Windwos远程桌面添加SSL证书

Windows 系统的远程桌面默认使用的是一张自签的 SSL 证书来连接，当使用 RDP 远程桌面时，会提示 “证书来自不信任的证书验证机构”。
导致这个问题的原因实际是系统使用了一个自签名的默认证书，而这个自签名证书对于客户端来说是不可信的，也就是说无法用于证明服务端的身份，客户端自然就会报告其不安全。

获取证书

证书可以通过阿里云申请免费证书，下载证书时选择 Tomcat 服务器类型，这样就可以直接获得一张 pfx 证书。

当然，如果你通过 Let‘s encrypt 等其他方式获取到一个 pem 文件和一个 key 文件，可以通过 openssl 转换为 pfx 证书。

openssl pkcs12 -export -clcerts -in [your_domain_crt.pem] -inkey [your_domain_key.key] -out [your_domain.p12]

导入证书

首先按下 Win + R，进入 “运行”，键入 mmc，打开 “管理控制台”，或者输入certmgr.msc 打开证书管理
在 证书 - 个人 上点击 右键 ，选择 所有任务 - 导入 

按照向导点击 下一步 , 之后选择你的 证书文件 （p12 pfx 格式的证书文件选择时需要更改文件类型才可以找到），之后需要输入之前设置的密码， 


证书存储 选择 根据证书类型，自动选择证书存储

导入完成后如下图所示


 

分配权限

首先在已经导入的证书上点击 右键 ，选择 所有任务 - 管理私钥 。

之后添加 NETWORK SERVICE 用户

至少要将 读取 权限分配给 NETWORK SERVICE ，然后确定。

 

更新远程桌面证书配置

双击证书管理右侧的证书可以看到证书的详细信息，获取其中的指纹

 

然后以管理员身份在 Powershell 中运行：

wmic /namespace:\\root\cimv2\TerminalServices PATH Win32_TSGeneralSetting Set SSLCertificateSHA1Hash="<上面获取的证书指纹>"
提示：双引号里的指纹不能包含空格

再次连接远程桌面已经没有警告信息，并且有安全锁的小图标，下图


原文链接：https://my.oschina.net/timebear/blog/10089555

很赞哦！ ()