最近感到需要为服务器增加远程安全性，搜过到以下文章作为参考，其中遇到不少问题。最后基本找到解决方法。

为公司的服务器中配置上SSL证书来加强互联网中传输的安全性。

1. IIS中进销存web系统强制使用https证书方式。 （一开始没细看教程，自以为是的，少了申请证书一步直接将txt导入到服务器证书中，以致于无法显示网页。）

2. 远程桌面采用ssl安全加密模式。（按照教程做没出现什么问题，不过xp自带的客户端不支持ssl加密，2003自带的可以，可以网上下载vista提取版的3389客户端用于xp系统，98系统未测试。）

3. 配置 Internet 打印服务器，要求强制https方式。（本来要求客户端证书，但这样在客户端安装打印机是总是出错。明文用户名加密码加ssl方式，匿名可以但无安全性可言。其它方式总是有问题。）

4. 配置webxp 摄像头监控，内置的IIS，未加密传输。

以后打算增加配置：vpn接入（暂时那个d-link 无线路由器不支持pptp的端口转发）

建立安全的通信渠道 为IIS服务器配置SSL

　　互联网充满了危险，而很多重要的应用却建立在互联网之上。你一定不会希望你的银行帐户密码被网上的嗅探者截获，而避免这类问题的一个重要方法就是对网络传输进行加密。在众多的加密方式中，SSL加密方式是一种工业标准的非常成熟的方法。众多电子商务与电子支付站点都广泛使用了这种技术。在以后的几篇文章里，我们将分别介绍在windows平台与linux平台下如何实现SSL对WEB服务器传输进行加密。最后会介绍一些关于SSL加密原理的问题。本文，我们先介绍一下如果在windows的IIS平台下实现SSL保护的方法。

　　笔者以Windows Server 2003(简称Windows 2003)系统为例，介绍如何在IIS6服务器中应用SSL安全加密机制功能。

　　生成证书请求文件

　　要想为某个IIS网站创建数字证书，首先必须使用“Web服务器证书向导” 功能为该网站生成一个证书请求文件。进入“控制面板→管理工具→Internet 信息服务(IIS)管理器”，在IIS管理器窗口中展开“网站”目录，右键点击要使用SSL安全加密机制功能的网站，在弹出菜单中选择“属性”，然后切换到“目录安全性”标签页(如图)，接着点击“服务器证书”按钮。在“IIS证书向导”窗口中选择“新建证书”选项，点击“下一步”，选中“现在准备证书请求，但稍后发送”，接着在“名称”栏中为该证书起个名字，在“位长”下拉列表中选择“密钥的位长”，这里要注意，位长不能设置的过大，否则会影响通信质量;接着设置证书的单位、部门、和地理信息，在站点“公用名称栏”中输入该网站的域名，然后指定证书请求文件的保存位置，这里笔者将该证书请求文本文件保存在“d:\certreq.txt”。这样就完成了证书请求文件的生成。

IIS站点目录的安全性属性页

　　申请IIS网站证书

　　完成了证书请求文件的生成后，就可以开始申请IIS网站证书了。但这个过程需要证书服务(Certificate Services)的支持。Windows 2003系统默认状态没安装此服务，需要手工添加。

　　安装证书服务

　　在“控制面板”中运行“添加或删除程序”，切换到“添加/删除Windows组件”页，在“Windows组件向导”对话框中，选中“证书服务”选项，接下来选择CA类型，这里笔者选择“独立根CA”，然后为该CA服务器起个名字，设置证书的有效期限，建议使用默认值“5年”即可，最后指定证书数据库和证书数据库日志的位置后，就完成了证书服务的安装。

安装证书服务

　　完成了证书服务的安装后，就能开始申请IIS网站证书了。运行 Internet Explorer浏览器，在地址栏中输入“http://localhost/CertSrv/default.asp”。接着在“Microsoft 证书服务”欢迎窗口中点击“申请一个证书”链接，然后在证书申请类型中点击“高级证书申请”链接，在高级证书申请窗口中点击“使用BASE64编码的 CMC或PKCS#10文件提交….”链接，接着将证书请求文件的内容复制到“保存的申请”输入框中，这里笔者的证书请求文件内容保存在“d:\ certreq.txt”，最后点击“提交”按钮。

申请证书页面

提交申请页面

　　颁发IIS网站证书

　　虽然完成了IIS网站证书的申请后，但这时它还处于挂起状态，需要颁发后才能生效。在“控制面板→管理工具”中，运行“证书颁发机构”程序。在“证书颁发机构”左侧窗口中展开目录，选中“挂起的申请”目录，在右侧窗口找到刚才申请的证书，鼠标右键点击该证书，选择“所有任务→颁发”。

颁发证书

　　接着点击 “颁发的证书”目录，打开刚刚颁发成功的证书，在 “证书”对话框中切换到“详细信息”标签页。点击“复制到文件”按钮，弹出证书导出对话框，一路下一步，在“要导出的文件”栏中指定文件名，这里笔者保存证书路径为“d:\cce.cer”，最后点击“完成”。

　导入IIS网站证书

　　在IIS管理器的“目录安全性”标签页中，点击“服务器证书”按钮，这时弹出“挂起的证书请求”对话框，选择“处理挂起的请求并安装证书”选项，点击“下一步”后，指定好刚才导出的IIS 网站证书文件的位置，接着指定SSL使用的端口，建议使用默认的“443”，最后点击“完成”按钮.

　　配置IIS服务器

　　完成了证书的导入后，IIS网站这时还没有启用SSL安全加密功能，需要对IIS服务器进行配置。

　　选择需要加密访问的站点目录（如果希望全站加密，可以选择整个站点），右键单击打开属性页，在“目录安全性”标签页，点击安全通信栏的“编辑”按钮，选中“要求安全通道(SSL)”和“要求128位加密”选项，最后点击“确定”按钮即可。如果需要用户证书认证等高级功能，也可以选择要示客户证书选择，还可以把特定证书映射为windows用户帐户。

设置目录的加密属性

　　关于SSL安全加密机制

　　SSL(Security Socket Layer)的中文全称是“加密套接字协议层”，是由Netscape公司推出的一种安全通信协议，它位于HTTP协议层和TCP协议层之间，能够对信用卡和个人信息提供较强的保护。SSL在客户和服务器之间建立一条加密通道，确保所传输的数据不被非法窃取，SSL安全加密机制功能是依靠使用数字证书来实现的。

　　应用了SSL加密机制后，IIS服务器的数据通信过程如下:首先客户端与IIS服务器建立通信连接，接着IIS把数字证书与公用密钥发给客户端。然后使用这个公共密钥对客户端的会话密钥进行加密后，传递给IIS服务器，服务器端接收后用私人密钥进行解密，这时就在客户端和 IIS服务器间创建了一条安全数据通道，只有被IIS服务器允许的客户才能与它进行通信。

Win2003远程桌面SSL认证配置指南

　远程桌面一直被认为是比较不安全的，但是如果加上SSL证书认证，可以很大幅度提升远程桌面的安全性，本文将针对远程桌面SSL认证的配置做较为详细的说明。

　　下面是配置步骤：

　　SSL认证必须组件：

　　IIS+ASP，证书服务

　　首先安装IIS和证书服务，打开"添加/删除程序"，然后选择"添加/删除Windows组件"按照下面的图中所示勾选：
 

　　安装过程中需要填写CA公用名称，随便填写就可以了，其他的全部默认安装，中间会提示一步是否要起用asp，点是就可以了，如果已经安装了IIS并且启用了asp，这一步只要安装证书服务就可以：
 

　　安装好证书服务后，在浏览器中访问upload/201001190116528552.jpg">

　　单击其中的申请一个证书，然后选择"高级证书申请"，如图：
 

在下一步中选择"创建并向此CA提交一个申请。
 

　　1. 证书的名称，使用服务器的ip，其他的随便填写
　　2. 证书类型，选择服务器身份验证证书
　　3. 密钥用法，改为交换
　　4. 勾选标记密钥为可导出
　　5. 勾选把证书保存在本地存储中
 

　　完成这些所有以后，提交申请，然后在管理工具中打开"证书颁发机构"，颁发证书。
 

　　依次展开树：域名，挂起的申请，在右边的窗格中显示了刚刚申请的证书，单击右键，在所有任务菜单中选择颁发。
 

　　现在就可以看到刚刚申请的证书了，打开upload/201001190116536771.jpg" />

　单击证书并且选择安装证书，在弹出的对话框中选择是，注意这一步是必须的，否则在下一步的终端服务证书选择中看不到任何证书。
 

　　在管理工具中，打开终端服务配置，在左边的窗格中单击连接，然后在右边双击连接，在弹出的对话框的常规选项卡中，首先单击证书旁边的编辑
 

　　选择刚刚安装的证书，确定
 

　　然后按照下图中的设置更改，修改两项：

　　1． 安全层改为SSL
　　2． 加密级别改为高
 

　服务器段的设置到此完毕

　　下面是登陆客户端的设置，首先访问刚刚的证书服务器地址，并且单击：下载一个CA证书，证书链或URL
 

　　在下一步中选择安装此证书链，弹出窗口中单击确定，这样就在客户端中安装了该TS服务器的证书
 

　　Tips：
　　1．这里可以结合chocobo的教程做终端服务授权，具体的在论坛里面找
　　2．客户端的证书安装也可以先在服务器的证书中导出，然后在客户端中导入证书。

　　FAQ：
　　1．为什么我在配置TS服务时找不到证书？

　　证书申请时类型不对，或者证书申请了没有颁发，或者颁发了没有在本地安装证书

　　2．为什么连接的时候提示名称不一致？

　　证书申请时名称应该是服务器的ip地址

　　3．为什么连接的时候提示需要认证？

　　在安全选项卡中修改身份验证为试图身份验证。

　　4．为什么提示证书无法验证？

　　本地没有安装证书，按照客户端设置安装证书就可以

如何添加远程打印机,windows 2003配置IPP远程打印服务

如何添加远程

实际上，在Win 2003中，不仅ASP解析被关闭，Internet 打印功能也被关闭了，需要手工启动，点击“开始”、“管理工具”、“Internet 信息服务管理”，选择 “Web 服务扩展, 选择“ Internet Printing” 和 “Active Server Pages”, 然后点击“允许”。如图2，安装好IIS后，Internet 网用户就可以在Internet上通过Web 浏览器访问这台计算机了。



检验Internet 打印服务是否能正常功能的方法是，在Web 浏览器的地址栏输入：
HTTP：//127.0.0.1/PRINTERS，
这个地址用来查看位于名为本地的打印服务器上的所有打印机的列表，如果出现列表，表示安装成功了(如图3)。



3、管理打印服务器
Internet 打印服务的安全管理非常重要，配置打印服务器的安全性是配置打印服务器的重点,通过配置身份验证和IP 地址及域名限制来管理打印服务器，要配置打印服务器,使用“Internet 服务管理器”或 IIS 管理单元。
配置身份验证：
单击默认的 Web 站点，将其展开，右键单击打印机，然后单击属性。单击目录安全选项卡，然后单击“匿名访问和身份验证”下的编辑。 单击下面某种要使用的身份验证方法，然后单击确定：

匿名访问：在使用匿名访问时，IIS 会通过使用匿名用户帐户（默认情况下，此帐户是 IUSR_计算机名）使您自动登录。您不需要提供用户名和密码。要更改用于匿名访问的用户帐户，请单击匿名访问下的编辑。(如图4)