归于IIS的安全拜访设置,所以对IIS较为了解的工程师,对这部分都会感到了解,下面就来设置Web的安全拜访。

1、 在RD-WA.mabofeng.com效劳器中,在效劳器办理器中,点击东西,在弹出的东西菜单中,挑选IIS办理器,在IIS中的RD-WA效劳器中,双击挑选“证书效劳器”。

2、在效劳器证书页面中,右边的操作栏目中,点击挑选创立域证书。

3、在创立证书导游中的可分辩称号特点中,输入请求证书的必要信息,这儿的通用称号要输入效劳器的完好域名,输入完结后,点击下一步。

4、在创立证书导游中的联机证书颁布组织页面中,指定域内将对证书进行签名的证书颁布组织,并指定一个好记的称号以便于回忆,首要点击挑选,挑选域中的证书效劳器,然后设置一个称号,点击完结。

4、 当请求完结后,接下来咱们进行网站443端口绑定,首要咱们点开网站树状结构,右键挑选Default Web Site,在弹出的菜单中挑选“修改绑定”。

5、在网站绑定页面中,挑选https,端口443,然后点击修改。

6、在“修改网站绑定”页面中,挑选SSL证书,点击挑选按钮,挑选之前请求的证书,然后点击确认。

7、为了简略便利的进行拜访,咱们能够将IIS中默许的主页,设置为RD Web拜访的地址,所以咱们能够设置默许主页中的HTTP重定向。

8、在IIS主页中的http重定向页面中,勾选要求重定向到此目录,并在文本框中填写RD Web的地址,其地址为/RDWeb/Pages。

9、设置完结后,在RD-CC.mabofeng.com的Windows 8.1操作体系中,翻开IE浏览器,输入长途桌面Web拜访Remote Desktop Web Access效劳器的地址,https:// RD-WA.mabofeng.com/。此刻咱们就能够看到,能够安全的进行拜访Remote Desktop Web Access,而且不会提示证书过错。

三、信赖RemoteApp发布者

信赖RemoteApp发布者便是处理当发动其间的一个RemoteApp运用程序时分,总是弹出“网站要求运转RemoteApp程序,无法辨认此RemoteApp程序发布者”,假如装备了证书效劳,就能够此类的问题。

1、以域办理员的身份登录到RD-SH.mabofeng.com 长途桌面会话主机,然后在运转中输入mmc。

2、翻开体系的操控台后,点击文件-增加/删去办理单元。

3、在核算机上为此操控台挑选证书并装备所选的单元组,点击增加。

4、在证书办理单元界面中,挑选核算机账户,然后点击下一步。

5、在挑选核算机页面中,挑选本地核算机(运转此操控台的核算机),然后点击完结。

6、在证书(本地核算机)页面中,在个人证书里,右键点击个人,在弹出的菜单中挑选一切使命-请求新证书。

7、在证书注册页面里开端界面中,点击下一步,在请求之前,要保证能请求的效劳器能衔接到证书效劳器,然后点击下一步。

8、在证书注册页面里挑选证书注册战略界面中,注册战略启用根据预界说证书模版的证书注册,能够点击特点检查域证书效劳器。然后点击下一步。

9、挑选RD核算机证书模版,并点击黄色感叹号,“注册此证书需求详细信息,单击以装备设置。”

10、在证书特点中的运用者界面中,在运用者称号中,挑选共用名,并增加RD-SH.mabofeng.com长途会话主机,在备用称号中,挑选其他组件效劳器的称号。

11、在证书特点中的私钥界面中,密钥选项中设置私钥的密钥长度和导出选项,勾选“使私钥能够导出”,设置完结后,点击运用。

12、设置证书特点完结后,回到证书注册界面中,点击注册。

13、在证书注册里证书装置成果中,检查证书请求的状况,证书请求成功后,点击完结,退出证书注册。

14、成功请求证书后,在个人-证书里能够看到证书,这是右键挑选证书,在弹出的菜单中挑选一切使命-导出…。

15、在“欢迎运用证书导出导游”中,点击下一步。

16、在导出私钥中,能够挑选将私钥和证书一同导出,可是这儿咱们只需求导出私钥即可,所以挑选“是,导出私钥”。点击下一步。

17、在证书导出导游中,挑选运用要导出的格局,挑选个人信息交流-PKCS # 12(.PFX),并挑选导出一切扩展特点,然后点击下一步。

18、在安全页面中,需求设置导出私钥的安全性,能够对用户进行私钥的权限设置,或许设置一个私钥暗码,然后点击下一步。

19、设置要导出私钥的地址和称号,然后点击下一步。

20、最终,成功导出证书私钥,点击完结,退出证书导出导游。

接着咱们把这张证书别离仿制到RD-SH,RD-CB,RD-WA效劳器上,在运转里输入MMC,挑选本地核算机帐户证书,个人证书里导入此证书。然后在各效劳器上用各自的办理操控台挑选此证书运用起来。

1、在其间的一台RD效劳器办理器中,挑选长途桌面效劳器,点击概述,在布置概述中,点击使命,在下拉菜单中挑选“修改布置特点”

2、在装备布置里证书页面里,长途桌面效劳布置要求运用证书进行效劳器身份验证,单一登录以及树立安全衔接,将之前的证书别离导入到这些人物中。

3、点击挑选现有证书后,挑选之前导出的私钥,并输入正式的暗码,然后点击确认。

4、导入后,需求点击运用,每个证书都有必要别离进行导入。

5、导入后会显现是否成功导入和证书的安全级别。

6、之后能够拆开证书的详细信息,这儿要注意的是,要记住指纹的编号,在后边的域战略中会要求输入认证的指纹信息。

7、当证书设置完结后,需求在域战略中信赖这些证书地点效劳器的发布者,首要咱们以域办理员的方式登录到域操控器,在AD的组战略里,右键单击Default Domain Policy,挑选修改。

8、在Default Domain Policy中,定位到核算机装备\战略\办理模板\Windows组件\长途桌面效劳\长途桌面衔接客户端。双击指定表明受信赖.rdp发行者的SA1证书指纹。

9、在.rdp发行者的SA1证书指纹战略中点击启用,把指纹仿制进去,然后点击确认。

10、将用于对RDP文件进行数字签名的证书的指纹增加到Default Domain Group Policy设置中,这一步是必需的,这样用户每次发动RemoteApp程序时才不会呈现受信赖的发行者的正告对话框。完结后运用指令gpupdate /force强制跟新域战略。

11、接下来咱们就来进行下测验,在RD-CC.mabofeng.com,win8.1客户端中点击运用后,会直接弹出运转窗口,不会弹出任何的正告,此刻证书验证成功。

版权声明
本文来源于网络,版权归原作者所有,其内容与观点不代表威尼斯人立场。转载文章仅为传播更有价值的信息,如采编人员采编有误或者版权原因,请与我们联系,我们核实后立即修改或删除。

猜您喜欢的文章