windows 的远程桌面支持私钥认证吗

用IPSec加密

有一个智能卡认证似乎可以实现类似效果，不过从未试验过，楼主可以往那个方向找找资料。或者直接 IP 白名单了事啊。。。

白名单太死了

@hljjhb
@Citrus

https://technet.microsoft.com/en-us/library/dn781533.aspx

微软的technet文档异常丰富...就是没人看

支持证书

@geeklian 你仔细看看你给的文档是干嘛的。。。。。。

跳板机。阿里云固定IP连过去

@Citrus Remote Desktop Services uses certificates to sign the communication between two computers. When a client connects to a server, the identity of the server and the information from the client is validated using certificates.
有啥问题么

@sanddudu
@geeklian
这个是普通ssl证书还是什么 。
还有一般ssl证书钥私放服务器上的啊。这个怎么放

关了Administrator的RD访问权限，它再怎么爆也无济于事啊。。。

同意 @ETiV ，服务器暴露的越少越好，从堡垒机/跳板机连接就好

@holinhot
这个不用放，简单来说，AD里的证书服务器给某个域用户签发一个拥有“Server Authentication” or “Remote Desktop Authentication”扩展的证书。然后你RDP域中服务器时，用这证书代替你输入用户名密码。

具体操作technet

Windows服务器成规模时很方便。不用每台服务器改配置，一个证书免密登录所有给你RDP权限的服务器，证书丢了直接吊销签发个新的，用户删除直接删AD就是了。

单台windows服务器的话，免密没啥好办法。vps玩玩的话，禁掉administrator的话就够了。

@geeklian 如果有用ad我也不就配置证书验证了。看来没有ssh那种快捷好用的了

@sanddudu 然而事实上这篇文章只教你怎么生成服务器证书ˊ_>ˋ

@Citrus
私钥和证书登陆，目的，性能，解决的问题都是一样的。只不过证书更适合企业的集群管理，私钥更适合一对一的管理。你的linux如果做了ldap集成，openssh一样可以用证书登陆。

@Citrus
@geeklian windows 2008默认的远程桌面是有证书的。还说 上面这个只是装个证书每次远程桌面不发出证书告警而一 还是有身份验证功能

@geeklian 然而你发的文章没教怎么用私钥登陆啊。。。
@holinhot 2008以上默认都有证书，我看了那篇文章跟你理解的一样，没找到怎么生成私钥证书用来登陆ˊ_>ˋ

@Citrus

是服务器证书没错啊
平时你rdp，服务器会自签发一个证书，这时候这个证书只是加密用。

现在ca给你签发一个可以登录某些服务器的证书，然后你保存在你的办公机上，rdp时会要求你选择证书，服务器拿你的证书跟ad里ca签发的ad根证书做验证，验证不通过就断开了。

如此一来，没有你这个证书的人，就没法爆破你的服务器啦.....

@Citrus
@holinhot

好吧....应该是我理解错了。

@geeklian 你看你自己说了一遍也发现似乎不是楼主要求的那样了吧。。。

@Citrus
@holinhot
嗯嗯....我有罪

不过替代方案找了一个..

https://github.com/frankmorgner/vsmartcard

虚拟的Smart Card，然后组策略里..

Interactive login: require smart card

@geeklian 嗯，我一开始的意思就是用 Smart Card 登陆。证书存在 Smart Card 里。