如何基于客户端证书允许RDP访问

如何不仅通过用户名/密码，而且通过客户端证书来限制（RDP）对Windows Server的访问？

想象一下创建一个证书并将其复制到我希望能够从中访问服务器的所有计算机上。

这不会像基于IP的规则那样受限制，但另一方面，由于不是每台计算机/笔记本电脑都在某个域或固定ip范围内，因此它会增加一定的灵活性。

一种方法是实施智能卡解决方案。由于成本和痛苦的门槛，可能不是您要寻找的东西，但实际上许多智能卡就是这样（基于硬件的证书，具有强大的私钥保护），并且远程桌面集成是无缝的。

您可以在受影响的计算机上设置证书（可能与NAP结合使用）来设置IPSEC，并使用Windows防火墙过滤未加密的RDP通信。

这是与您的请求类似但使用预共享密钥而不是证书的方案的演练。

但是请记住，“创建证书并将其复制到所有计算机”本身并不是一个好主意-您显然应该为每个客户端创建一个证书并相应地设置访问规则。这样可以确保连接的机密性，并可以在证书丢失/泄露时撤销证书而不会破坏其他计算机的连接。

编辑：看起来很诱人的事情是设置远程桌面网关（基本上是RDP的HTTPS隧道网关），并且需要通过IIS属性在SSL连接设置上进行客户端证书身份验证（该网关在IIS中作为ASP.NET应用程序实现） 。但是，远程桌面客户端似乎不支持此功能-无法为代理连接提供客户端证书。