Windows Server 远程桌面默认使用系统自签名证书,在任何终端进行远程桌面登录时均会提示证书告警
虽然可以通过勾选下方“不再询问我是否连接到此计算机”选项使之后登录不再提示,但任何终端首次登录均会出现告警,同时在公网上也无法验证服务器身份是否真实。
可以通过在公网可信机构申请可信的SSL证书,并将该证书倒入至服务器内配置使用的方式解决该问题
通常公网颁发的证书下载后为"*.pem"和"*.key"两个文件,其中pem文件为完整证书链,key文件为私钥,需要通过工具讲上述两个文件打包合并为一个pkcs12格式的pfx文件以供windows server使用,这里我们可以使用linux自带的openssl工具进行操作,讲上述两个文件上传至linux服务器后执行命令
pkcs12 -export -clcerts -in *.pem -inkey *.key -out YOURNAME.pfx
其中*.pem为公网签发的证书,*.key为同步下发的证书私钥,YOURNAME.pfx为合并后的证书文件,该文件名可自定义
修改后将该pfx证书拷贝至windows server服务器,右键点击开机-运行,输入mmc运行控制台
运行控制台后点击左上角文件-添加/删除管理单元
左侧列表下拉找到证书,点击中间的添加按钮
在弹出的界面选择“计算机账户”后单击下一步
在下一个界面选择本地计算机单击完成
然后依次展开左侧证书-个人
在个人证书内右键点击选择导入,将刚刚拷贝的pfx证书倒入至服务器证书-个人文件夹下
倒入成功后在右侧窗口中可看到该证书,双击该证书打开证书信息页面
点击上方中间标签"详细信息"
将滚动条拉至最下方找到指纹,拷贝该证书的指纹信息
管理员权限打开power shell并执行命令
wmic /namespace:\\root\cimv2\TerminalServices PATH Win32_TSGeneralSetting Set SSLCertificateSHA1Hash="你证书的指纹"
命令返回成功即可
