Het computercertificaat op een computer met Windows Server 2008 waarop de service 'Routering en RAS' en SSTP wijzigen

Vertaalde artikelen Vertaalde artikelen
Artikel ID: 947027 - Bekijk de producten waarop dit artikel van toepassing is.
Bèta-informatie
Dit artikel wordt een bètaversie van een Microsoft-product. De informatie in dit artikel is bedoeld als- en zonder kennisgeving worden gewijzigd.

Er is geen formele productondersteuning van Microsoft beschikbaar voor dit bètaproduct. Zie de documentatie bij bèta productbestanden voor informatie over het verkrijgen van ondersteuning voor een bètaversie of Controleer de locatie waar u de versie hebt gedownload.
BelangrijkDit artikel bevat informatie over het wijzigen van het register. Controleer of de back-up van het register voordat u het wijzigt. Zorg ervoor dat u hoe u het register kunt herstellen weet als er een probleem optreedt. Klik op het volgende artikelnummer in de Microsoft Knowledge Base voor meer informatie over back-up, terugzetten en het register wijzigen:
322756Back-up en terugzetten van het register in Windows XP en Windows Vista
Alles uitklappen | Alles samenvouwen

Op deze pagina

Samenvatting

In dit artikel wordt beschreven hoe u het computercertificaat op een computer met Windows Server 2008 waarop de service 'Routering en RAS' en SSTP (Secure Socket Tunneling Protocol) wijzigen. Het computercertificaat wordt ook wel een machinecertificaat.

INLEIDING

SSTP (Secure Socket Tunneling Protocol) is een nieuw virtueel particulier netwerk (VPN)-tunneling dat beschikbaar is in de rol 'Routering en RAS' in Windows Server 2008. Het protocol is ook beschikbaar voor gebruik in Windows Vista Service Pack 1 (SP1).

SSTP gebruikt het HTTPS-protocol doorgegeven verkeer via firewalls en via de webproxy kunnen blokkeren PPTP en L2TP/IPSec-verkeer via TCP-poort 443. SSTP biedt een mechanisme voor het inkapselen van PPP-verkeer via het SSL (Secure Sockets Layer) kanaal van het HTTPS-protocol.

Meer informatie

De service 'Routering en RAS' in Windows Server 2008 configureert computercertificaat uit het certificaatarchief (ook bekend als de machine-archief) in het bestand HTTP.sys een HTTPS-verbinding accepteren. Dit computercertificaat wordt ook naar de client verzonden tijdens de onderhandelingsfase SSL (Secure Sockets Layer).

Als u als beheerder een computercertificaat al hebt geïnstalleerd en de service 'Routering en RAS' hebt geconfigureerd, kunt u het computercertificaat wijzigen zonder de 'Routering en RAS'-service opnieuw configureren. In dit artikel wordt beschreven hoe u het computercertificaat van de wijzigen.

Achtergrond-onderdelen

In dit scenario worden drie onderdelen:
  • Het computercertificaat is geïnstalleerd in het gedeelte ' computeraccount' van het archief
  • Het Bestand HTTP.sys

    OpmerkingDit bestand is het HTTPS-listeneronderdeel HTTPS VPN-verbindingen wordt gesloten. HTTP.sys wordt bepaald welke computercertificaat gebruiken.

    De gegevens van het certificaat bekijken, typ de volgende opdracht bij de opdrachtprompt:
    Netsh http weergeven sslcert
  • De 'Routering en RAS' server HTTP.sys

    OpmerkingDe server gebruikt de certificaathash van het computercertificaat voor de valideringsfase crypto-binding. Dit is een extra beveiliging stap bij het verifiëren van PPP-client en de SSL-client afkomstig van dezelfde computer zijn.

Het certificaat van de computer wijzigen

Wijzigen van het computercertificaat volgt op de VPN-server:
  1. Bepalen welke computercertificaat is geconfigureerd voor VPN-verbindingen. U doet dit als volgt:
    1. SSL certificaatbindingen die worden gebruikt door HTTP.sys bepalen. Typ hiervoor de volgende opdracht bij de opdrachtprompt:
      Netsh http weergeven sslcert
    2. Controleer of de ID van de volgende toepassingen:
      {ba195980-cd49-458b-9e23-c84ee0adcd75}
      Deze binding is toegevoegd door de server op basis van SSTP 'Routering en RAS'.
    De opdracht geeft een certificaat is afhankelijk van de listener 0.0.0.0:443 IP: poort en een certificaat dat is gebonden aan [:]:: 443 IP: poort listener. De hash-waarde geeft aan welk certificaat daadwerkelijk is gebonden. Deze waarde is de SHA1-hash van het certificaat is een certificaat.
  2. Het certificaat verwijderen uit het certificaatarchief. Hiervoor maakt u een nieuwe Microsoft Management Console (MMC) en vervolgens de module Certificaten toevoegen. U doet dit als volgt:
    1. Klik opStart, en klik vervolgens opUitvoeren.
    2. TypeMMC.EXE, en klik vervolgens opOK.
    3. Op deBestandmenu, klik opSoftware-module.
    4. SelecteerCertificaten, en klik vervolgens opToevoegen.
    5. Selecteer deComputeraccountoptie en klik vervolgens opVolgende.
    6. SelecteerLokale Computer, en klik vervolgens opVoltooien.
    7. Klik opOK.
  3. VouwCertificaten (lokale Computer), en klik vervolgens opCertificaten. Een lijst met certificaten in het archief wordt vermeld in het detailvenster.
  4. Dubbelklik op het certificaat dat u wilt binden aan de SSTP-listener. Dit is het certificaat heeft een naam die overeenkomt met de hostnaam die wordt gebruikt voor de verbinding van VPN-client.
  5. Klik op deDetailstabblad. In deWeergevenvak, zorg ervoor datAlleis geselecteerd.
  6. Controleer de waarde voor deAlgoritme van vingerafdrukveldSHA1.
  7. Noteer de waarde van deVingerafdrukveld. Vergelijk dit met de certificaathash die u tijdens deNetshopdracht.

    De waarden moeten overeenkomen. Dit geeft aan dat het juiste certificaat is afhankelijk van de listener. Met de rechtermuisknop en klik vervolgens opVerwijderen.
  8. Het nieuwe certificaat toevoegen aan het archief.
  9. Het certificaat verwijderen uit HTTP.sys. Typ hiervoor de volgende opdrachten bij de opdrachtprompt:
    Netsh http verwijderen sslcert ipport = 0.0.0.0:443
    Netsh http verwijderen sslcert ipport = [:]: 443
    OpmerkingU kunt deze opdrachten uitvoeren, open de opdrachtprompt met verhoogde machtigingen. Klik hiertoe opStart, klik met de rechtermuisknopOpdrachtprompt, en klik vervolgens opAls administrator uitvoeren.
  10. Het nieuwe certificaat toevoegen aan HTTP.sys.

    Typ hiervoor de volgende opdrachten bij de opdrachtprompt:
    Netsh http toevoegen sslcert ipport = 0.0.0.0:443 certhash =xxxAppID = {ba195980-cd49-458b-9e23-c84ee0adcd75} certstorename = mijn
    Netsh http toevoegen sslcert ipport = [:]: 443 certhash =xxxAppID = {ba195980-cd49-458b-9e23-c84ee0adcd75} certstorename = mijn
    OpmerkingIn deze opdrachtenxxxis een tijdelijke aanduiding voor het certificaat SHA1-hash van het nieuwe certificaat.
  11. Schakel de registersleutel voor certificaat-hash die wordt gebruikt door de service 'Routering en RAS'. Hiertoe de volgende stappen uit.

    WaarschuwingEr kunnen ernstige problemen optreden als u het register foutief wijzigt met de Register-Editor of met een andere methode. Deze problemen mogelijk het besturingssysteem opnieuw te installeren. Microsoft kan niet garanderen dat deze problemen kunnen worden opgelost. Wijzig het register voor uw eigen risico.
    1. Klik opStart, typRegeditin deStart zoekenvak en klik vervolgens opRegedit.exein deProgramma 'slijst.
    2. Zoek en klik op de volgende registersubsleutel:
      HKLM\System\CurrentControlSet\Services\Sstpsvc\Parameters\
    3. In het detailvenster met de rechtermuisknop op deSha256CertificateHashvermelding en klik vervolgens opWijzigen.
    4. In deWaardegegevensin het vak0, en klik vervolgens opOK.
    5. Sluit Register-Editor.
  12. Start de service 'Routering en RAS'. De service 'Routering en RAS' certificaat in HTTP.sys leest en vervolgens het gewenste certificaat hashes voor de validatie van de crypto-binding.

Eigenschappen

Artikel ID: 947027 - Laatste beoordeling: zaterdag 19 maart 2011 - Wijziging: 2.0
De informatie in dit artikel is van toepassing op:
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 for Itanium-Based Systems
  • Windows Server 2008 Standard
  • Windows Web Server 2008
  • Windows Vista Enterprise 64-bit edition
  • Windows Vista Enterprise
Trefwoorden: 
kbregistry kbexpertiseadvanced kbhowto kbmt KB947027 KbMtnl
Automatisch vertaald artikel
BELANGRIJK: Dit artikel is vertaald door de vertaalmachine software van Microsoft in plaats van door een professionele vertaler. Microsoft biedt u professioneel vertaalde artikelen en artikelen vertaald door de vertaalmachine, zodat u toegang heeft tot al onze knowledge base artikelen in uw eigen taal. Artikelen vertaald door de vertaalmachine zijn niet altijd perfect vertaald. Deze artikelen kunnen fouten bevatten in de vocabulaire, zinsopbouw en grammatica en kunnen lijken op hoe een anderstalige de taal spreekt en schrijft. Microsoft is niet verantwoordelijk voor onnauwkeurigheden, fouten en schade ontstaan door een incorrecte vertaling van de content of het gebruik ervan door onze klanten. Microsoft past continue de kwaliteit van de vertaalmachine software aan door deze te updaten.
De Engelstalige versie van dit artikel is de volgende:947027

Geef ons feedback

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com