Comment modifier le certificat d'ordinateur sur un ordinateur Windows Server 2008 qui exécute le « routage et à distance " service d'accès et SSTP

Traductions disponibles Traductions disponibles
Numéro d'article: 947027 - Voir les produits auxquels s'applique cet article
Informations sur la version bêta
Cet article décrit une version bêta d'un produit Microsoft. Les informations contenues dans cet article sont fournies en tant que, sont et sujettes à modification sans préavis.

Aucun support produit officiel n'est disponible auprès de Microsoft pour ce produit bêta. Pour savoir comment faire pour obtenir de l'assistance sur une version bêta, consultez la documentation fournie avec les fichiers du produit bêta ou effectuez une recherche le site Web où vous avez téléchargé la version.
important Cet article contient des informations sur la modification du Registre. Assurez-vous de sauvegarder le Registre avant de le modifier. Vérifiez que vous connaissez comment restaurer le Registre si un problème se produit. Pour plus d'informations sur la façon sauvegarder, restaurer et modifier le Registre, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :
322756 Comment faire pour sauvegarder et restaurer le Registre dans Windows XP et Windows Vista
Agrandir tout | Réduire tout

Sommaire

Résumé

Cet article explique comment modifier le certificat d'ordinateur sur un ordinateur Windows Server 2008 qui exécute le « routage et à distance " service d'accès et SSTP (Secure Socket Tunneling Protocol). Le certificat d'ordinateur est également appelé un certificat d'ordinateur.

INTRODUCTION

Protocole SSTP (sécurisé Socket Tunneling Protocol) est un nouveau virtuel réseau privé (VPN) tunneling protocole qui est disponible dans le rôle « routage et Remote Access Services » dans Windows Server 2008. Le protocole est également disponible pour une utilisation dans Windows Vista avec Service Pack 1 (SP1).

SSTP utilise le protocole HTTPS sur le port TCP 443 pour transmettre le trafic à travers des pare-feu et via des proxys de Web peuvent bloquer PPTP et le trafic L2tp/IPsec. SSTP fournit un mécanisme pour encapsuler le trafic PPP sur le canal de SSL (Secure Sockets LAYER) du protocole HTTPS.

Plus d'informations

Le « routage et à distance " service d'accès dans Windows Server 2008 configure un certificat d'ordinateur du magasin de certificats (également appelée la banque machine) dans le fichier http.sys pour accepter une connexion HTTPS. Ce certificat d'ordinateur est également envoyé au client pendant la phase de négociation SSL (Secure Sockets LAYER).

Si vous en tant qu'administrateur, avez déjà installé un certificat d'ordinateur et que vous avez configuré le « routage et à distance " service d'accès, vous pouvez modifier le certificat d'ordinateur sans reconfigurer le « routage et à distance " service d'accès. Cet article explique comment modifier le certificat d'ordinateur.

Composants d'arrière-plan

Il existe trois composants dans ce scénario :
  • Le certificat d'ordinateur est installé dans la zone « compte ordinateur » du magasin de certificats
  • Le fichier http.sys

    note Ce fichier est le composant de port d'écoute HTTPS qui ferme les connexions VPN HTTPS. HTTP.sys détermine le certificat d'ordinateur à utiliser.

    Pour afficher les informations de certificat d'ordinateur, tapez la commande suivante à l'invite de commandes :
    netsh http afficher sslcert
  • Le « routage et serveur d'accès distant » qui s'exécute de http.sys

    note Le serveur utilise le hachage du certificat du certificat d'ordinateur pour sa phase de validation de liaison de chiffrement. Il s'agit d'une étape supplémentaire de sécurité afin de vérifier que le client de protocole PPP et le client SSL proviennent de la même ordinateur.

Comment faire pour modifier le certificat d'ordinateur

Pour modifier le certificat d'ordinateur, procédez comme suit sur le serveur VPN :
  1. Déterminer quel certificat d'ordinateur est configuré pour les connexions VPN. Pour ce faire, procédez comme suit :
    1. Déterminer les liaisons de certificat SSL qui sont utilisés par HTTP.sys. Pour cela, tapez la commande suivante à l'invite de commandes :
      netsh http afficher sslcert
    2. Vérifiez que l'ID d'application suivant apparaît :
      {ba195980-cd49-458b-9e23-c84ee0adcd75}
      Cette liaison est ajoutée par le basée sur SSTP « routage et à distance » serveur d'accès.
    La commande affiche un certificat qui est lié à l'écouteur IP:port 0.0.0.0:443 et un certificat qui est lié à [:]:: écouteur IP:port 443. La valeur de hachage de certificat spécifie le certificat est en fait lié. Cette valeur est le hachage de certificat SHA1 du certificat.
  2. Supprimer le certificat à partir du magasin de certificats. Pour cela, créer une nouvelle Microsoft Management Console Console (MMC), puis ajoutez le composant logiciel enfichable Certificats. Pour ce faire, procédez comme suit :
    1. Cliquez sur Démarrer , puis cliquez sur Exécuter .
    2. Tapez MMC.EXE et puis cliquez sur OK .
    3. Dans le menu Fichier , cliquez sur Ajouter/Supprimer un composant logiciel enfichable .
    4. Sélectionnez certificats , puis cliquez sur Ajouter .
    5. Sélectionnez l'option de compte d'ordinateur , puis cliquez sur suivant .
    6. Sélectionnez ordinateur local , puis cliquez sur Terminer .
    7. Cliquez sur OK .
  3. Développez Certificats (ordinateur local) , puis cliquez sur certificats . Une liste de certificats dans le magasin apparaît dans le volet de détails.
  4. Double-cliquez sur le certificat que vous souhaitez lier à l'écouteur SSTP. Voici le certificat qui comporte un nom d'objet qui correspond au nom d'ordinateur hôte est utilisé dans le client de connexion VPN.
  5. Cliquez sur l'onglet Détails . Dans la zone Afficher , assurez-vous que tout est sélectionné.
  6. Vérifiez que la valeur du champ Algorithme d'empreinte est sha1 .
  7. Notez la valeur du champ empreinte numérique . Comparer cette valeur au hachage de certificat a été répertoriée lorsque vous avez exécuté la commande netsh .

    Les valeurs doivent correspondent. Cela indique que le certificat correct est lié à l'écouteur. Cliquez avec le bouton droit sur le certificat, puis cliquez sur Supprimer .
  8. Ajouter le nouveau certificat au magasin de certificats.
  9. Supprimer le certificat de http.sys. Pour ce faire, tapez les commandes suivantes à l'invite de commandes :
    supprimer sslcert ipport netsh http = 0.0.0.0:443
    netsh http supprimer sslcert ipport = [:]: 443
    note Pour exécuter ces commandes, vous devez ouvrir l'invite de commande en utilisant les autorisations avec des privilèges élevés. Pour ce faire, cliquez sur Démarrer , cliquez avec le bouton droit sur invite , puis cliquez sur Exécuter en tant qu'administrateur .
  10. Ajouter le nouveau certificat à HTTP.sys.

    Pour ce faire, tapez les commandes suivantes à l'invite de commandes :
    netsh http ajouter sslcert ipport = 0.0.0.0:443 certhash = identificateur d'application xxx = {ba195980-cd49-458b-9e23-c84ee0adcd75} certstorename = mon
    netsh http ajouter sslcert ipport = [:]: certhash 443 = identificateur d'application xxx
    = {ba195980-cd49-458b-9e23-c84ee0adcd75} certstorename = mon
    note Dans ces commandes, xxx est un espace réservé pour le hachage de certificat SHA1 du nouveau certificat.
  11. Désactivez la clé de Registre hachage de certificat qui est utilisée par le service « Routage et à distance accès ». Pour ce faire, procédez comme suit.

    Avertissement Des problèmes graves peuvent se produire si modification incorrecte du Registre à l'aide de l'Éditeur du Registre ou en utilisant une autre méthode. Ces problèmes peuvent obliger à réinstaller le système d'exploitation. Microsoft ne peut pas garantir que ces problèmes peuvent être résolus. Modifier le Registre à vos risques et périls.
    1. Cliquez sur Démarrer , tapez regedit dans la zone Rechercher et puis cliquez sur regedit.exe dans la liste programmes .
    2. Recherchez et cliquez ensuite la sous-clé de Registre suivante :
      HKLM\System\CurrentControlSet\Services\Sstpsvc\Parameters\
    3. Dans le volet de détails, cliquez avec le bouton droit sur l'entrée Sha256CertificateHash , puis cliquez sur Modifier .
    4. Dans la zone données de la valeur , tapez 0 , puis cliquez sur OK .
    5. Quittez l'Éditeur du Registre.
  12. Redémarrez le service « Routage et à distance accès ». Le « routage et à distance " service d'accès lit le certificat dans HTTP.sys, puis définit les hachages de certificat approprié pour son contrôle de liaison de chiffrement.

Propriétés

Numéro d'article: 947027 - Dernière mise à jour: mercredi 30 janvier 2008 - Version: 1.2
Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 for Itanium-Based Systems
  • Windows Server 2008 Standard
  • Windows Web Server 2008
  • Windows Vista Entreprise 64 bits
  • Windows Vista Entreprise
Mots-clés : 
kbmt kbregistry kbexpertiseadvanced kbhowto KB947027 KbMtfr
Traduction automatique
IMPORTANT : Cet article est issu du système de traduction automatique mis au point par Microsoft (http://support.microsoft.com/gp/mtdetails). Un certain nombre d?articles obtenus par traduction automatique sont en effet mis à votre disposition en complément des articles traduits en langue française par des traducteurs professionnels. Cela vous permet d?avoir accès, dans votre propre langue, à l?ensemble des articles de la base de connaissances rédigés originellement en langue anglaise. Les articles traduits automatiquement ne sont pas toujours parfaits et peuvent comporter des erreurs de vocabulaire, de syntaxe ou de grammaire (probablement semblables aux erreurs que ferait une personne étrangère s?exprimant dans votre langue !). Néanmoins, mis à part ces imperfections, ces articles devraient suffire à vous orienter et à vous aider à résoudre votre problème. Microsoft s?efforce aussi continuellement de faire évoluer son système de traduction automatique.
La version anglaise de cet article est la suivante: 947027
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.

Envoyer des commentaires

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com