【TechTarget中国原创】在公司部署Windows终端服务器后，迟早会有从网络界限外围使用该终端服务的需求。终端服务网关是远程访问终端服务的一种安全的方法，并且其各项属性的设置和部署都比较容易。

　　为了在终端服务（TS：Terminal Services）部署前就远程建立终端服务会话，管理员就必须使用远程桌面协议（RDP：Remote Desktop Protocol）打开防火墙端口。这种方法会带来严重的安全风险，因为RDP能够被网络服务器远程控制。

　　另一方面，作为首次引进Windows Server 2008的TS网关，是一个单目标的虚拟私有网络（VPN：Virtual Private Network），并且RDP是封装在超文本传输协议安全（HTTPS：Hypertext Transfer Protocol Secure）协议中的。因此，所有的远程会话都在传输层安全（TLS：Transfer Protocol Secure）加密。封装程序也增加了一个保护层——这是因为RDP端口没有打开，黑客使用端口扫描技术无法发现正在使用的RDP。

　　设置TS网关相当简单，主要包括安装TS网关角色服务，其实就是安装网络信息服务（IIS：Internet Information Services）网页服务器以及网络策略和访问服务。
　
　　配置证书
　　
　　使用终端服务网关需要知道如何使用安全套接层（SSL：Secure Sockets Layer）证书。如上所述，使用终端服务网关的会话会使用到TLS加密。为了使用这个加密功能，需要提供IIS以及能够使用的证书。证书来源都无关紧要，只要使用TS网关的客户端计算机信任该证书。我曾经见过小企业为了省钱而是用自签名的证书。这种证书通常不能得到很好使用，因为没有客户端机器信任该证书。当用户实体连接到TS网关是，就会出现如下提示：

　　该计算机不能连接到远程计算机上，因为生成终端服务网关服务器证书的证书授权中心不合法，请联系管理员以获得帮助。

不仅仅是在使用自签名证书时会出现上面的这个提示消息，在计算机不信任TS网关服务器使用的证书时，用户都将会收到这样的消息。

　　为了防止这类错误消息出现，最好是使用众所周知的、商用证书授权中心。默认情况下，都会把Windows配置为信任来自大多数众所周知证书授权中心。

　　另外一个选择就是使用内部生成的证书。可以把Windows服务器配置成一个组织内部的证书授权中心，该证书授权中心可以为TS网关服务器生成必要的证书。问题就会是在默认情况下客户端可能再次不信任该证书。然而，这通常并不会中断服务。

　　如果客户端只通过公司内部的计算机访问TS网关，就可以把这些客户端计算机配置为信任公司内部的证书授权中心。当然如果由于配置该提供公共信息的设备信任根证书而配置客户端通过公共信息提示设备访问TS网关的话，则就没有其它选择了。

　　安装证书服务器时，Windows会创建一个网页满足证书需求。该站点的URL通常是http://<your enterprise certificate authority's FQDN>/CertSrv。访问该站点时，可以选择下载证书链或者证书撤销列表（CRL：Certificate-Revocation List）。

　　下载服务器证书之后，可以把证书导入到客户端计算机中。完成该步骤的具体方法取决于客户端计算机内的Windows版本的不同而不同。

　　在Windows Vista中，在命令行中输入CertMgr.msc命令，就可以打开Vista的证书管理器控制台。接下来通过控制台树状目录进入证书——当前用户|信任根授权中心|证书，右键点击证书容器，在快捷菜单中选择所有任务|导入命令。

　　图1所示正如导入程序：

　　图1：导入根证书到Microsoft Vista

　　注意

　　加密终端服务网关服务器封装的RDP流量更好的方法是使用商用证书授权中心签发的SSL证书。如果公司决定部署自己的证书授权中心，就必须确保不要把该CA部署到运行TS网关的服务器内。把证书授权中心暴露给外部会是巨大的安全风险。

　　进一步来讲，要记住TS网关服务器的两项工作：通过HTTPS协议提供对终端服务的远程访问，防止终端服务直接暴露到Internet。根据上述两项任务，则就需要如图2所示部署TS网关。

　　图2：终端服务网关位于网络的边界

　　尽管上图所示是简化后的例子，但要注意的是网关服务器内有两个网卡，两者都连接到防火墙上。其中一个防火墙把网关服务器和Internet隔离开来，另外一个防火墙把网关服务器和后端网络隔离开。从图中也可以看到网关防火墙和Internet之间使用HTTPS协议通信。网关服务器可以剥离HTTPS封装，也可以作为后台终端服务器RDP包的代理。