使用免費SSL證書為Windows Server或(非Server)操作系統遠程桌面(3389))RDP連接加密
[重要通告]如您遇疑難雜癥,本站支持知識付費業務,掃右邊二維碼加博主微信,可節省您寶貴時間哦!
這兩天淘寶來了一個老鐵,說是因為一個遠程3389的漏洞出了問題,用的是啥深信服的安全軟件,對此軟件具體不詳,提示錯誤;錯誤如下:“此服務的 X.509 證書鏈未經公認證書頒發機構簽名。如果遠程主機為生產環境中的公共主機,這樣會使 SSL 的使用無效,因為任何人都可以建立針對遠程主機的中間人攻擊。請注意,此插件不會檢查以非自簽名、而經未公認證書頒發機構簽名的證書結尾的證書鏈?!比缦聢D:
出現這個問題,是跟“非信任機構”有關系,具體看圖;
出現這個問題的原理:
導致這個問題的原因實際是系統使用了一個自簽名的默認證書,而這個自簽名證書對于客戶端來說是不可信的,也就是說無法用于證明服務端的身份,客戶端自然就會報告其不安全,那相對應的安全軟件也會給予提示不安全,應該是這么個原理;那么解決的思路就有了,那就是我們為服務端添加一個可信的證書,并在遠程桌面連接中讓系統使用這個證書。首先獲得一個這樣的證書并不難,只要你已經有至少一個可用的域名,阿里云、騰訊云等各種云可以免費為提供;然后導入這個證書也不難,只要參照配置https服務的方法,直接導入就行了;
具體操作流程:分五部分;
第一部分,修改計算機名稱:
我們的PC或者服務器默認的計算機名稱是隨機的,遠程桌面連接時,會提示證書有錯誤。先修改計算機名,如本例,設置為 yuancheng.laoliang.fun ,重啟系統后,新計算機名生效;
第二部分、申請SSL證書、以及設置SLL證書;
已經用證書配置好https的可以跳過第一步。我之前已經申請好證書了,在這里就不演示申請過程了,關于阿里云,騰訊云等云免費證書的教程很多,可以自行百度之。申請到證書后,在我們手中的應該是一個 *.p12 的證書文件, 放在一邊備用。如果手上只有 私鑰 *.key 和 證書 *.crt ,熟悉linux的也可以用openssl命令行大法搞定。
首先按下‘Win + R’,進入“運行”,鍵入“mmc”,打開“管理控制臺”。
在?文件?中選擇?添加/刪除管理單元?。
在左側選中?證書?后點擊?添加?。在彈出的對話框中選擇?計算機賬戶,點擊?下一步?。之后選擇?本地計算機(保持默認) 然后點擊?完成?,再然后點擊?確定?。
在?證書-個人?上點擊?右鍵?,選擇?所有任務-導入?。
按照向導點擊?下一步?,之后選擇你的?證書文件?(p12格式的證書文件選擇時需要更改文件類型才可以找到),之后需要輸入之前設置的密碼,證書存儲?選擇?根據證書類型,自動選擇證書存儲?,然后點擊下一步即可。
導入完成后如下圖所示:
第三部分、 分配權限;
首先在已經導入的證書上點擊?右鍵?,選擇?所有任務-管理私鑰?。
之后添加?NETWORK SERVICE?用戶。至少要將?讀取?權限分配給?NETWORK SERVICE?,然后確定。
第四部分、編輯注冊表
首先是按下‘Win + R’,進入“運行”,鍵入“regedit”,打開“管理控制臺”。
展開路徑 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp ,然后添加如下項:
名稱: SSLCertificateSHA1Hash? ? ? ? 類型: REG_BINARY
之后回到之前的證書管理,雙擊打開已經導入的證書,在?詳細信息?中選擇?指紋?,并記錄下方的值。
最后將記錄的值填入之前新建注冊表項的?數據?位置。
添加成功如下圖:
按照此操作,用IP鏈接,依然顯示下面的錯誤,具體請看;? ?因為我用的是域名的證書,應該用域名鏈接即可;? ? ? ?
第五部分、內網設置HOST;
那如果是內網呢?做一下host嘍,在自己以及所在服務器里都做一下host,具體路徑為 C:\Windows\System32\drivers\etc 然后基本打開hosts 編輯此文件;(注意,是客戶端以及服務器都這么設置才可以);
按照以上的操作,就基本大功告成嘍;
問題未解決?付費解決問題加Q或微信 2589053300 (即Q號又微信號)右上方掃一掃可加博主微信
所寫所說,是心之所感,思之所悟,行之所得;文當無敷衍,落筆求簡潔。 以所舍,求所獲;有所依,方所成!