建立服务器证书模板

在为终端服务网关（TS GW）服务器安装专用的计算器证书之前，我们必须先建立一个它专用的证书模板。首先登录证书服务器，开启“系统管理工具”下拉选单中的“证书授权单位”管理接口，展开至“证书模板”项目节点，点击鼠标右键，选择“管理”继续。

注意：想要产生终端服务网关专用的主机证书，所使用的Windows Server 2003或Windows Server 2008的CA证书服务器操作系统必须是企业版才可以。

接着，将会开启“证书模板控制台”管理界面，在众多的证书模板项目中找到“IPSec（脱机要求）”项目，并且按下鼠标右键，选择“复制范本”继续。接下来您必须设置一个惟一的模板显示名称，接着可以自行定义证书的有效期（最多999年），以及更新的间隔时间。然后切换到“处理要求”页面，勾选“允许导出私钥“选项，点击右下角的“CSP”按钮继续。

在“CSP选取”页面中，在选取“要求必须是以下其中一个CSP”之后，勾选下方CSP清单中的“Microsoft Enhanced RSA and ASE Cryptographic”，点击“确定”继续。切换到“延伸”页面中，在选取“应用程序政策”项目之后，按下鼠标右键，点击“编辑”继续。

接下来会开启“编辑应用程序政策延伸”页面，先将默认的“IP安全性IKE中继”删除之后，再分别将“客户端验证”与“服务器验证”加入，点选“确定”继续。随后，切换到“安全性”页面中，在“群组或用户名称”清单中选取“Authentication Users”项目，然后将下方权限清单中的允许“注册”勾选，点选“确定”完成设置。

再次回到“证书授权单位”管理界面，点选“证书模板”项目后，按下鼠标右键，点选“新增”下拉选单中的“要发出的证书范本”继续。

在“启用证书模板”页面中，可以看见我们在前面所建立的“终端服务网关（TS GW）Server”证书范本，请在选取之后点击“确定”。在“证书模板”的项目节点上，便可以看到前面新增进来的“终端服务网关（TS GW）Server”证书范本。

申请与安装终端服务网关（TS GW）服务器证书

完成了自定义的终端服务网关 （TS GW）Server 证书模板的建立之后，接下来当然要从证书授权单位的主机上，来申请与安装此计算机证书在终端服务网关（TS GW）主机本地计算机中。首先在终端服务网关（TS GW）主机的IE浏览器中连接登录证书授权单位的网站（例如 ：https：//caserver/certsrv），选择“要求证书“连接继续。接着在“要求证书”连接页面中，选择“进阶证书要求”连接继续。

接着在“进阶证书要求”页面中，选择“向这个CA建立并提交一个要求”连接继续。接着将会来到如图2所示的“进阶证书要求”页面，在此首先要在“证书范本”下拉选单中选取“终端服务网关（TS GW）Server”，然后在脱机模板识别信息区域的第一个字段中，输入单位终端服务网关（TS GW）网络给予外部使用者连接的网际网络FQDN地址（绝对不可以输入错误），接着请在下方的CSP下拉选单中选取“Microsoft Enhanced RSA and AES Cryptographic Provider”，并且将“将密钥标示成可汇出”设置勾选，最后点击“送出”按钮继续。

图2 进阶证书要求设置

点击“送出”按钮时，将会弹跳“Web存取确认”的警告信息，点击“是（Y）”继续。接着会出现“证书已发出”页面，在此点击“安装这个证书”连接继续。执行之后将会再一次出现“Web存取确认”警告页面，主要是用来让使用者可以确认来源证书的合法性，点击“是”按钮继续。完成证书安装之后，将会出现“证书已安装”页面，点击“关闭”按钮继续。

调整终端服务网证书设置

完成在证书授权单位主机上的终端服务网关（TS GW）Server证书安装之后，还有一个地方需要做一下调整，那就是将默认安装在以目前用户容器中的终端服务网关（TS GW）Server证书，加入到以本地为主的证书容器中才可以正常运行。

首先在终端服务网关（TS GW）服务器上以MMC接口开启MMC管理接口之后，然后在“新增或移除嵌入式管理单元”页面中，分别加入两个“证书”管理项目，请务必记得“目前的使用者”以及“本地计算机”都必须加入才可以。点击“确定”继续。在“证书-目前的使用者→个人→证书”中，可以看到目前所安装的终端服务网关（TS GW）Server专属的计算器证书，针对此证书项目点击鼠标右键，选择“所有工作→汇出”继续。

接着将会开启“证书汇出向导”页面，整个过程中有些设置要特别注意。首先在“汇出私钥”页面中，必须选取“是，导出私钥”选项，点选“下一步”继续。在“汇出文件格式”页面中，请将“如果可能的话，包含证书路径中的所有证书”以及“导出所有延伸属性”项目勾选继续。点选“下一步”继续。在“密码”页面中可以设置用来保护这个证书档案的密码，而这个密码也将在后续汇入到本地计算机的操作中需要再次输入。

完成了证书从目前使用者的容器中汇出之后，紧接着需要将此证书档案汇入本地计算机的证书容器中。在本地计算机的“个人→证书”节点上，点击鼠标右键，选择“汇入”，执行过程中会出现“汇入档案”页面，选择“浏览”按钮选取前面所导出的证书档案（扩展名=pfx），点击“下一步”继续。

接着，会出现“密码”页面，首先必须先输入前面证书导出时所设置的密码，然后把“将这个密钥设成可汇出，这样可以在以后备份或传输您的密钥”项目，以及“包含所有延伸属性”项目勾选，点击“下一步”继续完成证书的汇入作业即可。在完成了终端网关服务证书的安装之后，最后必须在“TS网关管理员”接口中将所安装的证书设置进来即可。