本主题假定您了解证书信任链、证书签名以及常规的公钥基础结构和证书配置原则。有关 Windows Server 2008 中的 PKI 配置的信息,请参阅 ITPROADD-204:在 Windows Vista 和 Windows Server 2008 中的 PKI 增强 [https://go.microsoft.com/fwlink/?LinkId=93995(可能为英文网页)]。有关 Windows Server 2003 中的 PKI 配置的信息,请参阅 Public Key Infrastructure (https://go.microsoft.com/fwlink/?LinkID=54917)(可能为英文网页)。

默认情况下,将使用传输层安全 (TLS) 1.0 加密通过 Internet 在远程桌面服务客户端与 RD 网关服务器之间进行的通信。TLS 是一个标准的协议,用于在 Internet 或 Intranet 上提供安全的 Web 通信。TLS 是安全套接字层 (SSL) 协议最新的并且最安全的版本。有关 TLS 的详细信息,请参阅:

若要正常使用 TLS,必须在 RD 网关服务器上安装与 SSL 兼容的 X.509 证书。

证书安装和配置过程概述

为 RD 网关服务器获取、安装并配置证书的过程涉及下列步骤。

步骤 1:获取远程桌面网关服务器的证书

可以使用下列任一方法为 RD 网关服务器获取证书:

  • 如果您的公司有一个独立 CA 或企业 CA,并且将该 CA 配置为颁发满足 RD 网关要求的与 SSL 兼容的 X.509 证书,可以根据组织 CA 的策略和配置,通过多种方式生成并提交证书请求。获取证书的方法包括:

    • 从“证书”管理单元启动自动注册。

    • 使用证书申请向导申请证书。

    • 通过 Web 申请证书。

      注意

      如果有 Windows Server 2003 CA,请注意,Windows Server 2003 证书服务 Web 注册功能依赖于名为 Xenroll 的 ActiveX 控件。Microsoft Windows Server 2003、Windows 2000 和 Windows XP 中提供此 ActiveX 控件。但是,Windows Server 2008 和 Windows Vista 中已弃用 Xenroll。Windows Server 2003 原始发行版、Windows Server 2003 Service Pack 1 (SP1) 和 Windows Server 2003 Service Pack 2 (SP2) 附带的示例证书注册网页无法处理 Windows Server 2008 和 Windows Vista 执行基于 Web 的证书注册操作的方式的改变。有关解决此问题可以执行的步骤的信息,请参阅 Microsoft 知识库文章 922706 (https://go.microsoft.com/fwlink/?LinkId=94472)(可能为英文网页)。

    • 使用 Certreq 命令行工具。

    有关使用上述任一方法为 Windows Server 2008 R2 获取证书的详细信息,请参阅“证书”管理单元帮助中的“获取证书”主题以及“Windows Server 2008 R2 命令参考”中的“Certreq”主题。若要查看“证书”管理单元帮助主题,依次单击「开始」“运行”,键入 hh certmgr.chm,然后单击“确定”。有关如何为 Windows Server 2003 申请证书的信息,请参阅 Requesting Certificates (https://go.microsoft.com/fwlink/?LinkID=19638)(可能为英文网页)。

    必须由参与 Microsoft 根证书程序成员计划的受信任公用 CA (https://go.microsoft.com/fwlink/?LinkID=59547) 为独立 CA 或企业 CA 颁发的证书共同签名。否则,用户可能无法从家用计算机或 Kiosk 连接到 TS 网关或 RD 网关服务器。由于不是域成员的计算机(例如家用计算机或展台计算机)可能不信任该 CA 颁发的根证书,所以,这些连接可能会失败。

  • 如果您的公司没有配置为颁发与 SSL 兼容的 X.509 证书的独立 CA 或企业 CA,可以向参与 Microsoft 根证书程序成员计划的受信任公用 CA (https://go.microsoft.com/fwlink/?LinkID=59547) 购买证书,其中某些公用 CA 可能会无偿提供试用版证书。

  • 此外,如果您的公司没有独立 CA 或企业 CA,并且您没有受信任公用 CA 颁发的兼容证书,则可以为 RD 网关服务器创建并导入自签名证书,以便进行技术评估和测试。有关详细信息,请参阅为远程桌面网关服务器创建自签名证书

    重要

    如果使用前两种方法中的任一方法获取证书(即,如果从独立 CA 或企业 CA 或者受信任公用 CA 获取证书),必须还要将证书导入到远程桌面网关服务器选择远程桌面网关的现有证书。但是,如果在安装远程桌面网关角色服务期间使用添加角色向导创建自签名证书,或者在安装之后使用远程桌面网关管理器创建自签名证书(如为远程桌面网关服务器创建自签名证书中所述),则不必安装证书并将证书映射到 RD 网关服务器。在这种情况下,将自动创建证书,安装在 RD 网关服务器上的正确位置,并映射到 RD 网关服务器。

    注意,远程桌面服务客户端在其受信任根证书颁发机构存储中必须有颁发服务器证书的 CA 的证书。有关在客户端上安装证书的分步指导,请参阅在远程桌面服务客户端上安装远程桌面网关服务器根证书

    如果使用前两种方法中的任一方法获取证书,并且远程桌面服务客户端计算机信任颁发证书的 CA,则不必在客户端计算机证书存储中安装颁发服务器证书的 CA 的证书。例如,如果在 RD 网关服务器上安装了 VeriSign 或其他公用受信任 CA 证书,则不必在客户端计算机证书存储中安装颁发证书的 CA 的证书。如果使用第三种方法获取证书(即,如果创建自签名证书),则一定要在客户端计算机上的受信任根证书颁发机构存储中安装颁发服务器证书的 CA 的证书。有关详细信息,请参阅在远程桌面服务客户端上安装远程桌面网关服务器根证书

步骤 2:导入证书

在获取证书之后,通过使用下列任一方法,可以将证书导入到 RD 网关服务器中:

其他参考


目录