一、为什么要给 RDP 配置可信证书？

在 Windows 上使用远程桌面（RDP）时，很多人都会遇到这个提示：
“远程计算机的身份无法验证”

解决办法只有一个：
给 RDP 换成由受信任 CA（如 Let’s Encrypt）签发的 SSL 证书。

本文将使用 win-acme（Windows 平台最成熟的 ACME 客户端之一），实现：

• 自动申请免费可信证书
• 自动续期（无需人工维护）
• 将证书绑定到 Windows RDP 服务

整套流程一次配置，长期生效，适合个人服务器和长期运行的 Windows Server。

二、环境准备与前置条件

在开始之前，请确认你满足以下条件：

1 基本环境要求

• 操作系统：
• Windows 10 / 11
• Windows Server 2012 R2 及以上（推荐）
• 管理员权限（必须）
• 能通过公网访问的域名（如 rdp.example.com）

2 域名与验证方式说明

Let’s Encrypt 在签发证书前，需要验证你对域名的控制权。

如果你选择 DNS 验证，则需要：在你的域名 DNS 服务商后台（如：阿里云云解析、腾讯云 DNSPod、Cloudflare）创建一个 DNS API Key / Token在 win-acme 配置过程中填写该凭据。

简单理解：

win-acme 会“临时帮你改一条 DNS 记录”，用来向 Let’s Encrypt 证明“这个域名确实是你的”。
你不需要提前配置 DNS 记录，win-acme 会自动完成。

三、获取并运行 win-acme

1️ 下载 win-acme

项目地址（官方镜像）：

https://gitcode.com/gh_mirrors/win/win-acme

你可以选择：直接下载已编译的压缩包或自行 clone 仓库并编译。

2️ 解压到固定目录

建议解压到一个不会被误删、路径简单的位置，例如：

C:\SSL-Tools\win-acme

四、首次运行与证书申请

1 以管理员身份运行

打开 PowerShell / CMD（管理员），执行：

cd C:\SSL-Tools\win-acme
wacs.exe

你会看到一个交互式菜单。

2 选择证书申请方式

以下是典型且稳定的推荐选择（适合 RDP）：

1. N – Create new certificate
2. 选择 Manual input 或 Single binding
3. 输入你的 RDP 域名，例如：
   rdp.example.com
4. 验证方式选择：
   • DNS-01
5. 根据提示填写 DNS API 凭据
   （Token / Key / Secret，按提示即可）

win-acme 会自动完成：

• DNS 验证
• 证书申请
• 下载并保存证书

五、证书自动续期说明

很多新手最关心的一点是：
“证书 90 天后过期怎么办？”
答案是：你不用管。

win-acme 默认行为
在证书申请成功后，win-acme 会：

• 自动创建一个 Windows 计划任务
• 定期检查证书有效期
• 在即将过期前自动续期

你可以在主菜单中选择：
T (Show scheduled tasks)
查看对应的续期任务。

正常情况下，你不需要为续期做任何额外配置。

六、将证书绑定到 RDP 服务

1 获取证书指纹（SHA1）

打开 证书管理器：
运行 → certlm.msc

路径：
本地计算机
└─ 个人
└─ 证书

找到刚刚申请的证书，打开后：

• 切换到「详细信息」
• 找到 Thumbprint（指纹）
• 复制值，并去掉所有空格

2 写入 RDP 注册表绑定

以管理员身份运行 CMD：

reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" ^
/v SSLCertificateSHA1Hash /t REG_BINARY /d <你的证书指纹>

说明：

• <你的证书指纹>：粘贴刚才复制的、无空格的指纹值
• 这是告诉 RDP：“以后用这个证书”

七、重启 RDP 服务

重启服务（不必重启系统）

net stop TermService
net start TermService

注意：

• 重启 Remote Desktop Services 会：
• 短暂中断当前 RDP 连接
• 属于正常现象
• 断开后，重新连接即可

八、验证最终效果

重新使用 RDP 客户端连接服务器：

• 如果证书配置正确：
• 不再出现安全警告
• 连接详情中可看到有效的 SSL 证书
• 浏览证书信息，应显示：
• 颁发者：Let’s Encrypt
• 域名：与你的 RDP 域名一致

九、总结

通过 win-acme，你已经完成了：

• 为 Windows RDP 配置可信 SSL 证书
• 消除远程桌面安全警告
• 启用自动续期，无需长期维护

这套方案稳定、免费、可长期使用，非常适合个人服务器、家庭实验环境以及中小规模运维场景。

只要你的域名仍然有效、服务器能正常联网，RDP 证书这件事，你以后可以彻底不用再操心。

转载声明：

转载此文章请注明出处。

若本文内容侵犯了您的权益，请通过本站下方邮箱与我联系，我会尽快处理，谢谢！