本主題假設您已了解憑證信任鏈結、憑證簽章,以及一般公開金鑰基礎結構和憑證設定原則。如需 Windows Server 2008 中 PKI 設定的相關資訊,請參閱 ITPROADD-204:Windows Vista 與 Windows Server 2008 中的 PKI 增強功能 (
預設會使用傳輸層安全性 (TLS) 1.0 為遠端桌面服務用戶端與 RD 閘道伺服器之間的網際網路通訊進行加密。TLS 是用以提供網際網路或內部網路之安全 Web 通訊的標準通訊協定。TLS 是最新、也是最安全的安全通訊端層 (SSL) 通訊協定版本。如需 TLS 的相關資訊,請參閱:
- Windows Server 2003 中的 SSL/TLS (
https://go.microsoft.com/fwlink/?LinkID=19646 (可能為英文網頁) ) - RFC 2246、TLS 通訊協定 1.0 版 (
https://go.microsoft.com/fwlink/?LinkID=40979 (可能為英文網頁) )
若要讓 TLS 正確運作,您必須在 RD 閘道伺服器上安裝與 SSL 相容的 X.509 憑證。
憑證安裝與設定程序概觀
為 RD 閘道伺服器取得、安裝及設定憑證的程序包含下列步驟。
步驟 1:取得遠端桌面閘道伺服器的憑證
您可以使用下列其中一種方法取得 RD 閘道伺服器的憑證:
- 如果您的公司具有獨立或企業 CA,而且該 CA 依設定可發行符合 RD 閘道需求的 SSL 相容 X.509 憑證,則您有數種不同的方式可以產生及提交憑證要求,視組織 CA 的原則與設定而定。取得憑證的方法包括:
- 從 [憑證] 嵌入式管理單元起始自動註冊。
- 使用 [憑證要求精靈] 要求憑證。
- 透過網頁要求憑證。
附註 如果您具有 Windows Server 2003 CA,請注意 Windows Server 2003 憑證服務的網頁註冊功能需要使用名為 Xenroll 的 ActiveX 控制項。Microsoft Windows 2003、Windows Server 2000 與 Windows XP 都提供此 ActiveX 控制項。但 Windows Server 2008 與 Windows Vista 已不提供 Xenroll。原始版的 Windows Server 2003、Windows Server 2003 Service Pack 1 (SP1) 與 Windows Server 2003 Service Pack 2 (SP2) 所附的範例憑證註冊網頁,依設計無法處理 Windows Server 2008 與 Windows Vista 在執行網頁憑證註冊操作方式上的變更。如需解決此問題所需之步驟的相關資訊,請參閱 Microsoft 知識庫文章 922706 (
https://go.microsoft.com/fwlink/?LinkId=94472 (可能為英文網頁) )。 - 使用 Certreq 命令列工具。
https://go.microsoft.com/fwlink/?LinkID=19638 (可能為英文網頁) )。
獨立或企業 CA 發行的憑證必須由參與「Microsoft 根憑證計劃成員」計劃的受信任公用 CA 共同簽署 (https://go.microsoft.com/fwlink/?LinkID=59547 (可能為英文網頁) )。否則,從家用電腦或資訊站連線的使用者,可能無法連線至 TS 閘道或 RD 閘道伺服器。這些連線可能會因為不屬於網域成員的電腦 (如家用電腦或資訊站) 不信任 CA 發行的根而失敗。 - 從 [憑證] 嵌入式管理單元起始自動註冊。
- 如果您的公司沒有依設定可發行 SSL 相容 X.509 憑證的獨立或企業 CA,您可以向參與「Microsoft 根憑證計劃成員」計劃的受信任公用 CA 購買憑證 (
https://go.microsoft.com/fwlink/?LinkID=59547 (可能為英文網頁) )。有些公用 CA 會提供免費試用的憑證。 - 此外,如果您的公司沒有獨立或企業 CA,您也並未從信任的公用 CA 取得相容的憑證,則可以為 RD 閘道伺服器建立自我簽署憑證然後再匯入,以用於技術評估與測試。如需相關資訊,請參閱建立遠端桌面閘道伺服器的自我簽署憑證。
請注意,遠端桌面服務用戶端的「受信任的根憑證授權單位」存放區中,必須要有發出伺服器憑證的 CA 憑證。如需在用戶端安裝憑證的逐步指示,請參閱在遠端桌面服務用戶端上安裝遠端桌面閘道伺服器根憑證。
重要 如果您使用前述的兩種方法之一取得憑證 (也就是從獨立或企業 CA,或是從信任的公用 CA 取得憑證),則必須同時將憑證匯入遠端桌面閘道伺服器以及為遠端桌面閘道選取現有的憑證。不過,如果您在安裝遠端桌面閘道角色服務期間使用新增角色精靈、或是在安裝後使用遠端桌面閘道管理員建立自我簽署憑證 (如建立遠端桌面閘道伺服器的自我簽署憑證中所述),則不需要將憑證安裝或對應至 RD 閘道伺服器。在此情況下,憑證會自動建立並安裝在 RD 閘道伺服器的正確位置,然後對應至 RD 閘道伺服器。
如果您使用前述兩種方法之一取得憑證,且遠端桌面服務用戶端電腦信任發行的 CA,則不需要在用戶端電腦憑證存放區中安裝發行伺服器憑證的 CA 憑證。例如,如果 RD 閘道伺服器上已安裝 VeriSign 或其他信任的公用 CA 憑證,則不需要在用戶端電腦憑證存放區中安裝發行 CA 的憑證。如果您使用第三種方法取得憑證 (也就是建立自我簽署憑證),則不需要在用戶端電腦的 [信任的根憑證授權單位] 存放區中安裝用於發行伺服器憑證的 CA 的憑證。如需相關資訊,請參閱在遠端桌面服務用戶端上安裝遠端桌面閘道伺服器根憑證。
步驟 2:匯入憑證
在取得憑證之後,您可以使用下列其中一種方法將憑證匯入 RD 閘道伺服器:
- 若要將憑證安裝至憑證存放區,然後將該憑證匯入 RD 閘道伺服器,請參閱將憑證匯入遠端桌面閘道伺服器。
- 若要將憑證存放區的現有憑證匯入 RD 閘道伺服器,請參閱為遠端桌面閘道選取現有的憑證。