配置终端服务以使用SSL进行服务器身份验证

在我的办公室中,有一台运行Windows 2003 SP2的网络服务器.这不是一个Web服务器.有7个工作站,每个工作站运行Windows XP.其中两个工作站是为我的客户设置的信用卡扫描仪.我有一个静态IP地址,以便使用Windows RDP功能连接到我的办公室服务器.

信用卡扫描人员现在要我“配置终端服务以利用SSL进行服务器身份验证”.他们担心“中间人攻击”.

如果我与一个SSL卖家(如Godaddy)或任何卖家联系,并依次购买SSL证书,我是否可以下载此证书?我是否必须在服务器上配置它以发出PKI.下载证书后,我只是不确定该怎么做.购买SSL证书后,步骤究竟是什么?

这应该是不言而喻的,但无论如何我会说,任何帮助将不胜感激.

最佳答案
您只需要将服务器配置为需要TLS(没有终端服务器/远程桌面版本支持SSL;他们滥用这个术语,所以外行人员会理解,希望如此).

你需要一张证书.您可以在服务器上设置证书服务,并为一个证书发布您自己的更多工作.或者您可以从其中一个免费证书颁发机构获得一个.或者您可以使用问题中提到的付费CA.在任何情况下,请确保主题名称(SN)是您用于远程进入服务器的DNS名称.

安装证书,CA应提供指示.简短版本:运行mmc,为本地计算机添加Certficates管理单元,在个人证书下,从CA导入pfx文件.

然后配置服务器以使用TLS和Cert.打开终端服务配置mmc,连接,属性,编辑证书,设置要使用的证书并使用TLS(这里也可能称为SSL,2003是一个古老的系统,我有一段时间没用过).

编辑:
Official How to configure a Windows Server 2003 TS to use TLS for server authentication

编辑2:
通用名称(CN)是您从CA获得的证书上显示的名称.此名称必须与您输入的连接到服务器的名称相匹配.例如,您可能正在使用server1.example.com.当您运行“远程桌面连接”并且它要求“计算机”时,无论您键入什么,必须与CN匹配.如果它不匹配,请说您输入IP(大多数公共CA不会颁发证书),每次连接时都会收到警告消息.可以关闭该警告消息,但这会破坏所有这一切的目的.

在工作组或域中没有任何有意义的区别.唯一的细微差别是,在域中服务器必须已具有完整的DNS名称(即上面的server1.example.com);在工作组中,计算机只能通过其NetBIOS名称进行寻址(运行示例中的server1).因此,您可能需要弄清楚要使用的域名.如果您还没有域名,则必须获得一个域名(这是DNS域名;不是Active Directory域名;我知道,名称选择不佳).

“配置服务器以使用TLS和证书”是您将在对话框中看到的两个屏幕选项.将有一个列出可用证书的下拉框,以及列出可用安全选项的另一个下拉框(其中一个将是Require TLS;或类似的东西).

如果这一切都很好,您可能想联系当地的顾问.获得此设置大约需要一个小时或更短时间,这将是评估本地公司能力的好方法.

转载注明原文:配置终端服务以使用SSL进行服务器身份验证 - 代码日志