使用免费SSL证书为Windows Server或(非Server)操作系统远程桌面(3389))RDP连接加密

[全站通告]人工一对一服务收费-非诚勿扰-如需请加微信以及QQ(QQ及微信同号 2589053300)

这两天淘宝来了一个老铁,说是因为一个远程3389的漏洞出了问题,用的是啥深信服的安全软件,对此软件具体不详,提示错误;错误如下:“此服务的 X.509 证书链未经公认证书颁发机构签名。如果远程主机为生产环境中的公共主机,这样会使 SSL 的使用无效,因为任何人都可以建立针对远程主机的中间人攻击。请注意,此插件不会检查以非自签名、而经未公认证书颁发机构签名的证书结尾的证书链。”如下图:

出现这个问题,是跟“非信任机构”有关系,具体看图;

出现这个问题的原理:

导致这个问题的原因实际是系统使用了一个自签名的默认证书,而这个自签名证书对于客户端来说是不可信的,也就是说无法用于证明服务端的身份,客户端自然就会报告其不安全,那相对应的安全软件也会给予提示不安全,应该是这么个原理;那么解决的思路就有了,那就是我们为服务端添加一个可信的证书,并在远程桌面连接中让系统使用这个证书。首先获得一个这样的证书并不难,只要你已经有至少一个可用的域名,阿里云、腾讯云等各种云可以免费为提供;然后导入这个证书也不难,只要参照配置https服务的方法,直接导入就行了;

具体操作流程:分五部分;

第一部分,修改计算机名称:

我们的PC或者服务器默认的计算机名称是随机的,远程桌面连接时,会提示证书有错误。先修改计算机名,如本例,设置为 yuancheng.laoliang.fun ,重启系统后,新计算机名生效;

第二部分、申请SSL证书、以及设置SLL证书;

已经用证书配置好https的可以跳过第一步。我之前已经申请好证书了,在这里就不演示申请过程了,关于阿里云,腾讯云等云免费证书的教程很多,可以自行百度之。申请到证书后,在我们手中的应该是一个 *.p12 的证书文件, 放在一边备用。如果手上只有 私钥 *.key 和 证书 *.crt ,熟悉linux的也可以用openssl命令行大法搞定。

首先按下‘Win + R’,进入“运行”,键入“mmc”,打开“管理控制台”。

在 文件 中选择 添加/删除管理单元 。

在左侧选中 证书 后点击 添加 。在弹出的对话框中选择 计算机账户,点击 下一步 。之后选择 本地计算机(保持默认) 然后点击 完成 ,再然后点击 确定 。

在 证书-个人 上点击 右键 ,选择 所有任务-导入 。

按照向导点击 下一步 ,之后选择你的 证书文件 (p12格式的证书文件选择时需要更改文件类型才可以找到),之后需要输入之前设置的密码,证书存储 选择 根据证书类型,自动选择证书存储 ,然后点击下一步即可。

 

导入完成后如下图所示:

第三部分、 分配权限;

首先在已经导入的证书上点击 右键 ,选择 所有任务-管理私钥 。

之后添加 NETWORK SERVICE 用户。至少要将 读取 权限分配给 NETWORK SERVICE ,然后确定。

 

第四部分、编辑注册表

首先是按下‘Win + R’,进入“运行”,键入“regedit”,打开“管理控制台”。

展开路径 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp ,然后添加如下项:
名称: SSLCertificateSHA1Hash        类型: REG_BINARY

之后回到之前的证书管理,双击打开已经导入的证书,在 详细信息 中选择 指纹 ,并记录下方的值。

最后将记录的值填入之前新建注册表项的 数据 位置。

添加成功如下图:

按照此操作,用IP链接,依然显示下面的错误,具体请看;   因为我用的是域名的证书,应该用域名链接即可;       

第五部分、内网设置HOST;

那如果是内网呢?做一下host喽,在自己以及所在服务器里都做一下host,具体路径为 C:\Windows\System32\drivers\etc 然后基本打开hosts 编辑此文件;(注意,是客户端以及服务器都这么设置才可以);

按照以上的操作,就基本大功告成喽;

博主QQ及微信 2589053300 --更多请关注:老梁`s Blog

所写所说,是心之所感,思之所悟,行之所得;文当无敷衍,落笔求简洁。 以所舍,求所获;有所依,方所成!

免责声明,若由于商用引起版权纠纷,一切责任均由使用者承担。

您必须遵守我们的协议,如您下载该资源,行为将被视为对《免责声明》全部内容的认可->联系老梁投诉资源
LaoLiang.Net部分资源来自互联网收集,仅供用于学习和交流,请勿用于商业用途。如有侵权、不妥之处,请联系站长并出示版权证明以便删除。 敬请谅解! 侵权删帖/违法举报/投稿等事物联系邮箱:service@laoliang.net

转载请注明-老梁`s Blog(老梁博客) » 使用免费SSL证书为Windows Server或(非Server)操作系统远程桌面(3389))RDP连接加密

发表评论

本站承接,网站推广(SEM,SEO),软件的安装的安装与调试,服务器的推荐以及配置,APP的开发与维护,网络或者web维护;财务软件,客户管理系统,人力资源,超市POS,医药管理,服务器安全,ecshop,金蝶,用友,管家婆;

立即查看 了解详情