Como alterar o certificado de computador em um computador baseado no Windows Server 2008 que está executando o "Roteamento e serviço de acesso remoto" e SSTP

Traduções deste artigo Traduções deste artigo
ID do artigo: 947027 - Exibir os produtos aos quais esse artigo se aplica.
Informações de versão beta
Este artigo descreve uma versão beta de um produto da Microsoft. As informações neste artigo são fornecidas como - é e estão sujeitas a alterações sem aviso prévio.

Nenhum suporte formal está disponível da Microsoft para este produto beta. Para obter informações sobre como obter suporte para uma versão beta, consulte a documentação incluída com os arquivos de produto beta ou verifique o local da Web onde você a versão foi baixada.
importante Este artigo contém informações sobre como modificar o registro. Certifique-se de que você faça backup do registro antes de modificá-lo. Certifique-se que você sabe como restaurar o registro se ocorrer um problema. Para obter mais informações sobre como fazer backup, restaurar e modificar o registro, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
322756Como fazer e restaurar o registro no Windows XP e no Windows Vista
Expandir tudo | Recolher tudo

Neste artigo

Sumário

Este artigo descreve como alterar o certificado de computador em um computador baseado no Windows Server 2008 que está executando o "Roteamento e serviço de acesso remoto" e SSTP (protocolo de encapsulamento de soquete seguro). O certificado de computador é também conhecido como um certificado de máquina.

INTRODUÇÃO

SSTP (protocolo de encapsulamento de soquete seguro) é uma nova virtual rede privada (VPN) que está disponível na função de "Routing e Remote Access Services" no Windows Server 2008 protocolo de encapsulamento. O protocolo também está disponível para uso no Windows Vista Service Pack 1 (SP1).

SSTP usa o protocolo HTTPS pela porta TCP 443 para passar o tráfego através de firewalls e por meio de proxies da Web que podem bloquear o PPTP e o tráfego L2TP/IPsec. SSTP fornece um mecanismo para encapsular tráfego PPP sobre o canal SSL (Secure Sockets LAYER) do protocolo HTTPS.

Mais Informações

O "Roteamento e serviço de acesso"remoto no Windows Server 2008 configura um certificado de computador do armazenamento de certificados (também conhecido como armazenamento de computador) no arquivo HTTP.sys para aceitar uma conexão HTTPS. Este certificado de computador também é enviado para o cliente durante a fase de negociação SSL (Secure Sockets LAYER).

Se você, como um administrador já tiver instalado um certificado de computador e tiver configurado o serviço "Roteamento e acesso remoto", você pode alterar o certificado de computador sem precisar reconfigurar o "Roteamento e serviço de acesso remoto". Este artigo descreve como alterar o certificado de computador.

Componentes do plano de fundo

Existem três componentes neste cenário:
  • O certificado de computador que está instalado na área de armazenamento de certificados "conta de computador"
  • O Arquivo HTTP.sys

    Observação Este arquivo é o componente de ouvinte HTTPS que fecha conexões VPN de HTTPS. O HTTP.sys determina qual certificado de computador para usar.

    Para exibir as informações de certificado de computador, digite o seguinte comando no prompt de comando:
    netsh http Mostrar sslcert
  • "Roteamento e acesso remoto" servidor que executa o HTTP.sys

    Observação O servidor usa o hash de certificado do certificado de computador para sua fase de validação de ligação de criptografia. Essa é uma etapa extra de segurança para ajudar a verificar que o cliente PPP e o cliente SSL originam no mesmo computador.

Como alterar o certificado de computador

Para alterar o certificado de computador, execute estas etapas no servidor VPN:
  1. Determine qual certificado de computador está configurado para conexões VPN. Para fazer isso, execute as seguintes etapas:
    1. Determine as ligações de certificado SSL usadas pelo HTTP.sys. Para fazer isso, digite o seguinte comando no prompt de comando:
      netsh http Mostrar sslcert
    2. Verifique se a seguinte identificação de aplicativo está listada:
      {ba195980-cd49-458b-9e23-c84ee0adcd75}
      Esta ligação é adicionada pelo servidor baseado em SSTP "Roteamento e acesso remoto".
    O comando mostra um certificado que é vinculado a escuta de IP:port 0.0.0.0:443 e um certificado que está vinculado a [:]:: ouvinte IP:port 443. O valor de hash de certificado especifica qual certificado, na verdade, está acoplado. Esse valor é o hash de certificado SHA1 do certificado.
  2. Excluir o certificado do armazenamento de certificados. Para fazer isso, crie um novo MMC (Microsoft Management Console) e, em seguida, adicionar o snap-in de certificados. Para fazer isso, execute as seguintes etapas:
    1. Clique em Iniciar e, em seguida, clique em Executar .
    2. Digite MMC.exe e, em seguida, clique em OK .
    3. No menu arquivo , clique em Adicionar/remover Snap-in .
    4. Selecione certificados e, em seguida, clique em Adicionar .
    5. Selecione a opção conta de computador e, em seguida, clique em Avançar .
    6. Selecione Computador Local e, em seguida, clique em Concluir .
    7. Clique em OK .
  3. Expanda certificados (computador local) e, em seguida, clique em certificados . Uma lista de certificados no armazenamento de é relacionada no painel de detalhes.
  4. Clique duas vezes no certificado que você deseja ligar para o ouvinte SSTP. Isso é o certificado que tem um nome de assunto corresponde ao nome host que é usado na conexão VPN do cliente.
  5. Clique na guia detalhes . Na caixa Mostrar , verifique se Tudo está selecionado.
  6. Verifique se o valor para o campo de Algoritmo de impressão digital é sha1 .
  7. Observe o valor do campo impressão digital . Compare esse valor para o hash de certificado foi listado quando você executou o comando netsh .

    Os valores devem coincidir. Isso indica que o certificado correto está vinculado ao ouvinte da. Clique o certificado com o botão direito do mouse e, em seguida, clique em Excluir .
  8. Adicione o novo certificado ao armazenamento de certificado.
  9. Excluir o certificado do HTTP.sys. Para fazer isso, digite os seguintes comandos no prompt de comando:
    netsh http delete sslcert ipport = 0.0.0.0:443
    netsh http delete sslcert ipport = [:]: 443
    Observação Para executar esses comandos, você deve abrir o prompt de comando usando permissões elevadas. Para fazer isso, clique em Iniciar , clique com o botão direito do mouse Prompt de comando e, em seguida, clique em Executar como administrador .
  10. Adicione o novo certificado ao HTTP.sys.

    Para fazer isso, digite os seguintes comandos no prompt de comando:
    netsh http adicionar sslcert ipport = 0.0.0.0:443 certhash = a IDApl xxx = {ba195980-cd49-458b-9e23-c84ee0adcd75} certstorename = meu
    netsh http adicionar sslcert ipport = [:]: 443 certhash = a IDApl xxx = {ba195980-cd49-458b-9e23-c84ee0adcd75} certstorename = meu
    Observação Nesses comandos, xxx é um espaço reservado para o hash de certificado SHA1 do novo certificado.
  11. Desmarque a chave de registro de hash de certificado que é usada pelo serviço de "Roteamento e acesso remoto". Para fazer isso, siga estas etapas.

    Aviso Podem ocorrer sérios problemas se você modificar o registro incorretamente usando o Editor do registro ou usando outro método. Esses problemas podem exigir que você reinstalar o sistema operacional. A Microsoft não garante que esses problemas possam ser solucionados. Modificar o registro por sua própria conta e risco.
    1. Clique em Iniciar , digite regedit na caixa Iniciar procura e, em seguida, clique em regedit.exe na lista programas .
    2. Localize e, em seguida, clique na seguinte subchave do Registro:
      HKLM\System\CurrentControlSet\Services\Sstpsvc\Parameters\
    3. No painel de detalhes, clique com o botão direito na entrada Sha256CertificateHash e, em seguida, clique em Modificar .
    4. Na caixa dados do valor , digite 0 e, em seguida, clique em OK .
    5. Feche o Editor do Registro.
  12. Reinicie o serviço "Roteamento e acesso remoto". O serviço "Roteamento e acesso remoto" lê o certificado dentro HTTP.sys e, em seguida, define o hash de certificado apropriado para sua validação de ligação de criptografia.

Propriedades

ID do artigo: 947027 - Última revisão: quarta-feira, 30 de janeiro de 2008 - Revisão: 1.2
A informação contida neste artigo aplica-se a:
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 for Itanium-Based Systems
  • Windows Server 2008 Standard
  • Windows Web Server 2008
  • Windows Vista Enterprise 64-bit edition
  • Windows Vista Enterprise
Palavras-chave: 
kbmt kbregistry kbexpertiseadvanced kbhowto KB947027 KbMtpt
Tradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine Translation ou MT), não tendo sido portanto traduzido ou revisto por pessoas. A Microsoft possui artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais, com o objetivo de oferecer em português a totalidade dos artigos existentes na base de dados de suporte. No entanto, a tradução automática não é sempre perfeita, podendo conter erros de vocabulário, sintaxe ou gramática. A Microsoft não é responsável por incoerências, erros ou prejuízos ocorridos em decorrência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza atualizações freqüentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 947027

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com