一、准备工作
配置前需确保已获取有效的SSL证书,可选择以下任一方式:
- 从CA机构(如Let’s Encrypt)申请免费证书
- 使用OpenSSL生成自签名证书
- 通过IIS服务器证书功能创建
证书需包含完整的密钥对(.pfx或.p12格式),并记录证书指纹信息用于后续配置。
二、生成SSL证书
以OpenSSL生成自签名证书为例:
- 执行命令生成私钥:
openssl genrsa -out server.key 2048 - 创建证书签名请求:
openssl req -new -key server.key -out server.csr - 生成有效期为1年的证书:
openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt
三、导入证书到系统
通过证书管理器完成导入:
- 运行
certmgr.msc打开证书管理控制台 - 右键”个人”证书存储,选择”所有任务 > 导入”
- 选择.pfx文件并输入私钥密码
- 分配权限:为NETWORK SERVICE账户添加私钥读取权限
四、配置远程桌面服务
通过命令行绑定证书:
- 获取证书指纹:在证书属性中复制SHA1哈希值
- 管理员身份运行PowerShell执行:
wmic /namespace:\\root\cimv2\TerminalServices PATH Win32_TSGeneralSetting Set SSLCertificateSHA1Hash="指纹值" - 设置加密级别为高级:
gpedit.msc > 计算机配置 > 管理模板 > Windows组件 > 远程桌面服务 > 设置客户端连接加密级别
五、验证加密连接
完成配置后需进行验证:
- 客户端连接时查看证书颁发机构有效性
- 使用Wireshark抓包验证TLS协议版本
- 检查远程桌面连接栏的加密锁标识
通过替换默认自签名证书为CA认证证书,可有效解决远程桌面的SSL加密警告问题。配置过程中需特别注意证书指纹绑定和权限分配,建议每12个月更新证书以符合安全规范。
