Como alterar o certificado de computador num computador baseado no Windows Server 2008 que está a executar o serviço "Encaminhamento e acesso remoto" e SSTP

Traduções de Artigos Traduções de Artigos
Artigo: 947027 - Ver produtos para os quais este artigo se aplica.
Informações sobre o Beta
Este artigo aborda uma versão beta de um produto da Microsoft. As informações contidas neste artigo são fornecidas como está e estão sujeitas a alterações sem aviso prévio.

Não fornece suporte técnico formal está disponível a partir da Microsoft para este produto beta. Para obter informações sobre como obter suporte para uma versão beta, consulte a documentação incluída nos ficheiros do produto beta ou consulte a localização da Web onde o transferiu.
importante Este artigo contém informações sobre como modificar o registo. Certifique-se uma que a cópia de segurança do registo antes de o modificar. Certifique-se que sabe como restaurar o registo se ocorrer um problema. Para obter mais informações sobre como efectuar uma cópia de segurança, restaurar e modificar o registo, clique no número de artigo que se segue para visualizar o artigo na Microsoft Knowledge Base:
322756Como efectuar uma cópia de segurança e restaurar o registo no Windows XP e Windows Vista
Expandir tudo | Reduzir tudo

Nesta página

Sumário

Este artigo descreve como alterar o certificado de computador num computador baseado no Windows Server 2008 que está a executar o serviço "Encaminhamento e acesso remoto" e SSTP (Secure Socket Tunneling Protocol). O certificado de computador também é conhecido como certificado de máquina.

INTRODUÇÃO

O seguro Socket Tunneling Protocol (SSTP) é uma nova rede privada virtual (VPN) protocolo disponível na função "Encaminhamento e remoto Access Services" no Windows Server 2008 de túnel. O protocolo também está disponível para utilização no Windows Vista Service Pack 1 (SP1).

SSTP utiliza o protocolo HTTPS através da porta TCP 443 para transmitir o tráfego através de firewalls e através da Web proxies que podem bloquear o PPTP e tráfego de L2TP/IPsec. O SSTP fornece um mecanismo para encapsular PPP tráfego através do canal seguro (SSL) do protocolo HTTPS.

Mais Informação

O serviço "Encaminhamento e acesso remoto" no Windows Server 2008 configura um certificado de computador do arquivo de certificados (também conhecido como o arquivo de computador) no ficheiro HTTP.sys para aceitar uma ligação HTTPS. Este certificado de computador é também enviado ao cliente durante a fase de negociação (Secure Sockets Layer).

Se, como um administrador já tiver instalado um certificado de computador e configurar o serviço "Encaminhamento e acesso remoto", pode alterar o certificado de computador sem reconfigurar o serviço "Encaminhamento e acesso remoto". Este artigo descreve como alterar o certificado de computador.

Componentes de fundo

Existem três componentes neste cenário:
  • O certificado de computador que está instalado na área de arquivo de certificados "conta de computador"
  • O Ficheiro de HTTP.sys

    Nota Este ficheiro é o componente de escuta HTTPS fecha ligações VPN de HTTPS. HTTP.sys determina o certificado de computador para utilizar.

    Para visualizar as informações do certificado de computador, escreva o seguinte comando na linha de comandos:
    netsh http Mostrar sslcert
  • O servidor de "Encaminhamento e acesso remoto" em fila que executa o HTTP.sys

    Nota O servidor utiliza o hash do certificado do certificado de computador para a fase de validação de enlace de criptografia. Este é um passo adicional de segurança para ajudar a verificar que o cliente PPP e o cliente SSL provêm do mesmo computador.

Como alterar o certificado de computador

Para alterar o certificado de computador, siga estes passos no servidor de VPN:
  1. Determine o certificado de computador está configurado para ligações VPN. Para o fazer, siga estes passos:
    1. Determine os enlaces de certificado SSL que são utilizados pelo HTTP.sys. Para o fazer, escreva o seguinte comando na linha de comandos:
      netsh http Mostrar sslcert
    2. Verifique se o seguinte ID da aplicação é apresentado:
      {ba195980-cd49-458b-9e23-c84ee0adcd75}
      Este enlace é adicionado pelo servidor baseado em SSTP "Encaminhamento e acesso remoto".
    O comando apresenta um certificado que está vinculado a escuta de IP:port 0.0.0.0:443 e um certificado que está vinculado [:]:: escuta IP:port 443. O valor hash do certificado Especifica qual o certificado, na realidade, está associado. Este valor é o hash de certificado SHA1 do certificado.
  2. Eliminar o certificado do arquivo de certificados. Para tal, crie uma nova consola (gestão da Microsoft) e, em seguida, adicione o snap-in Certificados. Para o fazer, siga estes passos:
    1. Clique em Iniciar e, em seguida, clique em Executar .
    2. Escreva MMC.exe e, em seguida, clique em OK .
    3. No menu ficheiro , clique em Adicionar/remover Snap-in .
    4. Seleccione certificados e, em seguida, clique em Adicionar .
    5. Seleccione a opção de conta de computador e, em seguida, clique em seguinte .
    6. Seleccione o Computador Local e, em seguida, clique em Concluir .
    7. Clique em OK .
  3. Expanda certificados (computador local) e, em seguida, clique em certificados . Uma lista de certificados no arquivo está listada na painel de detalhes.
  4. Faça duplo clique no certificado que pretende associar à escuta SSTP. Esta é o certificado que tenha um nome de requerente que corresponde ao nome anfitrião é utilizado no cliente de ligação VPN.
  5. Clique no separador Detalhes . Na caixa Mostrar , certifique-se de que tudo está seleccionada.
  6. Verifique se o valor do campo Algoritmo de thumbprint é sha1 .
  7. Anote o valor do campo de thumbprint . Compare este valor para o hash de certificado listados quando executou o comando netsh .

    Os valores devem corresponder. Isto indica que está ligado o certificado correcto para a escuta. Clique com o botão direito do rato no certificado e, em seguida, clique em Eliminar .
  8. Adicionar o novo certificado ao arquivo de certificados.
  9. Eliminar o certificado de HTTP.sys. Para o fazer, escreva os seguintes comandos na linha de comandos:
    netsh http eliminar sslcert ipport = 0.0.0.0:443
    netsh http eliminar sslcert ipport = [:]: 443
    Nota Para executar estes comandos, tem de abrir a linha de comandos utilizando permissões elevadas. Para o fazer, clique em Iniciar , clique com o botão direito do rato em linha de comandos e, em seguida, clique em Executar como administrador .
  10. Adicione o novo certificado para HTTP.sys.

    Para o fazer, escreva os seguintes comandos na linha de comandos:
    netsh http adicionar sslcert ipport = 0.0.0.0:443 certhash = o appid xxx = {ba195980-cd49-458b-9e23-c84ee0adcd75} certstorename = MY
    netsh http adicionar sslcert ipport = [:]: 443 certhash = o appid xxx = {ba195980-cd49-458b-9e23-c84ee0adcd75} certstorename = MY
    Nota Nestes comandos, xxx é um marcador para o hash de certificado SHA1 do certificado novo.
  11. Desmarque a chave de registo hash de certificado que é utilizada pelo serviço "Encaminhamento e acesso remoto". Para o fazer, siga estes passos.

    aviso Podem ocorrer problemas graves se modificar o registo incorrectamente utilizando o Editor de registo ou utilizando outro método. Estes problemas poderão forçar a reinstalação do sistema operativo. Microsoft não garante que estes problemas podem ser resolvidos. Modificar o registo por sua conta e risco.
    1. Clique em Iniciar , escreva regedit na caixa Iniciar procura e, em seguida, clique em regedit.exe na lista programas .
    2. Localize e, em seguida, clique na seguinte subchave do registo:
      HKLM\System\CurrentControlSet\Services\Sstpsvc\Parameters\
    3. No painel de detalhes, clique com o botão direito do rato na entrada Sha256CertificateHash e, em seguida, clique em Modificar .
    4. Na caixa dados do valor , escreva 0 e, em seguida, clique em OK .
    5. Saia do Editor de registo.
  12. Reinicie o serviço "Encaminhamento e acesso remoto". O serviço "Encaminhamento e acesso remoto" lê o certificado no interior de HTTP.sys e, em seguida, define os hashes de certificado adequado para a validação de enlace de criptografia.

Propriedades

Artigo: 947027 - Última revisão: 30 de janeiro de 2008 - Revisão: 1.2
A informação contida neste artigo aplica-se a:
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 for Itanium-Based Systems
  • Windows Server 2008 Standard
  • Windows Web Server 2008
  • Windows Vista Enterprise 64-bit edition
  • Windows Vista Enterprise
Palavras-chave: 
kbmt kbregistry kbexpertiseadvanced kbhowto KB947027 KbMtpt
Tradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine translation ou MT), não tendo sido portanto revisto ou traduzido por humanos. A Microsoft tem artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais. O objectivo é simples: oferecer em Português a totalidade dos artigos existentes na base de dados do suporte. Sabemos no entanto que a tradução automática não é sempre perfeita. Esta pode conter erros de vocabulário, sintaxe ou gramática? erros semelhantes aos que um estrangeiro realiza ao falar em Português. A Microsoft não é responsável por incoerências, erros ou estragos realizados na sequência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza actualizações frequentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 947027

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com