Come modificare il certificato del computer in un computer basato su Windows Server 2008 che esegue il servizio "Routing e accesso remoto" e SSTP

Traduzione articoli Traduzione articoli
Identificativo articolo: 947027 - Visualizza i prodotti a cui si riferisce l?articolo.
Informazioni Beta
Nel presente articolo viene illustrata una versione beta di un prodotto Microsoft. Le informazioni contenute in questo articolo vengono fornite "nello stato in cui si trovano" e sono soggette a modifiche senza preavviso.

Per questo prodotto beta Microsoft non fornisce alcun tipo di supporto formale. Per informazioni su come ottenere supporto per una versione beta, consultare la documentazione fornita con i file del prodotto beta oppure visitare il sito Web dal quale è stata scaricata la versione del prodotto.
importante Vengono fornite informazioni su come modificare il Registro di sistema. Assicurarsi di backup del Registro di sistema prima di modificarlo. Verificare che come ripristinare il Registro di sistema se si verifica un problema. Per ulteriori informazioni su come eseguire il backup, ripristinare e modificare il Registro di sistema, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito riportato:
322756Come eseguire il backup e il ripristino Registro di sistema in Windows XP e Windows Vista
Espandi tutto | Chiudi tutto

In questa pagina

Sommario

In questo articolo viene descritto come modificare il certificato del computer in un computer basato su Windows Server 2008 che esegue il servizio "Routing e accesso remoto" e SSTP (Secure Socket Tunneling Protocol). Il certificato di computer è noto anche come un certificato del computer.

INTRODUZIONE

SSTP (protetto Socket Tunneling Protocol) è una nuova rete privata virtuale (VPN) disponibile nel ruolo "Routing and Remote Access Services" in Windows Server 2008 protocollo di tunneling. Il protocollo è inoltre disponibile per l'utilizzo in Windows Vista Service Pack 1 (SP1).

SSTP utilizza il protocollo HTTPS tramite la porta TCP 443 per passare il traffico attraverso firewall e attraverso i proxy Web che potrebbero bloccare PPTP e il traffico L2TP/IPsec. SSTP fornisce un meccanismo per incapsulare il traffico PPP attraverso il canale SSL (Secure Sockets Layer) del protocollo HTTPS.

Informazioni

Il servizio "Routing e accesso remoto" in Windows Server 2008 consente di configurare un certificato di computer dall'archivio certificati (noto anche come archivio del computer) nel file HTTP.sys per accettare una connessione HTTPS. Il certificato di computer viene inviato al client anche durante la fase di negoziazione SSL (Secure Sockets Layer).

Se, in qualità di amministratore, è già installato un certificato di computer e configurato il servizio "Routing e accesso remoto", è possibile modificare il certificato del computer senza dover riconfigurare il servizio "Routing e accesso remoto". In questo articolo viene descritto come modificare il certificato del computer.

Componenti di sfondo

In questo scenario sono presenti tre componenti:
  • Il certificato di computer è installato nell'area di archivio dei certificati "computer account"
  • Il File di HTTP.sys

    Nota Questo file è il componente listener HTTPS che chiude le connessioni VPN di HTTPS. HTTP.sys determina il certificato di computer da utilizzare.

    Per visualizzare le informazioni sul certificato di computer, è necessario digitare il seguente comando al prompt dei comandi:
    netsh http Mostra sslcert
  • Server di "Routing e accesso remoto" in cui viene eseguito HTTP.sys

    Nota Il server utilizza l'hash del certificato del certificato di computer per la fase di convalida associazione di crittografia. Si tratta di un passaggio ulteriore protezione per verificare che il client PPP e il client SSL devono entrambi derivano dallo stesso computer.

Come modificare il certificato di computer

Per modificare il certificato di computer, attenersi alla seguente procedura sul server VPN:
  1. Determinare il certificato di computer è configurato per le connessioni VPN. Per effettuare questa operazione, attenersi alla seguente procedura:
    1. Consente di determinare il binding a certificati SSL utilizzate da HTTP.sys. Per effettuare questa operazione, digitare il seguente comando al prompt dei comandi:
      netsh http Mostra sslcert
    2. Verificare che l'ID di applicazione riportato di seguito è elencato:
      {ba195980-cd49-458b-9e23-c84ee0adcd75}
      Questa associazione viene aggiunto per basato su SSTP "Routing e server di accesso remoto".
    Il comando Visualizza un certificato di cui è associato il listener di IP:port 0.0.0.0:443 e un certificato che è associato a [:]:: listener IP:port 443. Il valore di hash di certificato specifica il certificato è effettivamente associato. Questo valore è l'hash del certificato di SHA1 del certificato.
  2. Eliminare il certificato dall'archivio certificati. A tale scopo, creare una nuova Microsoft Management Console (MMC) e quindi aggiungere lo snap-in certificati. Per effettuare questa operazione, attenersi alla seguente procedura:
    1. Fare clic su Start e quindi fare clic su Esegui .
    2. Digitare MMC.exe e quindi fare clic su OK .
    3. Scegliere Aggiungi/Rimuovi snap-in dal menu file .
    4. Selezionare certificati e quindi fare clic su Aggiungi .
    5. Selezionare l'opzione account del computer e quindi fare clic su Avanti .
    6. Selezionare Computer locale e quindi fare clic su Fine .
    7. Fare clic su OK .
  3. Espandere certificati (computer locale) e quindi fare clic su certificati . Un elenco di certificati nell'archivio è elencato nel riquadro dei dettagli.
  4. Fare doppio clic sul certificato che si desidera associare il listener SSTP. Questo è il certificato con un nome di oggetto corrisponda al nome host è utilizzato nel client connessione VPN.
  5. Fare clic sulla scheda Dettagli . Nella casella Mostra assicurarsi che tutto sia selezionata.
  6. Verificare che il valore per il campo dell'Algoritmo di identificazione personale sha1 .
  7. Prendere nota del valore del campo di identificazione personale . Confrontare questo valore per l'hash del certificato è stato elencato quando è stato eseguito il comando netsh .

    I valori devono corrispondere. Questo indica che il certificato corretto è associato al listener. Clic con il pulsante destro del mouse sul certificato e quindi fare clic su Elimina .
  8. Aggiungere il nuovo certificato all'archivio certificati.
  9. Eliminare il certificato da HTTP.sys. Per effettuare questa operazione, digitare i comandi seguenti al prompt dei comandi:
    netsh http delete sslcert ipport = 0.0.0.0:443
    netsh http delete sslcert ipport = [:]: 443
    Nota Per eseguire questi comandi, è necessario aprire il prompt dei comandi utilizzando autorizzazioni elevate. Per effettuare questa operazione, fare clic su Start , fare clic con il pulsante destro del mouse sul prompt dei comandi e scegliere Esegui come amministratore .
  10. Aggiungere il nuovo certificato a HTTP.sys.

    Per effettuare questa operazione, digitare i comandi seguenti al prompt dei comandi:
    netsh http aggiungere sslcert ipport = 0.0.0.0:443 certhash = xxx appid = {ba195980-cd49-458b-9e23-c84ee0adcd75} certstorename = MY
    netsh http aggiungere sslcert ipport = [:]: 443 certhash = xxx appid = {ba195980-cd49-458b-9e23-c84ee0adcd75} certstorename = MY
    Nota In questi comandi, xxx è un segnaposto per l'hash del certificato di SHA1 del nuovo certificato.
  11. Cancellare la chiave del Registro di sistema di hash di certificato utilizzato dal servizio di "Routing e accesso remoto". Per effettuare questa operazione, attenersi alla seguente procedura.

    avviso Può causare seri problemi se si modifica il Registro di sistema in modo errato mediante l'editor del Registro di sistema o utilizzando un altro metodo. Questi problemi potrebbero richiedere la reinstallazione del sistema operativo. Microsoft non garantisce che sia possono risolvere questi problemi. La modifica del Registro di sistema è a rischio e pericolo dell'utente.
    1. Fare clic su Start , digitare regedit nella casella Inizia ricerca e quindi fare clic su regedit.exe nell'elenco programmi .
    2. Individuare e selezionare la seguente sottochiave:
      HKLM\System\CurrentControlSet\Services\Sstpsvc\Parameters\
    3. Nel riquadro dei dettagli fare clic con il pulsante destro del mouse sulla Sha256CertificateHash voce e quindi fare clic su Modifica .
    4. Nella casella dati valore digitare 0 e quindi fare clic su OK .
    5. Uscire dall'editor del Registro di sistema.
  12. Riavviare il servizio "Routing e accesso remoto". Il servizio "Routing e accesso remoto" legge il certificato interno HTTP.sys e quindi imposta gli hash di certificato appropriato per la convalida di associazione di crittografia.

Proprietà

Identificativo articolo: 947027 - Ultima modifica: mercoledì 30 gennaio 2008 - Revisione: 1.2
Le informazioni in questo articolo si applicano a:
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 for Itanium-Based Systems
  • Windows Server 2008 Standard
  • Windows Web Server 2008
  • Windows Vista Enterprise 64-bit edition
  • Windows Vista Enterprise
Chiavi: 
kbmt kbregistry kbexpertiseadvanced kbhowto KB947027 KbMtit
Traduzione automatica articoli
Il presente articolo è stato tradotto tramite il software di traduzione automatica di Microsoft e non da una persona. Microsoft offre sia articoli tradotti da persone fisiche sia articoli tradotti automaticamente da un software, in modo da rendere disponibili tutti gli articoli presenti nella nostra Knowledge Base nella lingua madre dell?utente. Tuttavia, un articolo tradotto in modo automatico non è sempre perfetto. Potrebbe contenere errori di sintassi, di grammatica o di utilizzo dei vocaboli, più o meno allo stesso modo di come una persona straniera potrebbe commettere degli errori parlando una lingua che non è la sua. Microsoft non è responsabile di alcuna imprecisione, errore o danno cagionato da qualsiasi traduzione non corretta dei contenuti o dell?utilizzo degli stessi fatto dai propri clienti. Microsoft, inoltre, aggiorna frequentemente il software di traduzione automatica.
Clicca qui per visualizzare la versione originale in inglese dell?articolo: 947027
LE INFORMAZIONI CONTENUTE NELLA MICROSOFT KNOWLEDGE BASE SONO FORNITE SENZA GARANZIA DI ALCUN TIPO, IMPLICITA OD ESPLICITA, COMPRESA QUELLA RIGUARDO ALLA COMMERCIALIZZAZIONE E/O COMPATIBILITA' IN IMPIEGHI PARTICOLARI. L'UTENTE SI ASSUME L'INTERA RESPONSABILITA' PER L'UTILIZZO DI QUESTE INFORMAZIONI. IN NESSUN CASO MICROSOFT CORPORATION E I SUOI FORNITORI SI RENDONO RESPONSABILI PER DANNI DIRETTI, INDIRETTI O ACCIDENTALI CHE POSSANO PROVOCARE PERDITA DI DENARO O DI DATI, ANCHE SE MICROSOFT O I SUOI FORNITORI FOSSERO STATI AVVISATI. IL DOCUMENTO PUO' ESSERE COPIATO E DISTRIBUITO ALLE SEGUENTI CONDIZIONI: 1) IL TESTO DEVE ESSERE COPIATO INTEGRALMENTE E TUTTE LE PAGINE DEVONO ESSERE INCLUSE. 2) I PROGRAMMI SE PRESENTI, DEVONO ESSERE COPIATI SENZA MODIFICHE, 3) IL DOCUMENTO DEVE ESSERE DISTRIBUITO INTERAMENTE IN OGNI SUA PARTE. 4) IL DOCUMENTO NON PUO' ESSERE DISTRIBUITO A SCOPO DI LUCRO.

Invia suggerimenti

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com