为 MSTSC 配置 SSL 证书

在使用 MSTSC 远程桌面连接时，如果没有配置 SSL 证书，会提示连接不安全，这里介绍如何为 MSTSC 配置 SSL 证书

0x00 证书申请

申请到证书后，如果不是 *.pfx 格式而是私钥 *.key 和 证书 *.crt，可以使用 openssl 工具进行转换

首先将 *.key 和 *.crt 文件放到同一个目录下，然后打开 CMD，进入到该目录下，执行以下命令：

openssl pkcs12 -export -out certificate.pfx -inkey private.key -in certificate.crt -certfile ca_bundle.crt

提示 Enter Export Password 时设定一个密码，然后再次输入密码

0x01 证书安装

首先按下 Win + R ，进入 运行 ，键入 mmc ，打开 管理控制台

在 文件 中选择 添加/删除管理单元

在左侧选中 证书 后点击 添加

在弹出的对话框中选择 计算机账户，点击 下一步

之后选择 本地计算机（保持默认） 然后点击 完成 ，再然后点击 确定

在 证书-个人 上点击 右键 ，选择 所有任务-导入

按照向导点击 下一步 ,之后选择你的 证书文件 （pfx 格式的证书文件选择时需要更改文件类型才可以找到）

之后需要输入之前设置的密码，证书存储 选择 根据证书类型，自动选择证书存储 ，然后点击下一步即可

导入完成后如下图所示：

0x02 分配权限

首先在已经导入的证书上点击 右键 ，选择 所有任务 - 管理私钥

之后添加 NETWORK SERVICE 用户。

0x03 编辑注册表

回到之前的证书管理，双击打开已经导入的证书，在 详细信息 中选择 指纹 ，并记录下方的值。

打开 PowerShell ，把下面的命令中的 <指纹值> 替换为上面记录的值，然后执行

wmic /namespace:\\root\cimv2\TerminalServices PATH Win32_TSGeneralSetting Set SSLCertificateSHA1Hash="<指纹值>"

0x04 重启服务

最后重启 Remote Desktop Services 服务即可

net stop termservice & net start termservice

0x05 大功告成

重新连接远程主机，即可看见小锁标识，证书安装完成