如何在 Windows Server 2003 终端服务器配置为使用 TLS 服务器身份验证

针对 Windows Server 2003 的支持已于 2015 年 7 月 14 日终止。

Microsoft 已于 2015 年 7 月 14 日终止了对于 Windows Server 2003 的支持。该更改已影响到您的软件更新和安全选项。 了解这一措施对于您的含义以及如何继续保持受保护状态。

重要说明:本文是由 Microsoft 机器翻译软件进行的翻译并可能由 Microsoft 社区通过社区翻译机构(CTF)技术进行后期编辑,或可能是由人工进行的翻译。Microsoft 同时向您提供机器翻译、人工翻译及社区后期编辑的文章,以便对我们知识库中的所有文章以多种语言提供访问。翻译的文章可能存在词汇、句法和/或语法方面的错误。Microsoft 对由于内容的误译或客户对内容的使用所导致的任何不准确、错误或损失不承担责任。

点击这里察看该文章的英文版: 895433
概要
您可以连接到运行 Microsoft Windows 终端服务使用远程桌面协议连接的远程计算机。这种类型的连接提供了有关终端服务器和客户端计算机之间发送的数据的加密。但是,这种连接不提供有关终端服务器的身份验证。您可能需要确保您的终端服务器连接到它之前正确地进行身份验证。若要这样做,请配置终端服务器以使用传输层安全性 (TLS) 来验证终端服务器和终端服务器和客户端计算机之间发送的数据进行加密。

要配置 TLS 连接,您必须配置终端服务器和客户端计算机。要配置终端服务器,您必须执行以下步骤:
  • 您必须在终端服务器上安装一个有效的证书。
  • 您必须通过使用终端服务配置工具配置的身份验证设置。
要配置客户端计算机,必须执行以下步骤:
  • 您必须配置客户端计算机信任的根证书颁发机构颁发的终端服务器的证书。
  • 必须使用远程桌面连接程序或通过修改注册表来配置远程连接的身份验证设置。
简介
重要提示此部分、方法或任务包含告诉您如何修改注册表的步骤。但是,如果不正确地修改了注册表,可能会出现严重问题。因此,请确保仔细按这些步骤操作。为增加保护,先备份注册表再对其进行修改。然后,您可以在出现问题时还原注册表。有关如何备份和还原注册表的详细信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
322756 如何在 Windows XP 中备份和还原注册表


如果您使用远程桌面协议 (RDP) 连接到终端服务器,RDP 提供数据加密,但它不提供身份验证。因此,您不能验证终端服务器的身份。为了提高终端服务器的安全性通过使用服务器身份验证的 TLS 和终端服务器通信进行加密,您可以使用 Microsoft Windows 服务器 2003 Service Pack 1 (SP1) 和传输层安全 (TLS) 1.0 版。

本文介绍如何配置 Windows Server 2003 SP1,若要使用服务器身份验证的 TLS 1.0 终端服务器通信进行加密。

返回页首

要配置服务器的身份验证系统必备组件

默认情况下,终端服务器将使用本地 RDP 加密和不进行服务器身份验证。要用于服务器身份验证的 TLS 和终端服务器通信进行加密,您必须正确配置服务器计算机和客户端计算机。

返回页首

服务器系统必备组件

TLS 身份验证才能正常工作,您的终端服务器必须满足以下要求:
  • 您的终端服务器必须运行 Windows Server 2003 SP1。
  • 您必须为您的终端服务器获取一个证书。获取证书,请使用下列方法之一:
    • 请访问 Web 站点的证书颁发机构。例如,访问 http://服务器名/certsrv。
    • 运行 Windows Server 2003 证书申请向导或 Windows 2000 服务器证书申请向导。
    • 从第三方证书颁发机构,获得证书,然后手动安装该证书。
注意如果您希望使用 Microsoft 证书服务 Web 页中,或通过使用证书申请向导获取证书,公钥基础结构 (PKI) 必须向终端服务器颁发 SSL 兼容 X.509 证书正确配置。每个证书必须配置如下:
  • 证书必须包含一个计算机证书。
  • 必须为服务器身份验证证书的预期的目的。
  • 证书必须具有相应的私钥。
  • 该证书必须存储在终端服务器上的计算机帐户证书存储中。

    注意通过使用 Microsoft 管理控制台 (MMC) 的证书管理单元中,您可以查看该存储区。
  • 证书必须具有可用于 TLS 协议加密服务提供程序 (CSP)。例如,证书必须使用加密服务提供程序 (如 Microsoft RSA SChannel 加密提供程序。有关 Microsoft 加密服务提供程序的详细信息,请访问下面的 Microsoft 网站:
返回页首

客户端系统必备组件

TLS 身份验证才能正常工作,您的终端服务客户端计算机必须满足以下要求:
  • 客户端计算机必须运行 Microsoft Windows 2000 或 Windows XP。
  • 若要使用 RDP 5.2 客户端程序,则必须升级客户端计算机。RDP 5.2 客户端程序将包含在 Windows Server 2003 SP1。您可以通过使用 %SYSTEMROOT%\System32\Clients\Tsclient\Win32\Msrdpcli.msi 文件安装此客户端的远程桌面连接包。Msrdpcli.msi 文件位于基于 Windows Server 2003 终端服务器上。如果您从终端服务器安装此文件,远程桌面连接的 RDP 5.2 版本安装在目标计算机上的 %SYSTEMDRIVE%\Program files\Remote 桌面文件夹中。有关远程桌面连接的 Windows Server 2003 的详细信息,请访问下面的 Microsoft 网站:
  • 客户端计算机必须信任您的终端服务器的证书的证书颁发机构的根。因此,客户端计算机必须有证书颁发机构的证书,客户端计算机的受信任根证书的证书颁发机构文件夹中。您可以通过使用证书管理单元中查看该文件夹。
返回页首

要配置终端服务器

要配置终端服务器的 TLS 身份验证,请执行以下步骤:

步骤 1: 请求一个计算机证书

如果您没有满足中提到的要求的计算机证书"
"一节,获取并安装一个。若要执行此操作,请使用下列方法之一。

返回页首
方法 1: 通过使用证书颁发机构的 Web 站点
以下步骤介绍如何从 Windows Server 2003 独立证书颁发机构获得证书。您还可以从 Windows 2000 证书颁发机构申请证书。此外,您必须具有读取权限和证书模板文件的注册权限,才能成功地申请一个证书。如果一个或多个下列条件都为真,则使用此方法:
  • 要从独立证书颁发机构获取证书。
  • 要获取基于证书模板配置为从主题获取主题名称的证书。
  • 要获得需要管理员的批准才能颁发证书的证书。
若要获取证书,请执行以下步骤:
  1. 开始 Microsoft Internet Explorer,,然后再访问http://服务器名/certsrv,其中 服务器名 是您在运行 Microsoft 证书服务的名称。
  2. 选择任务中,单击申请一个证书
  3. 单击高级的证书申请,然后单击创建并向此 CA 提交一个请求
  4. 标识信息框中键入您的标识信息,然后单击需要的证书类型列表中的服务器身份验证证书
  5. 保留选定,创建新密钥集选项,然后单击CSP列表中的Microsoft RSA SChannnel 加密提供程序

    注意此加密服务提供程序支持的 SSL2、 PCT1、 SSL3 和 TLS1 协议密钥派生。
  6. 保持选中旁边密钥用法Exchange选项。此选项指示私钥可以用于交换敏感信息。
  7. 单击以选中标记密钥为可导出复选框。当您执行此操作时,可以将公钥和私钥保存到 PKCS #12 文件。因此,您可以将此证书复制到另一台计算机。
  8. 单击以选中将证书保存在本地计算机证书存储中复选框,然后单击提交

    重要提示用于 TLS 身份验证起作用,必须将证书存储在本地计算机证书存储区中。
  9. 如果您收到证书已发布的 Web 页,请单击安装此证书。如果出现证书挂起网页,您必须等待,直到管理员审批的证书请求。在这种情况下,您必须再次访问以获取并安装此证书的证书服务 Web 站点。
返回页首
方法 2: 通过使用证书申请向导
以下步骤介绍如何从 Windows 服务器 2003年证书颁发机构获得证书。您还可以从 Windows 2000 证书颁发机构申请证书。此外,您必须具有读取权限和证书模板文件的注册权限,才能成功地申请一个证书。如果一个或多个下列条件都为真,则使用此方法:
  • 要从企业证书颁发机构申请证书。
  • 想要申请基于的模板的使用者名称由 Windows 的证书。
  • 您想要获得不需要管理员的批准才能颁发证书的证书。
若要获取证书,请执行以下步骤:
  1. 单击开始,然后单击运行,类型 mmc然后单击确定
  2. 文件菜单上,单击添加/删除管理单元中
  3. 单击添加,单击证书,然后单击添加
  4. 单击计算机帐户,然后单击下一步
  5. 如果您想要添加到本地计算机的证书,请单击本地计算机。如果您想要将证书添加到远程计算机,请单击另一台计算机,,然后在另一台计算机框中键入该远程计算机的名称。
  6. 单击完成
  7. 添加独立管理单元中对话框中,单击关闭,然后单击添加/删除管理单元对话框中的确定
  8. 控制台根节点下单击证书 (本地计算机)

    注意如果您配置证书 mmc 管理单元来管理远程计算机,请单击证书 (服务器名) 而不是证书 (本地计算机)
  9. 视图菜单上,单击选项
  10. 视图选项对话框中,单击证书目的,然后单击确定
  11. 在右窗格中,用鼠标右键单击服务器身份验证,指向所有任务,然后单击申请新证书
  12. 在证书申请向导启动,单击下一步
  13. 证书类型列表中,单击服务器身份验证,请单击以选中高级复选框,然后单击下一步
  14. 加密服务提供程序列表中,单击Microsoft RSA SChannel 加密提供程序

    注意此加密服务提供程序支持的 SSL2、 PCT1、 SSL3 和 TLS1 协议密钥派生。
  15. 密钥长度列表中,保留默认选项选择1024年个,或者单击您要使用的密钥长度。
  16. 单击以选中标志此密钥为可导出复选框。当您执行此操作时,可以将公钥和私钥保存到 PKCS #12 文件。因此,您可以将此证书复制到另一台计算机。
  17. 如果您想要启用"强私钥保护",单击以选中启用强私钥保护复选框。
  18. 单击下一步CA框中键入您的证书颁发机构的名称、下一步友好名称框中键入此证书的名称,单击下一步,和,然后单击完成
返回页首
方法 3: 通过使用第三方证书颁发机构
获取并安装第三方证书颁发机构的证书。

返回页首

步骤 2: 配置 TLS 身份验证和加密

通过使用组策略,您可以在终端服务器上配置加密设置。但是,不能使用组策略来配置终端服务器上的身份验证设置。因此,本节将介绍如何通过使用终端服务配置工具中配置身份验证和加密。Tls 在终端服务器上正常工作,必须Rdp-tcp 属性对话框中常规选项卡上配置以下各项:
  • 您必须选择一个证书符合要求中提到的"服务器系统必备组件"一节。
  • 您必须将设置安全层协商SSL
  • 您必须将加密级别值设置为,或者您必须启用了联邦信息处理标准 (FIPS)-兼容的加密。

    注意您可以通过使用组策略来启用符合 FIPS 加密。但是,您不能使用组策略启用 TLS。
注意如果启用 TLS 会话目录服务器场中的身份验证,必须每个会话目录服务器场的成员服务器上配置以下设置之一:
  • 将设置安全层SSL
  • 将设置安全层协商。如果协商设置安全层,如果客户端计算机支持 TLS 身份验证仅启用 TLS 身份验证。
若要在服务器上配置 TLS 身份验证和加密,请执行以下步骤:
  1. 启动终端服务配置工具。若要执行此操作,单击开始,指向管理工具,然后单击终端服务配置
  2. 在左窗格中,单击连接
  3. 在右窗格中,右键单击要配置的连接,然后单击属性
  4. 常规选项卡上,单击证书旁边的编辑
  5. 选择证书对话框中,单击您想要使用的证书。

    注意服务器身份验证,必须在该证书的预期目的列。此外,此证书必须与相应的私钥的 X.509 证书。若要确定该证书是否具有私钥,请单击查看证书。证书信息的底部会显示以下消息文本:
    您有一个与该证书对应的私钥。
    单击确定
  6. 单击确定
  7. 安全层列表中,单击下列选项之一:
    • 协商: 此安全方法使用 TLS 1.0 如果支持 TLS,则验证服务器的身份。如果不支持 TLS,则服务器未通过身份验证。
    • RDP 安全层: 此安全方法使用远程桌面协议加密来帮助客户端计算机和服务器之间的安全通信。如果您选择此设置,未经身份验证的服务器。
    • SSL: 此安全方法要求 TLS 1.0 服务器进行身份验证。如果不支持 TLS,则您无法建立与服务器的连接。此方法是仅当您选择一个有效的证书可用。
    注意如果您单击协商SSL安全层列表中,您还必须配置以下值之一:
    • 将加密级别设置为
    • 配置符合 FIPS 加密。
  8. 加密级别列表中,单击下列选项之一:
    • 符合 FIPS: 如果您使用此设置,或者您设置系统加密: 使用 FIPS 兼容的算法来加密,散列和签名选项通过使用组策略中,数据被加密和解密客户端计算机,并通过使用 Microsoft 加密模块有 FIPS 140-1 加密算法的服务器之间。
    • 如果使用此设置时,客户端计算机和服务器之间发送的数据进行加密使用 128 位加密。
    • 客户端兼容如果您使用此设置,通过使用客户端计算机都支持的最大密钥强度加密客户端计算机和服务器之间发送的数据。
    • 如果使用此设置时,客户端计算机和服务器之间发送的数据进行加密使用 56 位加密。

      注意当您单击SSL安全层列表中时,此选项不可用。
  9. 单击以选中使用标准的 Windows 登录界面复选框以指定该用户登录到终端服务器在默认的 Windows 登录对话框中键入其凭据。
  10. 单击确定
注意
  • 要配置这些选项,您必须是本地计算机上管理员组的成员,或必须被委派了适当的权限。如果计算机加入到域中,域管理员安全组的成员将具有足够的权限才能执行这些步骤。
  • 您通过使用组策略配置的加密级别重写您通过使用终端服务配置工具设置的配置选项。此外,如果启用系统加密: 使用 FIPS 兼容的算法来加密,散列和签名策略,系统加密: 使用 FIPS 兼容的算法来加密,散列和签名策略会替代设置客户端连接加密级别组策略设置。
  • 更改加密级别时,新配置的加密级别将下一次用户登录的时生效。如果需要多个加密级别,安装多个网络适配器,然后再将每个网络适配器配置为不同的加密级别。
返回页首

要配置客户端计算机

若要配置 TLS 身份验证的客户端计算机,请执行以下步骤:

步骤 1: 请求一个计算机证书

  1. 开始 Internet Explorer,然后再访问 http://服务器名/certsrv。
  2. 单击下载 CA 证书,证书链或 CRL
  3. 单击安装此 CA 证书链配置您的客户端计算机信任由此证书颁发机构颁发的所有证书。
  4. 如果系统提示您从证书颁发机构 Web 站点添加证书,请单击
  5. 您会收到以下消息后,请退出 Internet Explorer:
    已成功安装的 CA 证书链。
注意
  • 您无需登录到的计算机上具有管理权限才能执行此操作。
  • 您安装,以确保客户端计算机信任的终端服务器证书的根 CA 证书链。这意味着颁发终端服务器证书的根 CA 证书存储在客户端计算机的本地计算机受信任的根证书颁发机构证书存储区。这是需要在客户端计算机连接到终端服务器时,要用于服务器身份验证的 TLS。
  • 安装此 CA 证书链选项可用于建立从属证书颁发机构的信任,如果当前的证书存储区中没有根 CA 的证书。
返回页首

步骤 2: 在客户端计算机上配置身份验证

若要在客户端计算机上配置身份验证,请使用下列方法之一。
方法 1: 通过使用远程桌面连接
  1. 启动远程桌面连接。
  2. 单击选项,然后单击安全选项卡。

    注意如果您安装了 Windows Server 2003 SP1 版本的远程桌面连接,此时将显示安全性选项卡。
  3. 身份验证列表中,单击下列选项之一:
    • 不进行身份验证: 这是默认选项。如果选择此选项时,终端服务器未通过身份验证。
    • 尝试身份验证: 如果您选择此选项,并且如果支持并正确配置 TLS,TLS 1.0 使用终端服务器进行身份验证。

      如果您单击尝试身份验证,您可以选择继续您的终端服务连接不使用 TLS 身份验证的情况下,如果出现以下身份验证错误之一:
      • 服务器证书已过期。
      • 服务器证书不是由受信任的根证书颁发机构颁发的。
      • 证书中的名称与客户端计算机的名称不匹配。
      其他身份验证错误会导致终端服务连接失败。
  4. 要求身份验证: 如果您单击此选项时,需要 TLS 终端服务器进行身份验证。如果不支持 TLS,或者未正确配置 TLS,则连接尝试未成功。此选项只是可用于连接到运行 Windows Server 2003 SP1 的终端服务器的客户端计算机。
注意您不需要具有管理员权限才能配置远程桌面连接。此外,配置此连接后,您可以将所做的更改保存为远程桌面文件 (.rdp)。若要配置其他客户端计算机使用已配置的安全设置,.rdp 文件分发到这些计算机。

.Rdp 文件包含到终端服务器的连接的所有信息。这包括您在安全选项卡配置的安全设置。通过创建对应于您要连接到该终端服务器时使用的设置的不同的.rdp 文件,您可以自定义您的连接到特定的终端服务器。此外,您可以使用任何文本编辑器如记事本) 中更改的.rdp 文件。若要使用记事本中修改.rdp 文件的安全设置,请执行以下步骤:
  1. 找到您想要修改的.rdp 文件,然后使用记事本中打开它。
  2. RDP 文件中找到的身份验证级别的行。
  3. 将身份验证级别的值设置为下列值之一:
    • 0此值对应于"无身份验证"。
    • 1此值对应于"要求身份验证"。
    • 2此值对应于"尝试身份验证。
    例如,若要配置远程桌面连接要求身份验证,请键入 身份验证级别: i:1.
  4. 将更改保存到文件,然后退出记事本。
返回页首
方法 2: 通过使用注册表编辑器
  1. 单击开始,然后单击运行,类型 注册表编辑器然后单击确定
  2. 使用下列方法之一:
    • 要修改登录到计算机的所有用户的注册表设置,请找到并单击以下注册表子项:
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Terminal 服务器客户端
    • 若要修改仅对当前登录用户的注册表设置,找到并单击以下注册表子项:
      HKEY_CURRENT_USER\Software\Microsoft\Terminal 服务器客户端
  3. 编辑菜单上,指向新建,然后单击DWORD 值
  4. 新值 #1框中,键入 AuthenticationLevelOverride然后按 enter 键。
  5. 用鼠标右键单击AuthenticationLevelOverride,然后单击修改
  6. 数值数据框中,键入下列值之一,然后单击确定
    • 0 键入此值可配置的身份验证级别的"无身份验证"。
    • 1 键入此值可配置的身份验证级别"要求身份验证"。
    • 2 键入此值可配置的身份验证级别的"身份验证尝试。"
有关这些身份验证级别的其他信息,请参阅"方法 1: 通过使用远程桌面连接"一节。

注意
  • 如果您使用注册表配置的身份验证级别,登录到客户端计算机上的用户不能修改身份验证设置。
  • 您通过使用 HKEY_CURRENT_USER\Software\Microsoft\Terminal 服务器客户端注册表子项设置的身份验证级别重写可能会在 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Terminal 服务器的客户端的注册表子项中配置身份验证级别。
返回页首

警告:本文已自动翻译

属性

文章 ID:895433 - 上次审阅时间:03/04/2014 00:09:00 - 修订版本: 7.0

Microsoft Windows Server 2003 Enterprise Edition, Microsoft Windows Server 2003 Standard Edition, Microsoft Windows Server 2003 Web Edition, Microsoft Windows Server 2003 Datacenter Edition, Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems, Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems

  • kbtermserv kbhowtomaster kbmt KB895433 KbMtzh
反馈