您目前已離線,請等候您的網際網路重新連線

如何設定 Windows Server 2003 終端機伺服器使用 TLS 進行伺服器驗證

Windows Server 2003 的支援已於 2015 年 7 月 14 日結束

Microsoft 已於 2015 年 7 月 14 日結束對 Windows Server 2003 的支援。此變更已影響您的軟體更新和安全性選項。 瞭解這對您的意義為何且如何持續受保護。

重要:本文是以 Microsoft 機器翻譯軟體翻譯而成,而非使用人工翻譯而成。Microsoft 同時提供使用者人工翻譯及機器翻譯兩個版本的文章,讓使用者可以依其使用語言使用知識庫中的所有文章。但是,機器翻譯的文章可能不盡完美。這些文章中也可能出現拼字、語意或文法上的錯誤,就像外國人在使用本國語言時可能發生的錯誤。Microsoft 不為內容的翻譯錯誤或客戶對該內容的使用所產生的任何錯誤或損害負責。Microsoft也同時將不斷地就機器翻譯軟體進行更新。

按一下這裡查看此文章的英文版本:895433
結論
您可以連線到執行 Microsoft Windows 終端機服務用遠端桌面通訊協定連線的遠端電腦。這種連線提供終端機伺服器和用戶端電腦之間傳送資料的加密。不過,這種連線並未提供終端機伺服器的驗證功能。若要確定您的終端機伺服器已正確地驗證之前連接到它。如果要執行這項操作,設定終端機伺服器使用傳輸層安全性 (TLS),來驗證終端機伺服器,並加密終端機伺服器和用戶端電腦之間傳送的資料。

TLS 連線的設定必須設定終端機伺服器和用戶端電腦。若要設定終端機伺服器,您必須執行下列步驟:
  • 您必須安裝有效的憑證上終端機伺服器。
  • 您必須設定驗證設定值,藉由使用終端機服務設定工具。
若要設定用戶端電腦,您必須執行下列步驟:
  • 您必須設定用戶端電腦,以信任根憑證授權單位所發出的終端機伺服器憑證。
  • 您必須設定驗證設定的遠端連線使用遠端桌面連線程式,或修改登錄。
簡介
重要這個區段、 方法或任務包含告訴您如何修改登錄的步驟。然而,如果您不當修改登錄,可能會發生嚴重的問題。因此,執行這些步驟時請務必小心。為加強保護,修改登錄之前,請務必將它備份起來。以後您就可以在發生問題時還原登錄。如需有關如何備份和還原登錄的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
322756如何備份和還原在 Windows 登錄


如果使用遠端桌面通訊協定 (RDP) 連線到終端機伺服器 RDP 提供資料加密,但它並不提供驗證。因此,您無法確認終端機伺服器的身分。您可以使用 Microsoft Windows Server 2003 Service Pack 1 (SP1) 與一起傳輸層安全性 (TLS) 1.0 版,有助於增加終端機伺服器安全性藉由使用 TLS 進行伺服器驗證並加密終端機伺服器的通訊。

本文將告訴您,如何設定 Windows Server 2003 SP1,用來加密終端機伺服器的通訊的伺服器驗證的 TLS 1.0。

back to the top

若要設定伺服器驗證的必要條件

依預設值,終端機伺服器會使用原始 RDP 加密,而不會驗證伺服器。使用 TLS 進行伺服器驗證,並加密終端機伺服器的通訊,必須讓伺服器電腦和用戶端電腦正確設定。

back to the top

伺服器的必要條件

才能正常運作的 TLS 驗證,終端機伺服器必須符合下列需求:
  • 您的終端機伺服器必須執行 Windows Server 2003 SP1。
  • 您必須為您的終端機伺服器取得憑證。若要取得憑證,使用下列方法之一:
    • 請造訪您的憑證授權單位的網站。比方說造訪 http:// servername / certsrv。
    • 執行 「 Windows Server 2003 憑證要求精靈 」 或 「 Windows 2000 Server 憑證要求精靈 」。
    • 從協力廠商憑證授權單位取得憑證,然後再以手動方式將安裝憑證。
附註如果想使用 [Microsoft 憑證服務 」 網頁] 網頁,或使用 「 憑證要求精靈 」 取得憑證公開金鑰基礎結構 (PKI) 必須正確設定到終端機伺服器發出 SSL 相容 X.509 憑證。每個憑證必須設定如下:
  • 憑證必須是電腦憑證。
  • 憑證的預定的目的必須是伺服器驗證。
  • 憑證必須有相對應的私密金鑰。
  • 憑證必須儲存在電腦帳戶憑證存放區,終端機伺服器上。

    附註您可以使用 Microsoft 管理主控台 (MMC) 憑證嵌入式管理單元來檢視此儲存區。
  • 憑證必須有可用於 TLS 通訊協定是密碼編譯服務提供者 (CSP)。比方說憑證必須使用如 Microsoft RSA SChannel 密碼編譯提供者的密碼編譯服務提供者。請造訪 Microsoft 的相關資訊的密碼編譯服務提供者在下列 Microsoft º ô ¯ ¸ ¡ G
back to the top

用戶端必要條件

為能夠正確地運作的 TLS 驗證,終端機服務用戶端電腦必須符合下列需求:
  • Microsoft Windows 2000 或 Microsoft Windows XP,必須先執行用戶端電腦。
  • 用戶端電腦必須升級以使用 RDP 5.2 用戶端程式。RDP 5.2 用戶端程式是隨附於 Windows Server 2003 SP1。您可以使用 %SYSTEMROOT%\System32\Clients\Tsclient\Win32\Msrdpcli.msi 檔案來安裝此用戶端遠端桌面連線封裝。Msrdpcli.msi 檔案位於在 Windows Server 2003 終端機伺服器上。如果您在從終端機伺服器安裝這個檔案的遠端桌面連線 RDP 5.2 版本會安裝在目的地電腦 %SYSTEMDRIVE%\Program files\Remote 桌面資料夾中。如需有關 「 遠端桌面連線的 Windows Server 2003 的詳細資訊,請造訪下列 Microsoft 網站]:
  • 用戶端電腦必須信任根憑證授權單位的終端機伺服器的憑證。因此,用戶端電腦必須有的憑證授權單位的憑證,用戶端電腦的 [受信任的根憑證憑證授權單位] 資料夾中。您可以使用 [憑證] 嵌入式管理單元來檢視此資料夾。
back to the top

若要設定終端機伺服器

如果要設定您的終端機伺服器的 TLS 驗證,請依照下列步驟執行:

步驟 1: 要求電腦憑證

如果您已經沒有符合需求 <
> 一節中所提及的電腦憑證,取得並安裝其中一個。如果要執行此動作使用其中一個下列的方法。

back to the top
方法 1: 藉由使用網站為您的憑證授權
下列步驟說明如何從 Windows Server 2003 獨立憑證授權單位取得憑證。您也可以從 Windows 2000 憑證授權單位要求憑證。此外,您必須有讀取權限和註冊權限成功要求憑證的憑證範本檔案。如果一個或多個下列條件為真,請使用這種方法:
  • 您想要向獨立憑證授權單位取得憑證。
  • 您想要取得設定為從主體取得主體名稱的憑證範本為基礎的憑證。
  • 您想要取得需要系統管理員核准之前發出憑證的憑證。
若要取得憑證,請依照下列步驟執行:
  1. 啟動 Microsoft Internet Explorer,然後再造訪 http:// servername / certsrv、 其中 servername 是您正在執行 Microsoft 憑證服務的伺服器名稱。
  2. 按一下 [選取工作,底下的 [要求憑證]。
  3. 按一下 [進階的憑證要求,然後再按一下 建立並提交一個要求向這個 CA
  4. 在 [識別資訊 下的方塊中輸入您的識別資訊,然後按一下 所需的憑證類型] 清單中的 [伺服器驗證憑證
  5. 保留選取,[建立新的金鑰設定] 選項,然後按一下 [CSP 清單中的 [Microsoft RSA SChannnel 密碼編譯提供者

    附註這個密碼編譯服務提供者支援金鑰衍生的 SSL2、 PCT1、 SSL3 及 TLS1 通訊協定。
  6. 保留 金鑰使用方法] 旁邊選取 [Exchange] 選項。此選項表示私用金鑰可以使用以啟用敏感資訊的交換。
  7. 按一下以選取 [將金鑰標示為可匯出] 核取方塊。當您執行這項操作時您可以將公開金鑰和私密金鑰儲存到 PKCS # 12 檔案。因此,您可以將此憑證複製到另一部電腦。
  8. 按一下以選取 [儲存在本機電腦憑證存放區中的憑證] 核取方塊,然後按一下 [送出

    重要為了函式的 [TLS 驗證您必須將憑證儲存在本機電腦憑證存放區。
  9. 如果您收到一個 憑證已發出] 網頁,按一下 [安裝這個憑證]。如果您收到一個 憑證擱置] 網頁,您必須等到系統管理員核准憑證要求。在這種情況下您必須再次造訪憑證服務網站,以取得並安裝此憑證。
back to the top
方法 2: 使用憑證要求精靈]
下列步驟說明如何從 Windows Server 2003 憑證授權單位取得憑證。您也可以從 Windows 2000 憑證授權單位要求憑證。此外,您必須有讀取權限和註冊權限成功要求憑證的憑證範本檔案。如果一個或多個下列條件為真,請使用這種方法:
  • 您想要向企業憑證授權單位要求憑證。
  • 您想要要求主體名稱由 Windows 所產生的其中一個範本為基礎的憑證。
  • 您想要取得不需要系統管理員核准之前發出憑證的憑證。
若要取得憑證,請依照下列步驟執行:
  1. 按一下 [開始],再按一下 [執行]、 輸入 mmc,] 然後再按一下 [確定]
  2. 按一下 [自動顯示在 [檔案] 功能表上的 [新增/移除嵌入式管理單元]。
  3. 按一下 [新增],按一下 [憑證],然後再按一下 [新增
  4. 按一下 [電腦帳戶],然後再按一下 [下一步]
  5. 如果您想將憑證加入至本機電腦,按一下 [本機電腦]。如果想將憑證加入至遠端電腦按一下 另一台電腦,並在 另一台電腦] 方塊中鍵入該遠端電腦的名稱。
  6. 按一下 [完成]。
  7. 新增獨立嵌入式管理單元 新檔] 對話方塊按一下 [關閉],] 然後按一下 [在 [新增/移除嵌入式管理單元] 對話方塊的 [確定]
  8. 在 [主控台根目錄],按一下 [憑證 (本機電腦)]。

    附註您已設定] 的 [憑證] MMC 嵌入式管理單元來管理遠端電腦時按一下 [憑證 (servername) 來取代的 憑證 (本機電腦)]。
  9. 按一下 [檢視] 功能表 選項
  10. 在 [檢視選項] 對話方塊按一下 [憑證目的,再按 [確定]
  11. 在右窗格以滑鼠右鍵按一下 伺服器驗證 中指向 [所有工作],然後按一下 [要求新憑證]。
  12. 在 [憑證要求精靈開始,按一下 [下一步]
  13. 在 [憑證類型] 清單按一下 伺服器驗證,按一下以選取 [進階] 核取方塊,然後再按一下 [下一步]。
  14. 在 [密碼編譯服務提供者] 清單中,按一下 Microsoft RSA SChannel 密碼編譯提供者

    附註這個密碼編譯服務提供者支援金鑰衍生的 SSL2、 PCT1、 SSL3 及 TLS1 通訊協定。
  15. 在 [金鑰長度] 清單保留 1024年 選取預設選項,或按一下您想要使用的金鑰長度。
  16. 按一下以選取 [將這個金鑰設成可匯出] 核取方塊。當您執行這項操作時您可以將公開金鑰和私密金鑰儲存到 PKCS # 12 檔案。因此,您可以將此憑證複製到另一部電腦。
  17. 如果想啟用 「 增強式私密金鑰保護 「 按一下以選取 [啟用加強式私密金鑰保護] 核取方塊。
  18. 按 [下一步],在 [CA] 方塊中輸入憑證授權單位名稱、 按一下 [下一步]、 在 好記的名稱] 方塊中輸入此憑證的名稱、 按一下 [下一步],然後再按一下 [完成時間
back to the top
方法 3: 藉由使用協力廠商憑證授權單位
取得並安裝協力廠商憑證授權單位的憑證。

back to the top

步驟 2: 設定 TLS 驗證和加密

您可以使用 「 群組原則,終端機伺服器上設定加密設定。但是,您不能使用 「 群組原則設定 [終端機伺服器上的 [驗證設定。因此,這一節說明如何藉由使用 [終端機服務設定工具設定驗證及加密。終端機伺服器上正確的函式的 TLS,您必須設定下列的項目在 RDP Tcp 內容] 對話方塊中的 [一般] 索引標籤上:
  • 您必須選取符合 Server prerequisites 」 節中所述的需求的憑證。
  • 您必須設定 安全性層級 值來 交涉SSL
  • 您必須將 加密層級,或您的值必須啟用聯邦資訊處理標準 (FIPS)-相容的加密。

    附註您也可以使用 「 群組原則 」 來啟用 FIPS 相容的加密。但是,您無法使用 「 群組原則],以啟用 TLS。
附註如果您啟用工作階段目錄伺服陣列中的 TLS 驗證,您必須在每個成員的工作階段目錄伺服陣列的伺服器上設定下列設定值之一:
  • 安全性層級 值設定為 SSL
  • 安全性層級 值設定為 交涉。如果您將 安全性層級 設定 交涉 TLS 驗證才可用用戶端電腦支援 TLS 驗證。
若要在伺服器上設定 TLS 驗證和加密,請依照下列步驟執行:
  1. 啟動終端機服務設定工具。要執行這項操作、 按一下 [開始]、 指向 [系統管理工具],然後按一下 終端機服務設定
  2. 在左窗格中,按一下 [連線]。
  3. 在右窗格中用滑鼠右鍵按一下您想要設定的連線,然後按一下 [內容]。
  4. 在 [一般] 索引標籤上按一下 [憑證] 旁邊的 [編輯]。
  5. 在 [選取憑證] 對話方塊按一下 [您想要使用憑證]。

    附註伺服器驗證 必須出現在這個憑證的 [預定目的] 資料行中。此外,此憑證必須使用對應的私密金鑰 X.509 憑證。若要判斷憑證是否具有私用金鑰,按一下 [檢視憑證]。 底部的憑證資訊會出現下列的訊息文字:
    您有對應至這個憑證的私用金鑰。
    按一下 [確定]
  6. 按一下 [確定]
  7. 安全性層級] 清單中按一下下列的選項之一:
    • 交涉: 這個安全性方法會使用 TLS 1.0 如果支援 TLS 驗證伺服器。如果不支援 TLS 則伺服器不會被授權。
    • RDP 安全性階層: 這個安全性方法會使用遠端桌面通訊協定加密,以協助用戶端電腦與伺服器之間的安全通訊。如果您選取 [這項設定未驗證伺服器。
    • SSL: 這個安全性方法會要求來驗證伺服器的 TLS 1.0。如果不支援 TLS 則您無法建立與伺服器的連線。這個方法只是您必須選取有效的憑證使用。
    附註如果您按一下 交涉SSL安全性層級] 清單中,您也必須設定下列其中一項:
    • 將加密層級設定為 []。
    • 設定 FIPS 相容的加密。
  8. 加密層級] 清單中按一下下列的選項之一:
    • FIPS 相容: 如果您使用此設定,或如果您設定 系統密碼編譯: 使用 FIPS 相容方法於加密雜湊,以及簽章 加密並解密用戶端電腦和具有 FIPS 140-1 加密演算法使用 Microsoft 密碼編譯模組的伺服器之間使用 「 群組原則資料的選項。
    • 如果您使用此設定,用戶端電腦和伺服器之間傳送的資料會被加密使用 128 位元加密。
    • 用戶端相容如果您使用此設定,用戶端電腦,然後伺服器之間傳送的資料會被加密藉由使用最大用戶端電腦所支援的金鑰強度。
    • 如果您使用此設定,用戶端電腦和伺服器之間傳送的資料會被加密使用 56 位元加密。

      附註按一下 [安全性層級] 清單中的 [SSL 時,無法使用此選項。
  9. 按一下以選取 [使用標準的 Windows 登入介面] 核取方塊,以指定的使用者的登入終端機伺服器在預設 Windows 的 [登入] 對話方塊中鍵入他們的認證。
  10. 按一下 [確定]
附註
  • 若要進行這些選項中,您必須是本機電腦上系統管理員群組的成員,或者您必須是委派適當的權限。如果電腦加入網域,網域系統管理員 」 安全性群組的成員會有足夠的權限請依照下列步驟執行。
  • 藉由使用 [群組原則設定的加密層級覆寫您可以使用終端機服務設定工具來設定組態選項。此外,如果您啟用 系統密碼編譯: 使用 FIPS 相容演算法於加密雜湊,以及簽章 原則,系統密碼編譯: 使用 FIPS 相容演算法於加密雜湊,以及簽章 原則會覆寫 設定用戶端連線加密 層級的群組原則設定。
  • 當您變更加密層級時,您設定的新的加密層級會生效的下次使用者登入。如果您需要多個加密層級,安裝多個網路介面卡,然後使用不同的加密層級設定每個網路介面卡。
back to the top

若要將用戶端電腦設定

如果要設定 TLS 驗證用戶端電腦,請依照下列步驟執行:

步驟 1: 要求電腦憑證

  1. 啟動 Internet Explorer,然後再造訪 http:// servername / certsrv。
  2. 按一下 [下載 CA 憑證、 憑證鏈結或 CRL]。
  3. 按一下 [安裝這個 CA 憑證鏈結 到信任由這個憑證授權單位所發出的所有憑證將用戶端電腦設定]。
  4. 如果系統提示您從憑證授權單位網站上新增憑證,請按一下 [是]
  5. 當您收到下列訊息之後,結束 [Internet Explorer]:
    CA 憑證鏈結已經安裝成功。
附註
  • 您沒有登入電腦上具有系統管理權限,才能執行這項作業。
  • 安裝 CA 憑證鏈結,以確定用戶端電腦信任根目錄的終端機伺服器憑證。這表示發行終端機伺服器的憑證根 CA 的憑證儲存在用戶端電腦的本機電腦受信任的根憑證授權單位憑證存放區。 這是必要時要使用的伺服器驗證用戶端電腦連線到終端機伺服器的 TLS。
  • 安裝這個 CA 憑證鏈結] 選項可用來建立信任次級憑證授權單位中的,如果您目前沒有根 CA 憑證在憑證存放區。
back to the top

步驟 2: 用戶端電腦上設定驗證

若要設定驗證用戶端電腦上,使用其中一種下列的方法。
方法 1: 使用 [遠端桌面連線]
  1. 啟動遠端桌面連線]。
  2. 按一下 [選項],然後再按一下 [安全性] 索引標籤。

    附註如果您安裝 Windows Server 2003 SP1 版本的遠端桌面連線,就會出現 [安全性] 索引標籤。
  3. 在 [驗證] 清單按一下下列的選項之一:
    • 沒有驗證: 這是預設選項。如果您選取這個選項,終端機伺服器不會被授權。
    • 嘗試驗證: 如果您選取此選項,並且如果支援 TLS,且已正確設定,TLS 1.0 用來驗證終端機伺服器。

      如果您按一下 [嘗試驗證 您可以選擇繼續 TLS 驗證您的終端機服務連線,如果其中一個下列的驗證錯誤會發生:
      • 伺服器憑證已過期。
      • 伺服器憑證不是由信任的根憑證授權單位所發出。
      • 在憑證名稱不符合用戶端電腦的名稱。
      其他的驗證錯誤會導致終端機服務連線失敗。
  4. 需要驗證: 如果您按一下此選項,TLS 需要驗證終端機伺服器。如果不被支援 TLS,或如果沒有正確地設定 TLS 連線嘗試不成功。此選項才可用的連接到執行 Windows Server 2003 SP1 的終端機伺服器的用戶端電腦。
附註您沒有擁有管理權限來設定遠端桌面連線。此外,設定這個連線之後您就可以將您所做的變更儲存為遠端桌面檔案 (.rdp)]。若要進行其他用戶端電腦使用您已設定的安全性設定散發那些電腦.rdp 檔案。

.rdp 檔案包含終端機伺服器連線的所有的資訊。這包括您在 [安全性] 索引標籤設定安全性設定。您可以自訂您連線至特定的終端機伺服器,藉由建立對應到您想要在您連線至該終端機伺服器時使用的設定不同的.rdp 檔案。此外,您可以使用如 「 記事本 」) 的任何文字編輯器],以變更.rdp 檔案。如果要使用 「 記事本 」,以修改的.rdp 檔案安全性設定,請依照下列步驟執行:
  1. 尋找您想要修改,.rdp 檔案,然後再藉由使用 「 記事本 」 開啟它。
  2. RDP 檔案中,找出 驗證層級 一行。
  3. 將驗證層級值設定為下列值之一:
    • 0 這個值對應到 「 未驗證 」。
    • 1 這個值對應至要求驗證。
    • 2 這個值對應到嘗試驗證。
    比方說若要設定遠端桌面連線要求驗證,鍵入 驗證層級: i:1
  4. 將所做的變更儲存至該檔案,然後結束 [記事本]。
back to the top
方法 2: 藉由使用 「 登錄編輯程式 」
  1. 按一下 [開始]、 按一下 [執行]、 輸入 regedit,然後按一下 [確定]]。
  2. 使用下列方法之一:
    • 若要修改登錄設定為登入電腦的所有使用者,找出並按一下下列登錄子機碼]:
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Terminal 伺服器用戶端
    • 修改目前登入的使用者登錄設定、 找出並按一下下列登錄子機碼:
      HKEY_CURRENT_USER\Software\Microsoft\Terminal 伺服器用戶端
  3. 在 [編輯] 功能表上指向 [新增],然後按一下 [DWORD 值]。
  4. 在 [新數值 # 1] 方塊鍵入 AuthenticationLevelOverride,並按下 ENTER。
  5. AuthenticationLevelOverride,] 上按一下滑鼠右鍵,然後按一下 [修改]
  6. 數值資料] 方塊中輸入下列值之一,並按一下 [確定]
    • 0 鍵入此值來設定的驗證層級為 「 未驗證 」。
    • 1 輸入這個值可以設定的驗證層級為需要驗證。
    • 2 鍵入此值來設定的驗證層級為嘗試驗證。
如需有關這些驗證層級的詳細資訊,請參閱"Method 1: By using Remote Desktop Connection 」 一節。

附註
  • 如果您使用登錄來設定驗證等級,登入用戶端電腦的使用者無法修改驗證設定。
  • 您可以使用 HKEY_CURRENT_USER\Software\Microsoft\Terminal 伺服器用戶端登錄子機碼來設定驗證層級會覆寫可能 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Terminal 伺服器用戶端登錄子機碼中設定的驗證層級。
back to the top

警告:本文為自動翻譯

內容

文章識別碼:895433 - 最後檢閱時間:01/12/2007 07:54:40 - 修訂: 5.4

Microsoft Windows Server 2003, Enterprise Edition (32-bit x86), Microsoft Windows Server 2003, Standard Edition (32-bit x86), Microsoft Windows Server 2003, Web Edition, Microsoft Windows Server 2003, Datacenter Edition (32-bit x86), Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems, Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems

  • kbmt kbtermserv kbhowtomaster KB895433 KbMtzh
意見反應