TSGateway,从Windows Server 2008开始的一个新技术,它将RDP的数据封装在SSL加密通道当中,不用想,安全又得到了增强,softice能想到的,它给我们带来了几个方便之处:
1、首先是服务器的身份得到验证,2003中,从SP1才开始有此功能;
2、RDP数据本身就是加密的,再走一个SSL通道,双重保险,双重加密;
3、对于内网有多台远程桌面(终端)服务器时,如果要发布到Internet上,此时只需要一个公网IP,开放一个443端口,而在这之前,可能需要多个公网IP或是修改部分服务器的3389端口,这一点是管理员很容易遇到的,TSGateway解决了一个big Problem;
。。。。。。
好了,到此为TSGateway歌完功,颂完德,我们回归主题,TSGateway与证书。既然走SSL通道,证书是要一个的,TSGateway的证书有几个特点:
1、他是一个计算机身份验证的证书,更准确的,是用于服务器身份验证的一张证书;
2、这张证书支持通用签名或是SAN签名,举个例来说,如果我有一台远程桌面(终端)服务器,内网使用,外网也使用,且都必须经过TSGateway验证,而内网使用的域名可能是tsga.contoso.com,而外网使用的名称可能是tsga.abc.com,那么这个时候就要使用SAN签名的证书了;
 
接下来了,就是走套路了,配置CA,申请证书,绑定到TSGateway服务器上。
1、在一个Windows Server 2008的CA上,打开CA管理工具,选择证书模板,选择管理
 
2、找到计算机证书,选择复制
 
3、其它保持默认,创建一个新的证书模板,并把名称改为TSGateway,并选择在AD中发布证书模板
 
4、在使用者名称中,选择在请求中提供
 
5、其它设置保持不变,确定保存,创建完成TSGateway证书模板后,回到CA管理工具,同样在证书模板选项中,选择添加TSGateway证书
 
 
6、到此,证书模板的设置就算完成了,接下来到TSGateway服务器,使用MMC添加证书管理工具,在个人中,选择申请证书
 
7、证书申请向导出现,选择下一步,选择TSGateway证书
 
8、选择属性,在公用名中添加tsga.contoso.com和tsga.abc.com的值
 
9、接下来就一直确定下一步,下一步确定了,最终完成证书的申请,证书申请成功后,打开TS网关管理工具,选择属性,在此处就可以选择刚才创建的证书了