配置终端服务以利用 SSL 对服务器进行身份验证

Question

在我的办公室里，有一台运行 Windows 2003 SP2 的网络服务器。这不是网络服务器。有7个工作站，每一个都运行Windows XP。其中两个工作站为我的客户安装了信用卡扫描仪。我有一个静态 IP 地址，以便使用 Windows RDP 功能连接到我的办公室服务器。

Credit Card Scanner 人员现在希望我“配置终端服务以利用 SSL 对服务器进行身份验证”。他们担心“中间人攻击”。

如果我与 SSL 卖家（例如 Godaddy）或任何卖家建立联系，然后又购买了 SSL 证书，我是否需要下载此证书？我是否必须在服务器上配置它才能发布 PKI。下载证书后，我只是不确定该怎么做。购买 SSL 证书后的具体步骤是什么？

这应该不用说，但无论如何我都会说，任何帮助将不胜感激。

Answer 1

您只需将服务器配置为需要 TLS（终端服务器/远程桌面的版本均不支持 SSL；他们误用了这个术语，因此外行人希望能理解）。

你需要一个证书。您可以在服务器上设置证书服务并颁发您自己的证书，这比一个证书的价值还要多。或者，您可以从其中一个免费证书颁发机构获得一个。或者，您可以使用问题中提到的付费 CA。在任何情况下，请确保主题名称 (SN) 是您用于远程访问服务器的 DNS 名称。

安装证书，CA 应该提供指导。简短版本：运行mmc，为本地计算机添加证书管理单元，在个人证书下，从 CA 导入 pfx 文件。

然后将服务器配置为使用 TLS 和 Cert。打开终端服务配置mmc，连接，属性，编辑证书，设置证书使用和使用TLS（这里也可能叫SSL，2003是我好久没用过的古老系统）。

编辑：
官方如何配置 Windows Server 2003 TS 以使用 TLS 进行服务器身份验证

编辑 2：
通用名称 (CN) 是您从 CA 获得的证书上显示的名称。此名称必须与您输入的名称相匹配才能连接到服务器。例如，您可能正在使用 server1.example.com。当您运行“远程桌面连接”并要求“计算机”时，您在其中输入的任何内容都必须与 CN 匹配。如果不匹配，假设您输入 IP（大多数公共 CA 不会为其颁发证书），每次连接时都会收到警告消息。可以关闭该警告消息，但这会破坏所有这些的目的。

在工作组或域中没有任何有意义的区别。唯一的细微差别是，在域中，服务器必须已经拥有完整的 DNS 名称（即server1.example.com上述）；工作组中的计算机只能通过它们的 NetBIOS 名称寻址（server1在运行示例中）。因此，您可能必须弄清楚要使用的域名。如果您根本没有域名，则必须获得一个（这是 DNS 域名；不是 Active Directory 域；我知道，名称选择不当）。

“配置服务器以使用 TLS 和证书”是您将在对话框中看到的两个屏幕选项。将有一个下拉框列出可用证书，另一个下拉框列出可用的安全选项（其中一个将需要 TLS；或类似的选项）。

如果这一切都超出您的想象，您可能需要联系当地的顾问。完成此设置大约需要一个小时或更短的时间，这将是评估本地公司能力的好方法。