我通过将我的 SSL 证书添加到我的 Windows 主机来保护 RDP,当然,我正在编写所有内容的脚本。我已经完成了 99%,唯一不知道如何编写脚本的步骤与权限有关。
1.开始 > 运行 > mmc
2.文件>添加删除管理单元>证书>添加>计算机帐户>本地计算机>确定
3.在左侧窗口中右键单击证书(本地计算机)个人,选择所有任务/导入...
4.找到pfx文件并导入它,出于安全原因,我建议您不要将其设为可导出。
5.扩展您的个人/证书,您现在应该看到 3 个证书,其中之一是您的站点证书(例如 mysite.com)。右键单击此站点证书并右键单击,选择所有任务/管理私钥...
6.添加具有只读权限(非完全控制)的用户“网络服务”,然后应用
7.关闭mmc
我正在尝试编写本指南中的第 6 步。有人知道从哪里开始吗?
实际上,我发现有两种方法可以使其正常工作。当然,更好的答案来自 StackOverflow 而不是微软。
您可以使用
winhttpcertcfg.exe它必须单独下载,因为它不随 Windows 提供。另一个问题是它只在需要Full Control时授予权限Read。我发现没有办法纠正这个问题,但在我的搜索中我找到了更好的方法。此命令将授予
NETWORK SERVICEREADSSL 证书目录中所有文件的权限:https://docs.microsoft.com/en-us/microsoft-desktop-optimization-pack/appv-v4/how-to-modify-private-key-permissions-to-support-management-server-or-streaming-服务器
https://docs.microsoft.com/en-us/windows/win32/winhttp/winhttpcertcfg-exe--a-certificate-configuration-tool
https://blogs.technet.microsoft.com/operationsguy/2010/11/29/provide-access-to-private-keys-commandline-vs-powershell/
https://stackoverflow.com/questions/1678584/winhttpcertcfg-giving-access-to-iis-user-in-windows-7