安全连接Windows Vista远程桌面

进行首次连接时，您会看到图U那样的认证警告，告诉你服务器的证书不可信。为了调正这一情况，强迫系统在将来信任证书，请点“查看证书”按钮。

图U
 
当您看到图V时，就说明Vista PSD主机所生成的自签署证书已经生效，有效期为六个月。点安装证书按钮，将这个证书加入CTL(可信任证书列表，Certificate Trust List)。

图V
 
系统会出现图W所示的“证书导入帮手”，选“下一步”。

图W
 
选择将全部证书放入以下仓库。然后点“浏览”。如图X。

图X
 
选择“显示物理仓库并突出显示本地计算机”，如图Y。

图Y
 
返回证书仓库窗口，如图Z，选“下一步”。

图Z
 
为了完成导入，选择“完成”，如图AA。

图AA
 
当你看到图AB所示的成功信息时，点OK。

图AB
 
这时，您将可以与Vista RDP主机进行连接，但是更重要的是，即使将来与msi-p965进行连接，也不会出现任何的警告标志或者需要输入密码。如果以安全的方式进行连接就没有问题，当出现任何警告标信号时就要小心了。

如果您需要从公网络IP地址或动态DNS连入主机又改如何呢？如果你想以最初生成证书所用名称（本文中为msi-p965）不同的名称进行连接又该如何呢？您将会看到图AC所示的警告。你可以让它继续连接然后选择“以后与此电脑进行连接是不提示此信息”。

图AC
 
然后您会收到如图AD所示的警告，告诉你名称不符以及证书不正确。这并不是什么不好的事情。您可以查看证书，然后系统会告诉你证书是供“msi-p965”使用的，并且可靠。您之所以看到这样的警告是因为RDP客户端软件正在将证书所有者名称与你所连接的计算机进行比较。在本文中，我尝试连接的是“192.168.1.2”，而不是“msi-p965”。因此计算机向我报告说二者不相符。由于我企图连接的是公网上的某个IP地址或则一些其他的公共解析DNS名称，而且证书是有效的，所以我知道我没有被欺骗。所以我可以选“确认”继续进行连接。为了避免将来再看到同样的报错，我需要编辑本地主机文件，将IP或DNS名称，或则后是我的设备名称对应起来。

图AD
 
但是如果某个黑客使用伪造的证书要求进行连接呢？在这种情况下，你会看到图AE所示的警告，告诉您不仅仅是名称不符，证书的出身也很可疑。如果您按照图U到图AB的步骤安装证书以后又看到这样的警告信息，就说明有人正在企图愚弄你。您应该选择“不”，然后断开与服务器的连接。如果您希望继续进行连接，您就会将自己的信任状暴露给黑客，然后他就能通过字典袭击盗取你的密码。

图AE
 
如果这个看似复杂的过程能使您在连接RDP时不被警告，说明这是唯一可以建立安全可靠连接的方法。还好，你只需要这样操作一次，所有的后来的连接就都是安全的，而且绝无警告骚扰。无论你相信与否，您已经在RDP主机上创建了您自己的PKI证书，并在客户端计算机上安装了认证许可。这种采用公用密钥交换机制的安全方法经常被用来保证电子商务交易的安全。在企业级水平上，完全可以通过活动目录组的设置自动进行全程GPO设置和数字证书安全措施，但是您怎么知道它全部有效呢？

在以后的文章中，我将向您演示如何设置免费的公开解析并指向您的内部动态IP宽带服务的动态DNS条目当全部加密完成以后，客户端设备将不再报错。

（责任编辑:陈毅东）