配置 win server 远程桌面连接证书的两种方法

在 Windows Server 系统中，配置远程桌面连接证书可以增强连接的安全性，防止数据被窃取和篡改。下面介绍两种常见的配置方法。

一、使用自签名证书

1、生成自签名证书：以管理员身份打开 PowerShell，运行命令 “New-SelfSignedCertificate -DnsName "服务器主机名或 IP 地址" -CertStoreLocation "Cert:\LocalMachine\My"”。例如，服务器主机名为 “Server01”，则命令为 “New-SelfSignedCertificate -DnsName "Server01" -CertStoreLocation "Cert:\LocalMachine\My"” 。运行该命令后，系统会在本地计算机的 “My” 证书存储中生成一个自签名证书。
2、配置远程桌面服务使用自签名证书：打开 “服务器管理器”，在左侧导航栏中选择 “远程桌面服务” - “远程桌面会话主机配置”，在右侧窗口中找到 “连接”，右键点击选择 “属性”。在弹出的属性窗口中，切换到 “常规” 选项卡，在 “SSL 证书” 下拉列表中选择刚刚生成的自签名证书，然后点击 “确定” 保存设置。

二、使用 CA 颁发的证书

1、申请 CA 证书：向证书颁发机构（CA）申请证书，通常需要准备服务器的相关信息，如服务器的 DNS 名称、IP 地址等。以向 Let's Encrypt 申请证书为例，可使用 Certbot 工具。首先在服务器上安装 Certbot，根据服务器操作系统选择相应的安装方式。安装完成后，运行命令 “certbot certonly --standalone -d 服务器域名”，例如 “certbot certonly --standalone -d server.example.com” ，按照提示完成证书申请，申请成功后，证书文件会保存在指定的目录中。
2、导入 CA 证书到服务器：将 CA 颁发的证书文件（通常包括证书文件和私钥文件）复制到 Windows Server 服务器上。打开 “证书” 管理单元，可通过在 “运行” 对话框中输入 “certmgr.msc” 打开。在 “证书 - 本地计算机” 中，展开 “个人” - “证书”，右键点击 “证书”，选择 “所有任务” - “导入”，按照证书导入向导的提示，将 CA 颁发的证书文件导入到服务器中。
3、配置远程桌面服务使用 CA 证书：同使用自签名证书的步骤，打开 “服务器管理器” 中的 “远程桌面会话主机配置”，在 “连接” 属性的 “常规” 选项卡中，从 “SSL 证书” 下拉列表中选择导入的 CA 证书，点击 “确定” 保存设置。
配置好远程桌面连接证书后，在进行远程桌面连接时，客户端会验证服务器的证书，确保连接的安全性。

拓展阅读：

1. 自签名证书和 CA 颁发的证书有什么区别？
自签名证书由服务器自己生成，安全性相对较低，主要用于内部测试等场景；CA 颁发的证书由权威机构颁发，具有更高的可信度和安全性，适用于正式生产环境。
2. 如何备份和恢复远程桌面连接证书？
在 “证书” 管理单元中，选中要备份的证书，选择 “所有任务” - “导出”，按照向导提示备份证书；恢复时选择 “所有任务” - “导入”。
3. 若证书过期了，如何更新远程桌面连接证书？
对于自签名证书，重新生成新的自签名证书并重新配置；对于 CA 颁发的证书，向 CA 重新申请证书，然后导入并重新配置远程桌面服务。