使用SSL證書為Windows（非Server）遠程桌面RDP連接加密

本文用于解決遠程桌面連接中“無法驗證此遠程計算機的身份?！边@一問題，具體癥狀如下圖所示，強迫癥福音！

本文主要介紹非Server系統(tǒng)中無法使用專用工具，轉而修改注冊表的方法

本文假定您已對SSL證書有一定的了解，或最好已經(jīng)成功的申請到了服務器SSL/TLS證書

本文演示使用免費的StartSSL證書，其他機構簽發(fā)的證書大同小異

使用SSL證書為Windows非Server遠程桌面RDP連接加密

原理分析

操作步驟

第一步 導入證書

第二步 分配權限

第三步 編輯注冊表

注意事項

參考文章

原理分析

也不知是從哪一個版本開始，微軟開始為遠程桌面加入了SSL加密功能，并且是默認開啟。

導致這個問題的原因實際是系統(tǒng)使用了一個自簽名的默認證書，而這個自簽名證書對于客戶端來說是不可信的，也就是說無法用于證明服務端的身份，客戶端自然就會報告其不安全。

那么解決的思路就有了，那就是我們?yōu)榉斩颂砑右粋€可信的證書，并在遠程桌面連接中讓系統(tǒng)使用這個證書。

首先獲得一個這樣的證書并不難，只要你已經(jīng)有至少一個可用的域名，那么StartSSL便可以免費為你提供；

然后導入這個證書也不難，只要參照配置https服務的方法，直接導入就行了；

那么問題在哪兒呢？那就是證書導進去了，系統(tǒng)卻不使用。

這個問題在Server版當中據(jù)說有專門的工具解決，但桌面版卻并沒有，所以最后就只好修改注冊表，將要用的證書的指紋填進去，告訴系統(tǒng)該用哪個證書，然后問題就解決了。

操作步驟

第一步 導入證書

已經(jīng)用證書配置好https的可以跳過第一步。

我之前已經(jīng)申請好證書了，在這里就不演示申請過程了，關于StartSSL免費證書的教程很多，可以自行百度之。

申請到證書后，在我們手中的應該是一個 *.p12 的證書文件， 放在一邊備用。

如果手上只有 私鑰 *.key 和 證書 *.crt ，請使用StartSSL的控制臺工具：Tool Box -> Create PKCS#12 (PFX) File，按照表單提示，提供私鑰和證書內(nèi)容，并設定一個密碼，然后選擇繼續(xù)來生成.p12文件，熟悉linux的也可以用openssl命令行大法搞定。

首先按下‘Win + R’，進入“運行”，鍵入“mmc”，打開“管理控制臺”。

在 文件 中選擇 添加/刪除管理單元 。

在左側選中 證書 后點擊 添加 。

在彈出的對話框中選擇 計算機賬戶，點擊 下一步 。

之后選擇 本地計算機（保持默認） 然后點擊 完成 ，再然后點擊 確定 。

在 證書-個人 上點擊 右鍵 ，選擇 所有任務-導入 。

按照向導點擊 下一步 ,之后選擇你的 證書文件 （p12格式的證書文件選擇時需要更改文件類型才可以找到），之后需要輸入之前設置的密碼，證書存儲 選擇 根據(jù)證書類型，自動選擇證書存儲 ，然后點擊下一步即可。

導入完成后如下圖所示：

第二步 分配權限

首先在已經(jīng)導入的證書上點擊 右鍵 ，選擇 所有任務-管理私鑰 。

之后添加 NETWORK SERVICE 用戶。

至少要將 讀取 權限分配給 NETWORK SERVICE ，然后確定。

第三步 編輯注冊表

首先是按下‘Win + R’，進入“運行”，鍵入“regedit”，打開“管理控制臺”。

展開路徑 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp ，然后添加如下項：

名稱: SSLCertificateSHA1Hash

類型: REG_BINARY

之后回到之前的證書管理，雙擊打開已經(jīng)導入的證書，在 詳細信息 中選擇 指紋 ，并記錄下方的值。

最后將記錄的值填入之前新建注冊表項的 數(shù)據(jù) 位置。

至此便大功告成！請盡情使用吧！

注意事項

這個方法以擁有域名為基礎，這也是申請免費SSL證書的條件，沒有特殊需要的話也很便宜。

證書設置完成后，訪問遠程桌面服務器就需要填寫域名方式訪問，而如果以局域網(wǎng)機器名訪問的話，會提示名稱不匹配。

實際上，SSL證書只是和FQDN (fully qualified domain name，全稱域名)綁定對應的，所以IP是什么根本無所謂，通過本地host或者本地DNS解析的方式映射上域名理論上也都是可以的。

————————————————

版權聲明：本文為CSDN博主「李YD」的原創(chuàng)文章，遵循CC 4.0 BY-SA版權協(xié)議，轉載請附上原文出處鏈接及本聲明。

原文鏈接：https://blog.csdn.net/a549569635/article/details/48831105