准备SSL证书
多种方式可获取SSL证书,这里介绍利用宝塔来获取,在阿里云服务器安装宝塔,然后新建这个域名的网站
申请成功后会出现密钥,点击“下载证书”保存到本地
宝塔会生成多种类型的证书,远程桌面使用的是IIS目录下的证书。
没SSL证书连接会出这个提示;
出现这个问题的原理:
导致这个问题的原因实际是系统使用了一个自签名的默认证书,而这个自签名证书对于客户端来说是不可信的,也就是说无法用于证明服务端的身份,客户端自然就会报告其不安全,那相对应的安全软件也会给予提示不安全,应该是这么个原理;那么解决的思路就有了,那就是我们为服务端添加一个可信的证书,并在远程桌面连接中让系统使用这个证书。首先获得一个这样的证书并不难,只要你已经有至少一个可用的域名,阿里云、腾讯云等各种云可以免费为提供;然后导入这个证书也不难,只要参照配置https服务的方法,直接导入就行了;
具体操作流程:分五部分;
第一部分,修改计算机名称:
我们的PC或者服务器默认的计算机名称是随机的,远程桌面连接时,会提示证书有错误。先修改计算机名,如本例,设置为 yuancheng.laoliang.fun ,重启系统后,新计算机名生效;
第二部分、申请SSL证书、以及设置SLL证书;
已经用证书配置好https的可以跳过第一步。我之前已经申请好证书了,在这里就不演示申请过程了,关于阿里云,腾讯云等云免费证书的教程很多,可以自行百度之。申请到证书后,在我们手中的应该是一个 *.p12 的证书文件, 放在一边备用。如果手上只有 私钥 *.key 和 证书 *.crt ,熟悉linux的也可以用openssl命令行大法搞定。
首先按下‘Win + R’,进入“运行”,键入“mmc”,打开“管理控制台”。
在 文件 中选择 添加/删除管理单元 。
在左侧选中 证书 后点击 添加 。在弹出的对话框中选择 计算机账户,点击 下一步 。之后选择 本地计算机(保持默认) 然后点击 完成 ,再然后点击 确定 。
在 证书-个人 上点击 右键 ,选择 所有任务-导入 。
按照向导点击 下一步 ,之后选择你的 证书文件 (p12格式的证书文件选择时需要更改文件类型才可以找到),之后需要输入之前设置的密码,证书存储 选择 根据证书类型,自动选择证书存储 ,然后点击下一步即可。
第三部分、 分配权限;
首先在已经导入的证书上点击 右键 ,选择 所有任务-管理私钥 。
之后添加 NETWORK SERVICE 用户。至少要将 读取 权限分配给 NETWORK SERVICE ,然后确定。
第四部分、编辑注册表
首先是按下‘Win + R’,进入“运行”,键入“regedit”,打开“管理控制台”。
展开路径 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp ,然后添加如下项:
名称: SSLCertificateSHA1Hash 类型: REG_BINARY
之后回到之前的证书管理,双击打开已经导入的证书,在 详细信息 中选择 指纹 ,并记录下方的值。
最后将记录的值填入之前新建注册表项的 数据 位置。
添加成功如下图:
按照此操作,用IP链接,依然显示下面的错误,具体请看; 因为我用的是域名的证书,应该用域名链接即可;
第五部分、内网设置HOST;
那如果是内网呢?做一下host喽,在自己以及所在服务器里都做一下host,具体路径为 C:\Windows\System32\drivers\etc 然后基本打开hosts 编辑此文件;(注意,是客户端以及服务器都这么设置才可以);
按照以上的操作,就基本大功告成喽;
