在之前的部落格中，已經按照標準部署進行了配置，基本上標準的部署已經完成，但是在IT環境中，細節決定成敗，在我們通過Web進行訪問RemoteApp程式時候，總會有一些警告和阻攔，這些問題雖然不影響到使用者的使用，但是這影響到在使用過程中的安全性，解決這些問題的方法就是證書。

首先我們要解決的問題就是，當我們登入到RDWeb伺服器進行訪問時，總是提示“此網站的安全證書存在問題”

其次，主要解決的問題是，當啟動其中的一個RemoteApp應用程式時候，總是彈出“網站要求執行RemoteApp程式。無法識別此RemoteApp程式釋出者”

以上的2個問題都是可以通過證書伺服器來進行解決，配置好證書問題，這2個警告就可以消除，在本次部落格中，主要完成下面3個方面：

1、 安裝CA證書伺服器

2、 設定Web安全訪問

3、 信任remoteapp釋出者

在此次配置中，使用的伺服器情況如下：

一、安裝CA證書伺服器

1、在AD-DC.mabofeng.com伺服器中，在域控伺服器上安裝證書伺服器，在伺服器管理器中，點選管理，在彈出的選單中選擇“新增角色和功能”

2、在新增角色和功能嚮導中“開始之前”頁面中，點選下一步。

3、在選擇安裝型別頁面中，選擇基於角色或者基於功能的安裝，點選下一步

4、在“伺服器選擇”頁面中，選擇要安裝角色和功能的伺服器或虛擬硬碟，選擇“從伺服器池中選擇伺服器”然後選擇本機，點選下一步。

5、在“選擇伺服器角色”介面中，選擇Active Directory證書服務，點選下一步。此時，我們將Active Directory域服務和DNS伺服器同時安裝在了同一臺計算機中，如果伺服器資源富裕，建議單獨部署各個功能元件，並設定Active Directory輔域。

6、在“選擇功能”頁面中，不選擇任何功能元件，直接點選下一步。

7、接下來就進入了“Active Directory證書服務”的配置頁面，在配置嚮導中點選下一步。

8、在“選擇角色服務”頁面中，選擇Active Directory證書服務的角色服務，這裡選擇“證書頒發機構”和“證書頒發機構Web註冊”，然後點選下一步。

9、當我們勾選“證書頒發機構Web註冊”時，同時需要新增Web伺服器（IIS），在新增證書頒發機構Web註冊所需的功能頁面中，顯示了要配置iis的功能元件，這裡點選“新增功能”。

10、接下來就是配置Web伺服器角色（IIS），在Web伺服器角色（IIS）頁面中，點選下一步。

11、在“角色服務”頁面中，為web伺服器（IIS）選擇要安裝的角色服務，預設基本選項，點選下一步。

12、在“確認安裝所選內容”頁面中，確認要在所選伺服器上安裝的角色、角色服務或功能，勾選“如果需要。自動重新啟動目標伺服器”最後點選安裝。

等待一段時間後，CA證書伺服器就安裝完成了，安裝階段的工作就完成了，但是要使用CA證書伺服器就必須配置一個企業CA證書。接下來就來配置業CA證書。

1、在AD CS配置嚮導中，憑據介面中，指定憑據以配置角色服務，預設是域管理員，如需要進行更改使用者，可以點選“更改”，然後點選下一步。

2、在“角色服務”頁面中，選擇要配置的角色服務，點選“證書頒發機構”和“證書頒發機構web註冊”，然後點選下一步。

3、在“設定型別”頁面中，指定CA的設定型別，企業證書頒發機構分為2種，一種是企業CA，另一種是獨立CA，使用企業CA的使用者要求必須是域成員，並且通常處於練級狀態以頒發證書或證書策略，而獨立的CA一般是非域環境，獨立的CA不需要AD DS，並且可以在沒有網路連線的情況下使用，一般是指第三方的CA證書服務。這裡選擇企業CA，然後點選下一步。

4、在CA型別頁面中，指點CA型別，在安裝證書伺服器時，將建立或擴充套件公鑰基礎結構層次結構，根CA位於PKI層次結構的頂部，頒發其自己的自簽名證書，從屬CA從PKI層次結構中位於其上方的CA接收證書。這裡選擇根CA，點選下一步。

5、在私鑰頁面中，指定私鑰的型別，可以使用現有的私鑰，也可以是建立新的私鑰，這裡選擇建立新的私鑰，點選下一步。

6、在CA加密頁面中，選擇加密的選項，然後點選下一步。

7、在指定CA名稱頁面中,鍵入公用名稱以標識該證書頒發機構，此名稱將新增到該CA頒發的所有證書者，CA的公用名稱是以證書伺服器的計算機名稱後面加-CA，可分辨名稱字尾值是自動生成的，不過可以對其進行修改，然後點選下一步。

8、在“有效期”介面中，選擇為此證書頒發機構CA生成的證書有效期，預設時間為5年，以配置完成時間為起始，設定完成後點選下一步。

9、在CA資料庫頁面中，指定證書資料庫的位置和證書伺服器日誌的位置，預設地址為C:/Windows/System32資料夾中，設定完成後點選下一步。

10、在確認頁面中，確認配置的角色、角色服務或功能，然後點選配置。

11、在配置進度頁面中，正在配置角色服務，等待一段時間後，即可配置完成。

12、在結果頁面中，成功配置證書頒發機構和證書頒發機構Web註冊，至此，證書的安裝和配置工作就全面完成了，接下來就是配置證書模版。

接下來主要是配置證書模版，由於一般企業中的證書伺服器是給域中所有的計算機中使用，域證書伺服器中預設包含了很多證書模版，為了保險和安全，建議手動建立一個證書模版，可以專門為RD伺服器使用，由於我們是頒發公用的證書，所以對模版也要進行簡單的設定。

1、在伺服器管理器中，點選工具，在彈出的工具選單中，選擇證書頒發機構，在證書頒發機構頁面中，右鍵選擇證書模版，在彈出的選單中選擇管理。

2、在證書模版控制檯中，找到計算機模版，然後右鍵點選計算機模版，在彈出的選項中選擇複製模版。

3、在新建模版的屬性中，首先選擇常規頁面，在常規頁面中，設定模版顯示名稱，這裡輸入RD計算機，並勾選在Active Directory中釋出證書。

4、在使用這名稱的選項中，點選“在請求中提供”設定完成後，點選應用。

5、在“證書頒發機構”頁面中，右鍵選擇證書模版，在彈出的選單中選擇新建-要頒發的證書模版。

6、在啟用證書模版頁面中，找到之前設定的RD計算機，選中後點擊確定。

7、最後，在證書模版中，就可以看到設定的RD計算機模版，此時，證書方面的設定基本完成了。

二、設定Web安全訪問

Web安全訪問主要設定IIS，無論是採用什麼安裝模式，包括標準部署或者是快速部署，只要安裝了遠端桌面Web訪問Remote Desktop Web Access服務，那麼在伺服器中就會安裝IIS web伺服器，如果需要進行安全訪問，其主要就是設定IIS，其實這部分不屬於RemoteApp設定範疇，應該屬於IIS的安全訪問設定，所以對IIS較為熟悉的工程師，對這部分都會感到熟悉，下面就來設定Web的安全訪問。

1、 在RD-WA.mabofeng.com伺服器中，在伺服器管理器中，點選工具，在彈出的工具選單中，選擇IIS管理器，在IIS中的RD-WA伺服器中，雙擊選擇“證書伺服器”。

2、在伺服器證書頁面中，右邊的操作欄目中，點選選擇建立域證書。

3、在建立證書嚮導中的可分辨名稱屬性中，輸入申請證書的必要資訊，這裡的通用名稱要輸入伺服器的完整域名，輸入完成後，點選下一步。

4、在建立證書嚮導中的聯機證書頒發機構頁面中，指定域內將對證書進行簽名的證書頒發機構，並指定一個好記的名稱以便於記憶，首先點選選擇，選擇域中的證書伺服器，然後設定一個名稱，點選完成。

4、 當申請完成後，接下來我們進行網站443埠繫結，首先我們點開網站樹狀結構，右鍵選擇Default Web Site，在彈出的選單中選擇“編輯繫結”。

5、在網站繫結頁面中，選擇https，埠443，然後點選編輯。

6、在“編輯網站繫結”頁面中，選擇SSL證書，點選選擇按鈕，選擇之前申請的證書，然後點選確定。

7、為了簡單方便的進行訪問，我們可以將IIS中預設的首頁，設定為RD Web訪問的地址，所以我們可以設定預設首頁中的HTTP重定向。

8、在IIS首頁中的http重定向頁面中，勾選要求重定向到此目錄，並在文字框中填寫RD Web的地址，其地址為/RDWeb/Pages。

9、設定完成後，在RD-CC.mabofeng.com的Windows 8.1作業系統中，開啟IE瀏覽器，輸入遠端桌面Web訪問Remote Desktop Web Access伺服器的地址，https:// RD-WA.mabofeng.com/。此時我們就可以看到，可以安全的進行訪問Remote Desktop Web Access，並且不會提示證書錯誤。

三、信任RemoteApp釋出者

信任RemoteApp釋出者就是解決當啟動其中的一個RemoteApp應用程式時候，總是彈出“網站要求執行RemoteApp程式，無法識別此RemoteApp程式釋出者”，如果配置了證書服務，就可以此類的問題。

1、以域管理員的身份登入到RD-SH.mabofeng.com 遠端桌面會話主機，然後在執行中輸入mmc。

2、開啟系統的控制檯後，點選檔案-新增/刪除管理單元。

3、在計算機上為此控制檯選擇證書並配置所選的單元組，點選新增。

4、在證書管理單元介面中，選擇計算機賬戶，然後點選下一步。

5、在選擇計算機頁面中，選擇本地計算機（執行此控制檯的計算機），然後點選完成。

6、在證書（本地計算機）頁面中，在個人證書裡，右鍵點選個人，在彈出的選單中選擇所有任務-申請新證書。

7、在證書註冊頁面裡開始介面中，點選下一步，在申請之前，要確保能申請的伺服器能連線到證書伺服器，然後點選下一步。

8、在證書註冊頁面裡選擇證書註冊策略介面中，註冊策略啟用基於預定義證書模版的證書註冊，可以點選屬性檢視域證書伺服器。然後點選下一步。

9、選擇RD計算機證書模版，並點選黃色感嘆號，“註冊此證書需要詳細資訊，單擊以配置設定。”

10、在證書屬性中的使用者介面中，在使用者名稱中，選擇公用名，並新增RD-SH.mabofeng.com遠端會話主機，在備用名稱中，選擇其他元件伺服器的名稱。

11、在證書屬性中的私鑰介面中，金鑰選項中設定私鑰的金鑰長度和匯出選項，勾選“使私鑰可以匯出”，設定完成後，點選應用。

12、設定證書屬性完成後，回到證書註冊介面中，點選註冊。

13、在證書註冊裡證書安裝結果中，檢視證書申請的狀態，證書申請成功後，點選完成，退出證書註冊。

14、成功申請證書後，在個人-證書裡可以看到證書，這是右鍵選擇證書，在彈出的選單中選擇所有任務-匯出…。

15、在“歡迎使用證書匯出嚮導”中，點選下一步。

16、在匯出私鑰中，可以選擇將私鑰和證書一起匯出，但是這裡我們只需要匯出私鑰即可，所以選擇“是，匯出私鑰”。點選下一步。

17、在證書匯出嚮導中，選擇使用要匯出的格式，選擇個人資訊交換-PKCS # 12(.PFX)，並選擇匯出所有擴充套件屬性，然後點選下一步。

18、在安全頁面中，需要設定匯出私鑰的安全性，可以對使用者進行私鑰的許可權設定，或者設定一個私鑰密碼，然後點選下一步。

19、設定要匯出私鑰的地址和名稱，然後點選下一步。

20、最後，成功匯出證書私鑰，點選完成，退出證書匯出嚮導。

接著我們把這張證書分別複製到RD-SH，RD-CB，RD-WA伺服器上，在執行裡輸入MMC，選擇本地計算機帳戶證書，個人證書裡匯入此證書。然後在各伺服器上用各自的管理控制檯選擇此證書應用起來。

1、在其中的一臺RD伺服器管理器中，選擇遠端桌面伺服器，點選概述，在部署概述中，點選任務，在下拉選單中選擇“編輯部署屬性”

2、在配置部署裡證書頁面裡，遠端桌面服務部署要求使用證書進行伺服器身份驗證，單一登入以及建立安全連線，將之前的證書分別匯入到這些角色中。

3、點選選擇現有證書後，選擇之前匯出的私鑰，並輸入正式的密碼，然後點選確定。

4、匯入後，需要點選應用，每個證書都必須分別進行匯入。

5、匯入後會顯示是否成功匯入和證書的安全級別。

6、之後可以拆開證書的詳細資訊，這裡要注意的是，要記住指紋的編號，在後面的域策略中會要求輸入認證的指紋資訊。

7、當證書設定完成後，需要在域策略中信任這些證書所在伺服器的釋出者，首先我們以域管理員的形式登入到域控制器，在AD的組策略裡，右鍵單擊Default Domain Policy，選擇編輯。

8、在Default Domain Policy中，定位到計算機配置\策略\管理模板\Windows元件\遠端桌面服務\遠端桌面連線客戶端。雙擊指定表示受信任.rdp發行者的SA1證書指紋。

9、在.rdp發行者的SA1證書指紋策略中點選啟用，把指紋複製進去，然後點選確定。

10、將用於對RDP檔案進行數字簽名的證書的指紋新增到Default Domain Group Policy設定中，這一步是必需的，這樣使用者每次啟動RemoteApp程式時才不會出現受信任的發行者的警告對話方塊。完成後使用命令gpupdate /force強制跟新域策略。

11、接下來我們就來進行下測試，在RD-CC.mabofeng.com，win8.1客戶端中點選應用後，會直接彈出執行視窗，不會彈出任何的警告，此時證書驗證成功。