使用SSL证书为Windows的远程桌面加密

最近更新：2018-05-07

通常，每当通过远程桌面访问远程计算机时都会出现下面这个页面，出现这个页面的根本原因就是被连接到的计算机出示的SSL证书不受信任导致的。这里对SSL证书的检查与浏览器对SSL证书的检查过程类似，可以参考浏览器如何检查SSL证书。

所以，要想解决这个问题，首先要有一张受信任的SSL证书（如何申请这个证书不在本文介绍范围内），拿到证书后，需要将证书转换为PFX格式（点此查看如何将PEM证书+私钥转换为PFX格式）。

接下来，按快捷键“Win+R”，打开运行对话框，并输入mmc，点击确定，打开管理控制台。

点击“文件-添加/删除管理单元”。

在左侧选中“证书”，并点击中间的“添加”按钮。

在弹框中选择“计算机账户”，并点击“下一步”

再选择“本地计算机（运行此控制台的计算机）”，按“完成”、“确定”按钮。

在左侧打开“控制台根节点-证书（本地计算机）-个人”在“个人”上点右键，选择“所有任务-导入”

按照相应提示点击“下一步”并选择一个SSL证书（如果找不到证书可将右下角的格式修改为“所有文件(*.*)”），输入密码后将证书导入进来（自动选择证书存储区域）。

导入完成后，可以在证书中看到刚刚导入的那个证书。

接下来要进行分配权限，允许网络服务读取私钥，在刚刚导入的证书上点击右键，选择“所有任务-管理私钥”。

在打开的对话框中为NETWORK SERVICE增加“读取”权限后，确定。

再次按快捷键“Win+R”，输入regedit，在点“确定”。

在注册表编辑器中展开路径HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp，在右侧新建二进制值，名称为SSLCertificateSHA1Hash

将刚刚新建的字段的记录值设置为之前导入的证书的指纹（证书的指纹可以双击控制台中的证书，在“详细信息”选项卡中查询到）。

到这里就已经完成了所有配置，重新启动服务器后即可使用证书上有的域名进行安全的连接了。如果重启计算机后发生无法连接上的情况，可能时之前输入的“指纹”出现错误，再仔细检查一下。

（正文完）