RDP（MSTSC）远程桌面程连接替换使用可信任的 SSL 证书来加密连接

Windows 自带的远程桌面连接不得不说是个利器，加上之前的几次调教：《RDP（MSTSC）无法连接到远程云服务器问题分析》、《RDP 远程桌面连接保存用户名和密码自动登录方法》、《解决 RDP 远程桌面连接字体模糊、锯齿严重问题》，更加好用了哈哈哈！

远程桌面服务默认会启用自签的证书来加密连接，但是难以避免中间人攻击，每次连接时还会提示证书错误（无法验证此远程计算机的身份由于安全证书存在问题，因此远程计算机无法通过身份验证......），因此考虑使用受信任的证书来加密连接。

总体步骤分为三个：申请证书 --> 安装证书 --> 指定证书

申请证书

步骤大同小异，参考《获取免费的 Let’s Encrypt 泛域名 SSL 证书》。

安装证书

完整步骤

动图更直观（文件比较大加载可能比较慢）：

重点步骤

1、存储位置

证书需要安装到本地计算机，虽然双击证书也可以直接安装，但是安装位置默认是当前用户，如果安装到当前用户，可能后续连接会发现证书又变回默认的自签证书：

2、用户组权限

安装后还需要给 NETWORK SERVICE 管理私钥的权限：

指定证书

证书指纹

直接打开证书，详细信息最后一项：

指定证书

通过修改注册表实现（这里特别注意要以管理员身份运行，即使登录用户是 Administrator），位置为 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp]，新建 二进制值，名称为 SSLCertificateSHA1Hash，值为刚安装的证书的指纹。

定位到 RDP-Tcp 比较累，建议直接用文件导入，内容如下：

C:\Users\Administrator>type 注册表.reg

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp]
"SSLCertificateSHA1Hash"=hex:ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,\
  ff,ff,ff,ff

问题点

1、问题描述：无法验证此远程计算机的身份，是否仍要连接？（如果远程计算机运行的是早于 Windows Vista 版本的 Windows，或者如果未将远程计算机配置为支持服务器身份验证，则可能会发生此问题。请联系你的网络管理员或远程计算机的所有者以获取帮助。）

原因分析：这里的服务器身份验证其实是指指定的远程桌面证书的验证，前面在重点步骤中已经提到，需要把远程桌面证书的私钥的管理权限授予 NETWORK SERVICE，如果没有授予权限，就会出现这个问题。

2、问题描述：无法验证此远程计算机的身份，是否仍要连接？（由于安全证书存在问题，因此远程计算机无法通过身份验证。继续操作可能不安全。证书错误：验证远程计算机的证书时遇到下列错误：无法对证书执行吊销检查。）

原因分析：其实这里已经提示很清楚了，吊销检查时发生错误，此时我们可以查看证书的吊销列表 CRL 或 OCSP 地址是否可以正常访问；如果可以正常访问，再检查 CRL 的更新日期是否已经过期（更新即可）。此问题一般出现在自签 SSL 证书上，指定了 CRL，却忘了定时更新 CRL（即使实际上并没有证书进行了吊销，也要每月定时更新，方法具体参见《利用 OpenSSL 搭建自签 SSL 证书的 OCSP 状态在线验证服务》）。

3、问题描述：无法识别此远程连接的发布者，是否仍要连接？（此远程连接可能损坏你的本地或远程计算机。除非你知道此连接或以前使用过此连接，否则请不要连接。）

原因分析：即使我们使用了可信任的证书来加密远程连接，然而仍然会出现此问题，原因是在 Windows 安全标准里，RDP 快捷连接（指 .rdp 后缀的快捷方式，通过 RDP 窗口连接不会有此提示）必须是经过可信任签名的（通常发布 RDP 快捷连接都是域里分发的，分发时都会有选择签名证书的选项），因此要解决此问题就要对快捷方式进行签名，具体方法参见《对远程桌面或 Remote App 快捷方式（.rdp）签名，解决无法识别此远程连接的发布者问题》。

参考文章：

1、《使用可信证书为windows RDP服务提供加密》