远程桌面服务客户端计算机必须验证并信任 RD 网关服务器的身份,该客户端才能安全地发送用户的密码和登录凭据并完成身份验证过程。若要建立此信任,客户端必须信任服务器证书的根。即,客户端在其受信任根证书颁发机构存储中必须有颁发服务器证书的证书颁发机构 (CA) 的证书。可以使用“证书”管理单元查看此存储。
如上所述,在下列情况下,不要求执行此过程:
- 在 RD 网关服务器上安装了由参与 Microsoft 根证书程序成员计划的任一受信任公用 CA 颁发的证书 [在 Microsoft 知识库文章 931125(
https://go.microsoft.com/fwlink?LinkID=59547(可能为英文网页) )中列出了这些 CA];并且 - 远程桌面服务客户端计算机已信任该颁发 CA。
有关详细信息,请参阅获取远程桌面网关服务器的证书。
如果 RD 网关服务器使用由任一受信任公用 CA 颁发的证书,并且客户端计算机可识别并信任该证书,则请继续完成配置远程桌面网关的远程桌面连接设置中的步骤。
 | 注意 |
|
用户组或本地管理员组中的成员身份或等效身份是完成此过程所需的最低要求。若要打开某个计算机帐户的“证书”管理单元,必须在计划安装证书的远程桌面服务客户端上拥有本地管理员组中的成员身份或等效身份。若要打开某个用户帐户的“证书”管理单元,在客户端上拥有用户组中的成员身份就足够了。查看有关使用适当帐户和组成员关系的详细信息,请访问
 | 在远程桌面服务客户端上安装远程桌面网关服务器根证书 |
打开“证书”管理单元控制台。如果尚未添加“证书”管理单元控制台,可以执行下列操作进行添加:
- 依次单击「开始」、“运行”,键入 mmc,然后单击“确定”。
- 在“文件”菜单上,单击“添加/删除管理单元”。
- 在“添加或删除管理单元”对话框的“可用的管理单元”列表中,单击“证书”,然后单击“添加”。
- 在“证书管理单元”对话框中,执行以下操作之一:
- 若要打开某个计算机帐户的管理单元,请单击“计算机帐户”,然后单击“下一步”。在“选择计算机”对话框中,单击“本地计算机(运行此控制台的计算机):”,然后单击“完成”。
- 若要打开某个用户帐户的管理单元,单击“我的用户帐户”,然后单击“完成”。
- 若要打开某个计算机帐户的管理单元,请单击“计算机帐户”,然后单击“下一步”。在“选择计算机”对话框中,单击“本地计算机(运行此控制台的计算机):”,然后单击“完成”。
- 在“添加或删除管理单元”对话框中,单击“确定”。
- 依次单击「开始」、“运行”,键入 mmc,然后单击“确定”。
在“证书”管理单元控制台的控制台树中,依次展开“证书(本地计算机)”、“受信任的根证书颁发机构”,右键单击“证书”,指向“所有任务”,然后单击“导入”。
在“证书导入向导”中,在“欢迎使用证书导入向导”页上,单击“下一步”。
在“要导入的文件”页上的“文件名”框中,指定 RD 网关服务器根证书的名称,然后单击“下一步”。
在“证书存储”页上,接受默认选项“将所有的证书放入下列存储”(在证书存储“受信任的根证书颁发机构”中),然后单击“下一步”。
在“正在完成证书导入向导”页上,确认出现下列证书设置:
- 用户选定的证书存储:受信任的根证书颁发机构
- 内容:证书
- 文件名:FilePath\<Root_Certificate_Name.cer>,其中 <Root_Certificate_Name> 是 RD 网关服务器根证书的名称。
- 用户选定的证书存储:受信任的根证书颁发机构
单击“完成”。
在“证书导入向导”对话框中,单击“确定”。
在控制台树中选中“证书(本地计算机)\受信任的根证书颁发机构\证书”的情况下,在详细信息窗格中,验证 RD 网关服务器的根证书是否出现在客户端上的证书列表中。