微軟 Windows Server 2008 R2:憑證推動 RDS 安全性:第二部

  • 發行項

為了保障遠端桌面服務的通訊安全性,使用憑證是其中一個很重要的環節。 這裡是如何將它們安裝在您的伺服器的每個故事的其餘部分。

Kristin Griffin

證書在遠端桌面服務 (RDS) 部署中發揮了重要作用。 他們説明用戶端和伺服器之間的安全通信。 他們確認您要連接的網站或伺服器的身份。 他們還標誌遠端桌面協定 (RDP) 檔向你保證,他們從受信任的源。

您應該使用的證書與每個 RDS 角色服務。 這是你要知道,使用群組原則或本地工具每個角色的伺服器上安裝的證書。 首先,您配置所有 RD 工作階段主機每個伺服器的連接安全設置從原始的常規選項卡­RD 配置工具的 col 偵聽器屬性對話方塊。 要到達那裡,請轉到管理工具 |遠端桌面服務 |遠端桌面工作階段主機配置。 然後按兩下 RDP Tcp 在中間窗格中的連接部分中。 這也是,您可在其中添加伺服器的 SSL 證書。

在每台伺服器上,您可以配置這些設置。 您還可以配置這些設置使用群組原則,通過將從電腦配置的群組原則物件 (GPO) 設置以下一組應用於 RD 工作階段主機伺服器組織單位 (OU) |政策 |管理範本 |Windows 元件 |遠端桌面服務 |遠端桌面工作階段主機 |安全:

  • 設置用戶端連接加密級別
  • 遠端 (RDP) 連接需要使用特定的安全層
  • 伺服器身份驗證憑證範本
  • 通過使用網路級身份驗證 (NLA) 需要進行遠端連接的使用者身份驗證

網路級身份驗證

預設情況下,不需要 NLA。 要連接到 RD 工作階段主機伺服器需要 NLA 的使用,請選擇 appropri­吃了核取方塊。 這樣做將阻止任何用戶端不支援 NLA (任何用戶端運行之前,6.x 版 RDC 和任何憑據安全支援提供程式或 CredSSP 不支援的作業系統) 連接到伺服器。 只有用戶端運行 Windows 7、 Windows Vista 和 Windows XP SP3 支援 CredSSP。

伺服器身份驗證

從安全層部分設置伺服器的身份驗證設置。 預設值是 Nego­兵工廠,用戶端和伺服器,將兩者的含義使用傳輸層安全性 (TLS) 對於伺服器驗證,如果是 sup­埠。

您可以編輯此設置強制使用 TLS 伺服器身份驗證。 如果您不能對伺服器進行身份驗證,則可以設置用戶端行為從遠端桌面用戶端的高級選項卡上的設置:

  • 如果身份驗證失敗則不連接
  • 如果身份驗證失敗時發出警告
  • 始終,即使連接的身份驗證失敗

您可以選擇伺服器用於驗證本身通過按一下選擇螢幕的底部附近的證書。 如果您按一下選擇,您可以獲取更多詳細資訊的證書,包括它用名稱的憑證授權 (CA),和它過期時。

證書應包含 RD 工作階段主機伺服器的 DNS 名稱。 例如,這將是 rdsh1.domain.local,類似。 如果您實現了伺服器場,證書應包含 RD 工作階段主機伺服器場的 DNS 名稱 — — 例如,farm.domain.local。

預設情況下,RD 工作階段主機伺服器設置為使用自簽名的證書。 此證書並不是要在生產環境中使用,原因有三:

  • 真品證明書並不是在所有審核。
  • 因為它不由可信方 (如公共 CA 或您的公司內部公開金鑰基礎結構解決方案) 簽署證書不是由用戶端受信任。
  • 如果您在實施一個農場,預設證書上的名稱不匹配 RD 工作階段主機伺服器農場名稱,因此伺服器身份驗證將失敗。

簽署彙集和個人虛擬機器

你可以有彙集和個人虛擬機器 (Vm) 簽署的關於使用 RD 連線管理員的連接路經紀人安裝 SSL 證書 (se 圖 1)。

You can use RD Connection Manager to sign pooled or single VMs

圖 1 簽署彙集或單個虛擬機器使用 RD 連線管理員。

簽名 RemoteApps

RemoteApps 使用安裝在否認是管理器 RD 工作階段主機伺服器上的證書簽名 (請參見圖 2)。

You can also sign RemoteApps; use the certificate in RemoteApp Manager

圖 2 您還可以登錄 RemoteApps ; 否認是管理器中使用的證書。

如果您設置了 RD 工作階段主機伺服器場,請務必在農場,和您部署的任何其他農場的所有 RD 工作階段主機伺服器上安裝完全相同的證書。 這種 Web 單一登入 (SSO) 的方式將工作跨所有農場成員和所有的農場。

為此,匯出的證書,包括私密金鑰,從一台伺服器。 將其導入到其他伺服器使用證書管理單元中的 Microsoft 管理主控台 (MMC) — — 添加電腦帳戶,不在使用者帳戶。

如果您在實施 Web SSO RD Web 訪問並使用 RD 連接經紀作為 RD Web Access 中的源,然後必須安裝相同的證書 RD 連接經紀中 (用來簽名 RemoteApps 同一證書) 的所有 RD 工作階段主機伺服器上一樣。 這可能會造成混淆,原因有二:

  1. 你在路連接經紀業務的人安裝了證書的部分被稱為"虛擬桌面:資源和配置,"這是誤導。 在這裡安裝的證書不只用於簽署 Vm 虛擬桌面基礎設施 (VDI),它也用於 Web SSO 過程中涉及的 RD 連接經紀,簽署 RemoteApps。 RD 連接經紀人和 RD 工作階段主機伺服器否認是管理器中的簽章憑證必須匹配或 Web SSO 將會失敗。
  2. 當你開始否認是和 RD 連接經紀人上安裝的證書是比 RD 工作階段主機伺服器上安裝不同時,Web SSO 不會工作。 沒有任何跡象表明,然而,證書是實際上的不同路連接經紀。 快顯視窗只顯示設定否認是管理器中,因此很難告訴證書頒發的證書。

檢查 "引入 Web 單一登入為否認是和桌面連接"博客為 Web SSO 設置的詳細資訊。

確保 RD 訪問網站

確保 Web 網站不是特定的 RDS。 為加強安全 RD Web 訪問的 Web 網站,在 IIS 中添加具有 Web 網站的 DNS 名稱的證書 (請參見圖 3)。

Adding a certificate with the DNS name can secure an RD Web Access site

圖 3 添加帶有 DNS 名稱的證書可以安全的 RD 訪問 Web 網站。

安裝到伺服器的電腦個人存儲具有包含私密金鑰的證書將顯示為相應的下拉式清單方塊,在編輯功能表中的選項。

路閘道配置的證書

路閘道安裝需要證書來加密用戶端與伺服器之間的通信,特別是通過互聯網。 SSL 證書應包含外部使用者可以解決的路閘道伺服器的 DNS 名稱 (外部 DNS 名稱,例如:rdgateway.domain.com)。

通過 SSL 證書選項卡路閘道證書安裝在路閘道管理器屬性 (請參見圖 4)。 查看詳細資訊 TechNet Library 中的路閘道證書

Install the RD Gateway certificate

圖 4 安裝路閘道證書。

RDS 部署安全通信,並驗證用戶端和伺服器中,您可以設置了證書。 有一些特定的證書要求為每個角色服務。 這將説明你理解為什麼你需要證書的 RDS 的實現中,以及如何以及在何處執行每個 RDS 角色服務的電子證書。

Kristin Griffin

Kristin Griffin 是遠端桌面服務 MVP。 她溫和派致力於説明基於伺服器的計算社區 (遠端桌面服務) 的 Microsoft 論壇並保持在 blog.kristinlgriffin.com RDS 博客。 她是貢獻者馬克米納西"掌控 Windows Server 2008"(Sybex,2008年) 和"掌握 Windows Server 2008 R2"(Sybex,2010年)。 她還與塔 · 安德森合著的"微軟 Windows Server 2008 終端服務資源工具包"(微軟出版社,2008年) 和"Microsoft Windows Server 2008 R2 遠端桌面服務資源工具包"(微軟出版社,2010年)。

相關內容

證書使用 RDS Q & A

**問:**如何添加證書我的伺服器,所以我可以在我的遠端桌面服務 (RDS) 角色服務中使用它們?

**答:**位於您的伺服器的電腦帳戶個人存儲區中的證書將供您將添加到 RDS 實現。 將證書添加到電腦帳戶個人存儲區:

  1. 創建 Microsoft 管理主控台 (MMC) 管理單元中 (在運行或搜索框中的 MMC 類型)
  2. 添加證書管理單元 (檔,添加/刪除管理單元)
  3. 選擇電腦帳戶,添加,然後按一下確定
  4. 導航到個人資料夾中,然後進入證書資料夾
  5. 按右鍵,然後選擇要導入您接收到來自您的 CA 的證書導入

路閘道管理器容易在這方面,因為它給你一個導入按鈕在介面中因此您不必手動創建 MMC 管理單元中。

**問:**當使用者開始簽名的遠端桌面協定 (RDP) 檔如何制止任何警告消息?

**答:**啟用策略設置。 指定安全雜湊演算法 (SHA1) 拇指指紋的代表.rdp 可信發行商證書。 當啟用此策略時,你用指定用戶端將看到為受信任的證書。 當你告訴用戶端信任證書時,該證書由簽署任何 RDP 檔是受信任的。 因此,您不會收到任何警告快顯視窗,要求您確認您信任發佈者。 檢查這裡為此設置的詳細資訊。

問: 的正確證書中的地方我 RD 工作階段主機伺服器上,但仍然有連接的問題。

**答:**有一些已知的問題,與證書和 RDS 實現的方面:

  1. 使用伺服器閘道加密 (SGC) 證書,似乎會導致問題。 請確保您的證書不是 SGC 證書。 有關詳細資訊,請參閱 RDS 論壇執行緒這裡這裡
  2. 如果您連接的用戶端出現錯誤,"證書不是有效的這種用法的"RD 工作階段主機伺服器上的證書的憑證連結可能太長。 請參閱 RDS 論壇執行緒的詳細資訊。

**問:**可以使用萬用字元證書或存儲區域網路 (SAN) 與我的 RDS 實現嗎?

**答:**是的你就可以了。 SAN 證書是具有多個主機名稱稱的證書。 因為 SAN 證書包含多個主題名稱,您可以使用一個證書需要證書的多個位置中。 SAN 證書的示例可能是一個包含您的路閘道和您的 RD Web 訪問 DNS 名稱,以及您將使用否認是對檔進行簽名的名稱:

  • rdgateway.domain.com
  • rdweb.domain.com
  • sign.domain.com

通過使用萬用字元證書,您需要執行一個典型的小型伺服器場部署兩個證書。 RD 工作階段主機農場仍需要參考的農場,DNS 名稱,此名稱通常是內部 DNS 名稱 (domain.local)。 這不是相同,您的外部 DNS 區域 (domain.com),你得有一個單獨的證書為此。

**問:**我有一台伺服器上安裝了多個角色服務。 是否仍需要在我有利用的所有角色服務安裝的證書嗎?

**答:**沒錯。 每個角色服務使用證書為特定的目的。 即使一台伺服器上,可合併角色服務,把它們作為獨立的實體實現證書時。

— — 點子