Cómo cambiar el certificado de equipo en un equipo basado en Windows Server 2008 que está ejecutando el servicio "Enrutamiento y acceso remoto" y SSTP

Seleccione idioma Seleccione idioma
Id. de artículo: 947027 - Ver los productos a los que se aplica este artículo
Información de la versión beta
En este artículo se describe una versión Beta de un producto de Microsoft. La información contenida en este artículo se proporciona tal cual y está sujeta a cambios sin previo aviso.

No hay disponible soporte técnico formal del producto por parte de Microsoft para esta versión Beta. Para obtener información acerca de cómo obtener soporte técnico para una versión beta, consulte la documentación que se incluye con los archivos de producto beta o busque en el sitio Web donde descargó la versión.
importante Este artículo contiene información acerca de cómo modificar el registro. Asegúrese de que copia el registro antes de modificarlo. Compruebe que sabe restaurar el Registro en caso de que se produzca algún problema. Para obtener más información acerca de cómo realizar una copia de seguridad, restaurar y modificar el registro, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
322756Cómo realizar una copia de seguridad y restaurar el registro en Windows XP y Windows Vista
Expandir todo | Contraer todo

En esta página

Resumen

En este artículo describe cómo cambiar el certificado de equipo en un equipo basado en Windows Server 2008 que está ejecutando el servicio "Enrutamiento y acceso remoto" y el protocolo de túnel de sockets seguros (SSTP). El certificado de equipo es también conocida como un certificado de equipo.

INTRODUCCIÓN

Seguro de túnel de Sockets (SSTP) es una red privada virtual (VPN) nueva protocolo que está disponible en la función "Enrutamiento y servicios de acceso remoto" en Windows Server 2008 de túnel. El protocolo también está disponible para su uso en Windows Vista Service Pack 1 (SP1).

SSTP utiliza el protocolo HTTPS a través del puerto TCP 443 para pasar el tráfico a través de firewalls y a través de proxy Web que podrían bloquear de PPTP y L2TP/IPsec el tráfico. SSTP proporciona un mecanismo para encapsular el tráfico PPP a través del canal Secure Sockets Layer (SSL) del protocolo HTTPS.

Más información

El servicio "Enrutamiento y acceso remoto" en Windows Server 2008, configura un certificado de equipo del almacén de certificados (también conocido como el almacén de equipo) en el archivo HTTP.sys para aceptar una conexión HTTPS. Este certificado de equipo también se envía al cliente durante la fase de negociación de Secure Sockets Layer (SSL).

Si, como administrador, ya ha instalado un certificado de equipo y ha configurado el servicio "Enrutamiento y acceso remoto", puede cambiar el certificado de equipo sin volver a configurar el servicio "Enrutamiento y acceso remoto". Se explica cómo cambiar el certificado de equipo.

Componentes de fondo

En este escenario hay tres componentes:
  • El certificado de equipo que está instalado en el área "cuenta de equipo" del almacén de certificados
  • El Archivo HTTP.sys

    Nota Este archivo es el componente de escucha HTTPS, que cierra las conexiones VPN de HTTPS. HTTP.sys determina qué certificado de equipo desea utilizar.

    Para ver la información de certificado de equipo, escriba el comando siguiente en el símbolo del sistema:
    netsh http mostrar sslcert
  • El servidor de "Enrutamiento y acceso remoto" que ejecuta HTTP.sys

    Nota El servidor utiliza el hash del certificado del certificado de equipo para su fase de validación de enlace de cifrado. Éste es un paso adicional de seguridad para comprobar que el cliente PPP y el cliente SSL se originan en el mismo equipo.

Cómo cambiar el certificado de equipo

Para cambiar el certificado de equipo, siga estos pasos en el servidor VPN:
  1. Determinar qué certificado de equipo está configurado para conexiones VPN. Para ello, siga estos pasos:
    1. Determinar los enlaces de certificado SSL que utilizan HTTP.sys. Para ello, escriba el comando siguiente en el símbolo del sistema:
      netsh http mostrar sslcert
    2. Compruebe que aparece el siguiente identificador de aplicación:
      {ba195980-cd49-458b-9e23-c84ee0adcd75}
      El basado en SSTP "enrutamiento y servidor de acceso remoto" agrega este enlace.
    El comando muestra un certificado que está enlazado a la escucha de IP:port 0.0.0.0:443 y un certificado que está enlazado a [:]:: escucha IP:port 443. El valor de hash de certificado especifica el certificado que está realmente enlazado. Este valor es el hash del certificado de SHA1 del certificado.
  2. Eliminar el certificado del almacén de certificados. Para ello, cree una nueva Microsoft Management Console (MMC) y, a continuación, agregue el complemento certificados. Para ello, siga estos pasos:
    1. Haga clic en Inicio y, a continuación, haga clic en Ejecutar .
    2. Escriba MMC.exe y, a continuación, haga clic en Aceptar .
    3. En el menú archivo , haga clic en Agregar o quitar complemento .
    4. Seleccione certificados y, a continuación, haga clic en Agregar .
    5. Seleccione la opción cuenta de equipo y, a continuación, haga clic en siguiente .
    6. Seleccione Equipo Local y, a continuación, haga clic en Finalizar .
    7. Haga clic en Aceptar .
  3. Expanda certificados (equipo local) y, a continuación, haga clic en certificados . Aparece una lista de certificados en el almacén en el panel de detalles.
  4. Haga doble clic en el certificado que desea enlazar a la escucha SSTP. Este es el certificado que tiene un nombre de asunto que coincide con el nombre de host que se utiliza en el cliente de conexión VPN.
  5. Haga clic en la ficha Detalles . En el cuadro Mostrar , asegúrese de que se selecciona todo .
  6. Compruebe que el valor del campo de Algoritmo de huella digital es sha1 .
  7. Anote el valor del campo de huella digital . Comparar este valor con el hash de certificado que se muestra cuando ejecutó el comando netsh .

    Deben coincidir con los valores. Esto indica que el certificado correcto está enlazado a la escucha. Haga clic con el botón secundario en el certificado y, a continuación, haga clic en Eliminar .
  8. Agregar el nuevo certificado al almacén de certificados.
  9. Eliminar el certificado de HTTP.sys. Para ello, escriba los comandos siguientes en el símbolo del sistema:
    netsh http delete sslcert ipport = 0.0.0.0:443
    Netsh http delete sslcert ipport = [:]: 443
    Nota Para ejecutar estos comandos, debe abrir el símbolo del sistema utilizando permisos elevados. Para ello, haga clic en Inicio , haga clic con el botón secundario en símbolo y, a continuación, haga clic en Ejecutar como administrador .
  10. Agregar el nuevo certificado a http.sys.

    Para ello, escriba los comandos siguientes en el símbolo del sistema:
    netsh http agregar sslcert ipport = 0.0.0.0:443 certhash = El appid de xxx = {ba195980-cd49-458b-9e23-c84ee0adcd75} certstorename = mi
    Netsh http agregar sslcert ipport = [:]: 443 certhash = El appid de xxx = {ba195980-cd49-458b-9e23-c84ee0adcd75} certstorename = mi
    Nota En estos comandos, xxx es un marcador de posición para el hash del certificado de SHA1 del certificado nuevo.
  11. Desactive la clave de registro de hash de certificado que se utiliza por el servicio "Enrutamiento y acceso remoto". Para ello, siga estos pasos.

    Advertencia Pueden producirse problemas graves si modifica incorrectamente el registro mediante el Editor del registro o utilizando otro método. Estos problemas pueden requerir que reinstale el sistema operativo. Microsoft no puede garantizar la solución de esos problemas. Modifique el Registro bajo su responsabilidad.
    1. Haga clic en Inicio , escriba regedit en el cuadro Iniciar búsqueda y, a continuación, haga clic en regedit.exe en la lista de programas .
    2. Busque y haga clic en la siguiente subclave del Registro:
      HKLM\System\CurrentControlSet\Services\Sstpsvc\Parameters\
    3. En el panel de detalles, haga clic con el botón secundario en la entrada Sha256CertificateHash y a continuación, haga clic en Modificar .
    4. En el cuadro datos del valor , escriba 0 y, a continuación, haga clic en Aceptar .
    5. Editor de registro de salida.
  12. Reinicie el servicio "Enrutamiento y acceso remoto". El servicio "Enrutamiento y acceso remoto" lee el certificado de HTTP.sys y establece los hash de certificado apropiado para su validación de enlace de cifrado.

Propiedades

Id. de artículo: 947027 - Última revisión: miércoles, 30 de enero de 2008 - Versión: 1.2
La información de este artículo se refiere a:
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 for Itanium-Based Systems
  • Windows Server 2008 Standard
  • Windows Web Server 2008
  • Windows Vista Enterprise 64-bit edition
  • Windows Vista Enterprise
Palabras clave: 
kbmt kbregistry kbexpertiseadvanced kbhowto KB947027 KbMtes
Traducción automática
IMPORTANTE: Este artículo ha sido traducido por un software de traducción automática de Microsoft (http://support.microsoft.com/gp/mtdetails) en lugar de un traductor humano. Microsoft le ofrece artículos traducidos por un traductor humano y artículos traducidos automáticamente para que tenga acceso en su propio idioma a todos los artículos de nuestra base de conocimientos (Knowledge Base). Sin embargo, los artículos traducidos automáticamente pueden contener errores en el vocabulario, la sintaxis o la gramática, como los que un extranjero podría cometer al hablar el idioma. Microsoft no se hace responsable de cualquier imprecisión, error o daño ocasionado por una mala traducción del contenido o como consecuencia de su utilización por nuestros clientes. Microsoft suele actualizar el software de traducción frecuentemente.
Haga clic aquí para ver el artículo original (en inglés): 947027

Enviar comentarios

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com