So ändern Sie das Computerzertifikat auf einem Windows Server 2008-Computer, auf dem der Dienst "Routing-und RAS" und der SSTP ausgeführt wird

SPRACHE AUSWÄHLEN SPRACHE AUSWÄHLEN
Artikel-ID: 947027 - Produkte anzeigen, auf die sich dieser Artikel bezieht
Beta-Informationen
Dieser Artikel beschreibt eine Betaversion eines Microsoft-Produkts. Die Informationen in diesem Artikel werden ohne Gewähr weitergegeben und können sich ohne vorherige Ankündigung ändern.

Microsoft gewährt keine formelle Produktunterstützung für diese Betaversion. Weitere Informationen, wie Sie Unterstützung für eine Betaversion erhalten finden Sie in der die in den Produktdateien der Betaversion enthaltene Dokumentation oder auf der Website, wobei die Version heruntergeladen haben.
wichtig Dieser Artikel enthält Informationen zum Ändern der Registrierung. Stellen Sie sicher, dass Sie die Registrierung sichern bevor Sie Sie ändern. Stellen Sie sicher, dass Sie die Registrierung wiederherstellen kennen, wenn ein Problem auftritt. Weitere Informationen zum Sichern, Wiederherstellen und Bearbeiten der Registrierung finden Sie im folgenden Artikel der Microsoft Knowledge Base:
322756Zum Sichern und Wiederherstellen der Registrierung in Windows XP und Windows Vista
Alles erweitern | Alles schließen

Auf dieser Seite

Zusammenfassung

Dieser Artikel beschreibt das Computerzertifikat auf einem Windows Server 2008-Computer zu ändern, der "Routing und RAS" Dienst und Secure Socket Tunneling-Protokoll (SSTP) ausgeführt wird. Das Computerzertifikat wird auch bezeichnet als ein Computerzertifikat.

EINFÜHRUNG

Sichere Socket Tunneling-Protokoll (SSTP) ist ein neue virtuelle private Netzwerk (VPN)-Tunneling-Protokoll, das in der Rolle "Routing and Remote Access Services" in Windows Server 2008 verfügbar ist. Das Protokoll ist auch für die Verwendung in Windows Vista Service Pack 1 (SP1) verfügbar.

SSTP verwendet das HTTPS-Protokoll über TCP-Port 443, um Datenverkehr über Firewalls und über Webproxys, die PPTP blockieren möglicherweise und L2TP-IPsec-Datenverkehr zu übergeben. SSTP bietet einen Mechanismus zum Kapseln von PPP-Datenverkehr über den Kanal (Secure Sockets LAYER) des HTTPS-Protokoll.

Weitere Informationen

Der "Routing und RAS" Dienst in Windows Server 2008 konfiguriert ein Computerzertifikat aus dem Zertifikatspeicher (auch bekannt als den Computerspeicher) in der Datei http.sys, um eine HTTPS-Verbindung annehmen. Dieses Computerzertifikat wird auch während der Verhandlungsphase (Secure Sockets LAYER) an den Client übermittelt.

Wenn Sie als Administrator bereits ein Computerzertifikat installiert haben und den Dienst "Routing-und RAS" konfiguriert haben, können Sie das Computerzertifikat ändern, ohne den Dienst "Routing-und RAS" konfigurieren. Dieser Artikel beschreibt das Computerzertifikat zu ändern.

Hintergrund-Komponenten

In diesem Szenario sind drei Komponenten:
  • Das Computerzertifikat, das im Bereich "Computerkonto" den Zertifikatspeicher installiert ist
  • Die HTTP.sys-Datei

    Hinweis: Diese Datei ist die HTTPS-Listener-Komponente, die HTTPS-VPN-Verbindungen wird geschlossen. HTTP.sys bestimmt, welche Computerzertifikat zu verwenden.

    Um die Computer Zertifikatsinformationen anzuzeigen, geben Sie Folgendes an der Eingabeaufforderung ein:
    Netsh HTTP-Sslcert anzeigen
  • Den "Routing und RAS" Server, der HTTP.sys ausgeführt wird

    Hinweis: Der Server verwendet den Hash Zertifikat das Computerzertifikat für die Crypto-Bindung Validierung Phase. Dies ist ein Schritt zusätzliche Sicherheit zu gewährleisten, dass sowohl der PPP-Client als auch den SSL-Client von demselben Computer stammen.

Wie Sie das Zertifikat ändern

Gehen Sie um das Computerzertifikat zu ändern, auf dem VPN-Server folgendermaßen vor:
  1. Bestimmen Sie, welche Computerzertifikat für VPN-Verbindungen konfiguriert ist. Gehen Sie hierzu folgendermaßen vor:
    1. Bestimmen Sie die SSL-Zertifikatbindungen, die von HTTP.sys verwendet werden. Geben Sie dazu den folgenden Befehl an der Eingabeaufforderung ein:
      Netsh HTTP-Sslcert anzeigen
    2. Stellen Sie sicher, dass die folgenden Anwendungs-ID aufgeführt ist:
      {ba195980-cd49-458b-9e23-c84ee0adcd75}
      Diese Bindung wird vom SSTP-basierten "Routing und RAS" Server hinzugefügt.
    Der Befehl zeigt ein Zertifikat, das an den 0.0.0.0:443 IP:port Listener gebunden ist und ein Zertifikat, das [:] gebunden ist:: 443 IP:port Listener. Der Hashwert Zertifikat gibt an, welches Zertifikat tatsächlich gebunden ist. Dieser Wert gibt den SHA1-Zertifikat-Hash des Zertifikats.
  2. Löschen Sie das Zertifikat aus dem Zertifikatspeicher. Dazu erstellen Sie eine neue Microsoft Management Console (MMC), und fügen Sie das Zertifikate-Snap-in hinzu. Gehen Sie hierzu folgendermaßen vor:
    1. Klicken Sie auf Start , und klicken Sie dann auf Ausführen .
    2. Geben Sie MMC.exe ein, und klicken Sie dann auf OK .
    3. Klicken Sie im Datei auf Snap-In hinzufügen/entfernen .
    4. Wählen Sie Zertifikate , und klicken Sie dann auf Hinzufügen .
    5. Die Option Computerkonto und klicken Sie dann auf Weiter .
    6. Wählen Sie Lokaler Computer , und klicken Sie dann auf Fertig stellen .
    7. Klicken Sie auf OK .
  3. Erweitern Sie Zertifikate (Lokaler Computer) , und klicken Sie dann auf Zertifikate . Eine Liste der Zertifikate im Speicher wird im Detailbereich aufgeführt.
  4. Doppelklicken Sie auf das Zertifikat, das in den Listener SSTP gebunden werden soll. Dies ist das Zertifikat, dessen Betreff-Name mit dem Namen Host übereinstimmt, der in der Client-VPN-Verbindung verwendet wird.
  5. Klicken Sie auf die Registerkarte Details . Im Feld Anzeigen sicher, dass alle aktiviert ist.
  6. Vergewissern Sie sich, dass der Wert für das Feld Fingerabdruck Algorithmus sha1 ist.
  7. Notieren Sie den Wert des Feldes Fingerabdruck . Vergleichen Sie diesen Wert Zertifikatshash, die beim Ausführen des Befehls "Netsh" aufgelistet wurde.

    Die Werte sollten übereinstimmen. Dies zeigt an, dass das richtige Zertifikat in den Listener gebunden ist. Klicken Sie mit der rechten Maustaste auf das Zertifikat, und klicken Sie dann auf Löschen .
  8. Fügen Sie das neue Zertifikat im Zertifikatspeicher hinzu.
  9. Das Zertifikat von HTTP.sys nicht gelöscht werden. Geben Sie hierzu die folgenden Befehle an der Eingabeaufforderung ein:
    Netsh http Delete Sslcert Ipport 0.0.0.0:443 =
    Netsh http Delete Sslcert Ipport = [:]: 443
    Hinweis: Um diese Befehle auszuführen, müssen Sie die Eingabeaufforderung mit erhöhte Berechtigungen öffnen. Dazu klicken Sie auf Start , klicken Sie mit der rechten Maustaste auf Eingabeaufforderung und klicken Sie dann auf als Administrator ausführen .
  10. Fügen Sie das neue Zertifikat in HTTP.sys hinzu.

    Geben Sie hierzu die folgenden Befehle an der Eingabeaufforderung ein:
    Netsh http hinzufügen Sslcert Ipport 0.0.0.0:443 Certhash = = xxx Anwendungskennung = {ba195980-cd49-458b-9e23-c84ee0adcd75} Certstorename = eigene
    Netsh http hinzufügen Sslcert Ipport = [:]: 443 Certhash = xxx Anwendungskennung = {ba195980-cd49-458b-9e23-c84ee0adcd75} Certstorename = Meine
    Hinweis: In diesen Befehlen steht xxx für den SHA1-Zertifikat-Hash des neuen Zertifikats.
  11. Deaktivieren Sie den Hash-Zertifikat Registrierungsschlüssel, der vom Dienst "Routing-und RAS" verwendet wird. Gehen Sie hierzu folgendermaßen vor.

    Warnung Schwerwiegende Probleme können auftreten, wenn Sie die Registrierung falsch mithilfe des Registrierungs-Editors oder mithilfe einer anderen Methode ändern. Diese Probleme erfordern möglicherweise eine das Betriebssystem neu installieren. Microsoft kann nicht garantieren, dass diese Probleme gelöst werden können. Ändern Sie die Registrierung auf eigene Gefahr.
    1. Klicken Sie auf Start , geben Sie Regedit im Feld Suche starten , und klicken Sie dann regedit.exe in der Liste Programme auf.
    2. Klicken Sie auf folgenden Unterschlüssel in der Registrierung:
      HKLM\System\CurrentControlSet\Services\Sstpsvc\Parameters\
    3. Klicken Sie im Detailbereich klicken Sie mit der rechten Maustaste auf den Sha256CertificateHash -Eintrag und klicken Sie dann auf Ändern .
    4. Geben Sie 0 in das Feld Wert ein, und klicken Sie dann auf OK .
    5. Beenden Sie den Registrierungs-Editor.
  12. Starten Sie den "Routing und RAS" Dienst neu. Der Dienst "Routing-und RAS" liest das Zertifikat in HTTP.sys und legt dann die entsprechende Zertifikat Hashes für die die Crypto-Bindung Validierung fest.

Eigenschaften

Artikel-ID: 947027 - Geändert am: Mittwoch, 30. Januar 2008 - Version: 1.2
Die Informationen in diesem Artikel beziehen sich auf:
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 for Itanium-Based Systems
  • Windows Server 2008 Standard
  • Windows Web Server 2008
  • Windows Vista Enterprise 64-bit edition
  • Windows Vista Enterprise
Keywords: 
kbmt kbregistry kbexpertiseadvanced kbhowto KB947027 KbMtde
Maschinell übersetzter Artikel
Wichtig: Dieser Artikel wurde maschinell und nicht von einem Menschen übersetzt. Die Microsoft Knowledge Base ist sehr umfangreich und ihre Inhalte werden ständig ergänzt beziehungsweise überarbeitet. Um Ihnen dennoch alle Inhalte auf Deutsch anbieten zu können, werden viele Artikel nicht von Menschen, sondern von Übersetzungsprogrammen übersetzt, die kontinuierlich optimiert werden. Doch noch sind maschinell übersetzte Texte in der Regel nicht perfekt, insbesondere hinsichtlich Grammatik und des Einsatzes von Fremdwörtern sowie Fachbegriffen. Microsoft übernimmt keine Gewähr für die sprachliche Qualität oder die technische Richtigkeit der Übersetzungen und ist nicht für Probleme haftbar, die direkt oder indirekt durch Übersetzungsfehler oder die Verwendung der übersetzten Inhalte durch Kunden entstehen könnten.
Den englischen Originalartikel können Sie über folgenden Link abrufen: 947027
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.

Ihr Feedback an uns

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com