落叶的心思的博客

一个记录与折腾的小站

使用 win-acme 为 Windows RDP 自动配置可信证书

发布时间:

发布者:

分类:

阅读数:

26

点赞数:

0

阅读时长预计:

5 分钟

一、为什么要给 RDP 配置可信证书?

在 Windows 上使用远程桌面(RDP)时,很多人都会遇到这个提示:
“远程计算机的身份无法验证”

解决办法只有一个:
给 RDP 换成由受信任 CA(如 Let’s Encrypt)签发的 SSL 证书。

本文将使用 win-acme(Windows 平台最成熟的 ACME 客户端之一),实现:

  • 自动申请免费可信证书
  • 自动续期(无需人工维护)
  • 将证书绑定到 Windows RDP 服务

整套流程一次配置,长期生效,适合个人服务器和长期运行的 Windows Server。

二、环境准备与前置条件

在开始之前,请确认你满足以下条件:

1 基本环境要求

  • 操作系统:
  • Windows 10 / 11
  • Windows Server 2012 R2 及以上(推荐)
  • 管理员权限(必须)
  • 能通过公网访问的域名(如 rdp.example.com)

2 域名与验证方式说明

Let’s Encrypt 在签发证书前,需要验证你对域名的控制权。

如果你选择 DNS 验证,则需要:在你的域名 DNS 服务商后台(如:阿里云云解析、腾讯云 DNSPod、Cloudflare)创建一个 DNS API Key / Token在 win-acme 配置过程中填写该凭据。

简单理解:

win-acme 会“临时帮你改一条 DNS 记录”,用来向 Let’s Encrypt 证明“这个域名确实是你的”。
你不需要提前配置 DNS 记录,win-acme 会自动完成。

三、获取并运行 win-acme

1️ 下载 win-acme

项目地址(官方镜像):

https://gitcode.com/gh_mirrors/win/win-acme

你可以选择:直接下载已编译的压缩包或自行 clone 仓库并编译。

2️ 解压到固定目录

建议解压到一个不会被误删、路径简单的位置,例如:

C:\SSL-Tools\win-acme

四、首次运行与证书申请

1 以管理员身份运行

打开 PowerShell / CMD(管理员),执行:

cd C:\SSL-Tools\win-acme
wacs.exe

你会看到一个交互式菜单。

2 选择证书申请方式

以下是典型且稳定的推荐选择(适合 RDP):

  1. N – Create new certificate
  2. 选择 Manual input 或 Single binding
  3. 输入你的 RDP 域名,例如:
    rdp.example.com
  4. 验证方式选择:
    • DNS-01
  5. 根据提示填写 DNS API 凭据
    (Token / Key / Secret,按提示即可)

win-acme 会自动完成:

  • DNS 验证
  • 证书申请
  • 下载并保存证书

五、证书自动续期说明

很多新手最关心的一点是:
“证书 90 天后过期怎么办?”
答案是:你不用管。

win-acme 默认行为
在证书申请成功后,win-acme 会:

  • 自动创建一个 Windows 计划任务
  • 定期检查证书有效期
  • 在即将过期前自动续期

你可以在主菜单中选择:
T (Show scheduled tasks)
查看对应的续期任务。

正常情况下,你不需要为续期做任何额外配置。

六、将证书绑定到 RDP 服务

1 获取证书指纹(SHA1)

打开 证书管理器:
运行 → certlm.msc

路径:
本地计算机
└─ 个人
└─ 证书

找到刚刚申请的证书,打开后:

  • 切换到「详细信息」
  • 找到 Thumbprint(指纹)
  • 复制值,并去掉所有空格

2 写入 RDP 注册表绑定

以管理员身份运行 CMD:

reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" ^
/v SSLCertificateSHA1Hash /t REG_BINARY /d <你的证书指纹>

说明:

  • <你的证书指纹>:粘贴刚才复制的、无空格的指纹值
  • 这是告诉 RDP:“以后用这个证书”

七、重启 RDP 服务

重启服务(不必重启系统)

net stop TermService
net start TermService

注意:

  • 重启 Remote Desktop Services 会:
  • 短暂中断当前 RDP 连接
  • 属于正常现象
  • 断开后,重新连接即可

八、验证最终效果

重新使用 RDP 客户端连接服务器:

  • 如果证书配置正确:
  • 不再出现安全警告
  • 连接详情中可看到有效的 SSL 证书
  • 浏览证书信息,应显示:
  • 颁发者:Let’s Encrypt
  • 域名:与你的 RDP 域名一致

九、总结

通过 win-acme,你已经完成了:

  • 为 Windows RDP 配置可信 SSL 证书
  • 消除远程桌面安全警告
  • 启用自动续期,无需长期维护

这套方案稳定、免费、可长期使用,非常适合个人服务器、家庭实验环境以及中小规模运维场景。

只要你的域名仍然有效、服务器能正常联网,RDP 证书这件事,你以后可以彻底不用再操心。

转载声明:

转载此文章请注明出处。

若本文内容侵犯了您的权益,请通过本站下方邮箱与我联系,我会尽快处理,谢谢!

分享到:

评论

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注

最新评论

  1. 落叶的心思

科学与工具

收藏与发文

登录与注册