Как изменить сертификат компьютера на компьютер под управлением Windows Server 2008, на котором выполняется служба «Маршрутизация и удаленный доступ» и SSTP

Переводы статьи Переводы статьи
Код статьи: 947027 - Vizualiza?i produsele pentru care se aplic? acest articol.
Сведения О бета-версии
В этой статье обсуждается бета-версия продукта корпорации Майкрософт. Информация в данной статье предоставляется как-это и может быть изменена без предварительного уведомления.

Не обслуживается по каналам технической поддержки корпорации Майкрософт для этой бета-версии продукта. Сведения о получении поддержки для бета-версии обратитесь к документации, поставляемой с файлами бета-версии продукта или веб-узле, где вы загрузили эту версию.
Важные Эта статья содержит сведения об изменении реестра. Убедитесь, что резервную копию реестра перед внесением изменений. Убедитесь, что знаете, как восстановить реестр в случае возникновения проблем. Для получения дополнительных сведений о том, как резервное копирование, восстановлении и изменении реестра щелкните следующий номер статьи базы знаний Майкрософт:
322756 Резервное копирование и восстановление реестра в Windows XP и Windows Vista
Развернуть все | Свернуть все

В этой статье

Аннотация

В данной статье описывается, как изменить сертификат компьютера на компьютер под управлением Windows Server 2008, на котором выполняется служба «Маршрутизация и удаленный доступ» и протокол туннелирования Secure Socket (SSTP). Сертификат компьютера также называется сертификат компьютера.

ВВЕДЕНИЕ

Безопасный протокол туннелирования Socket (SSTP) является новой виртуальной частной сети (VPN) туннельный протокол, который доступен в роли «Маршрутизация и службы удаленного доступа» в Windows Server 2008. Этот протокол также доступны для использования в Windows Vista с пакетом обновления 1 (SP1).

SSTP протокола HTTPS через TCP-порт 443 для передачи трафика через брандмауэры и веб-прокси, которые может заблокировать для PPTP и L2TP/IPsec-трафик. SSTP предоставляет механизм инкапсуляции трафика PPP через канал Secure Sockets Layer (SSL) протокола HTTPS.

Дополнительная информация

Служба «Маршрутизация и удаленный доступ» в Windows Server 2008 настраивает компьютер сертификат из хранилища сертификатов (хранилище компьютера) в файле HTTP.sys принять подключение HTTPS. Этот сертификат отправляется на клиент во время фазы согласования Secure Sockets Layer (SSL).

Если вы, как администратор, уже установлен сертификат компьютера и настройки службы «Маршрутизация и удаленный доступ», сертификат компьютера можно изменить без повторной настройки службы «Маршрутизация и удаленный доступ». В данной статье описывается изменение сертификата компьютера.

Компоненты фон

В этом сценарии существует три компонента:
  • Сертификат компьютера, установленного в области «учетная запись компьютера» в хранилище сертификатов
  • Файл HTTP.sys

    Примечание Этот файл является компонентом прослушивателя HTTPS, закрытие подключений HTTPS VPN. Программа HTTP.sys определяет сертификат компьютера.

    Чтобы просмотреть сведения о сертификате компьютера, введите следующую команду в командной строке:
    sslcert Показать Netsh http
  • Сервер «Маршрутизация и удаленный доступ», работающей HTTP.sys

    Примечание Сервер использует хеш сертификата компьютера для этапа проверки его привязки. Это повысить уровень защиты для проверки PPP-клиент и клиент SSL берутся из того же компьютера.

Как изменить сертификат компьютера

Чтобы изменить сертификат компьютера, выполните следующие действия на сервере VPN.
  1. Определите, какой компьютер он настроен для VPN-подключений. Чтобы сделать это, выполните следующие действия.
    1. Определите привязки сертификатов SSL, используемых HTTP.sys. Для этого введите следующую команду в командной строке:
      sslcert Показать Netsh http
    2. Убедитесь, что указан следующий идентификатор приложения:
      {ba195980-cd49-458b-9e23-c84ee0adcd75}
      Эта привязка добавляется сервером на базе SSTP «Маршрутизация и удаленный доступ».
    Команда отображает сертификат, связанный с прослушивания IP: Port 0.0.0.0:443 и сертификат, связанный с [:]:: 443 прослушивания IP: Port. Хэш-значения сертификата определяет, какой сертификат фактически привязан. Это значение является сертификат хэш SHA1 этого сертификата.
  2. Удалите сертификат из хранилища сертификатов. Для этого создайте новую консоль управления Microsoft (MMC) и добавьте оснастку «Сертификаты» в. Чтобы сделать это, выполните следующие действия.
    1. Нажмите кнопку Начало, а затем нажмите кнопку Запустить.
    2. Тип MMC.EXE, а затем нажмите кнопку ОК.
    3. На Файл меню, нажмите кнопку Добавление и удаление оснастки.
    4. Выберите Сертификаты, а затем нажмите кнопку Добавить.
    5. Выберите Учетная запись компьютера параметр, а затем нажмите кнопку Далее.
    6. Выберите Локальный компьютер, а затем нажмите кнопку Окончание.
    7. Нажмите кнопку ОК.
  3. Разверните узел Сертификаты (локальный компьютер), а затем нажмите кнопку Сертификаты. В области сведений отображается список сертификатов в хранилище.
  4. Дважды щелкните сертификат, который требуется выполнить привязку к прослушивателю SSTP. Это сертификат, имеющий имя субъекта, совпадающим с именем хоста, используемого в клиенте VPN-подключения.
  5. Нажмите кнопку Подробности Вкладка. В Показать поле, убедитесь, что Все выбран.
  6. Убедитесь, что значение Алгоритм отпечатка Это поле SHA1.
  7. Обратите внимание на значение Отпечаток поле. Сравните это значение хеш сертификата, которая была указана при запуске Netsh команда.

    Значения должны совпадать. Это означает, что правильный сертификат привязан к прослушивателю. Щелкните правой кнопкой мыши сертификат и нажмите кнопку Удалить.
  8. Добавьте новый сертификат в хранилище сертификатов.
  9. Удаление сертификата из HTTP.sys. Для этого введите в командной строке следующие команды:
    Netsh http delete sslcert ipport = 0.0.0.0:443
    Netsh http delete sslcert ipport = [:]: 443
    Примечание Для запуска этих команд, необходимо открыть командную строку, используя разрешения более высокого уровня. Для этого нажмите кнопку Начало, щелкните правой кнопкой мыши Командная строка, а затем нажмите кнопку Запуск от имени администратора.
  10. Добавьте новый сертификат для HTTP.sys.

    Для этого введите в командной строке следующие команды:
    Netsh http добавить sslcert ipport = 0.0.0.0:443 certhash =XXX код = {ba195980-cd49-458b-9e23-c84ee0adcd75} certstorename = ЛИЧНЫХ
    Netsh http добавить sslcert ipport = [:]: 443 certhash =XXX код = {ba195980-cd49-458b-9e23-c84ee0adcd75} certstorename = ЛИЧНЫХ
    Примечание В этих командах XXX — Это хэш SHA1 сертификата новый сертификат.
  11. Удалить раздел реестра хэш сертификата, который используется службой «Маршрутизация и удаленный доступ». Чтобы сделать это, выполните следующие действия.

    Предупреждение При неправильном изменении реестра с помощью редактора реестра или иным способом могут возникнуть серьезные проблемы. Эти проблемы могут потребовать переустановки операционной системы. Корпорация Майкрософт не гарантирует эти проблемы. Изменения в реестр на ваш собственный риск.
    1. Нажмите кнопку Начало, тип regedit В диалоговом окне Начать поиск поле, а затем нажмите кнопку Regedit.exe В диалоговом окне Программы список.
    2. Найдите и выделите следующий подраздел реестра:
      HKLM\System\CurrentControlSet\Services\Sstpsvc\Parameters\
    3. В области сведений щелкните правой кнопкой мыши Sha256CertificateHash запись, а затем нажмите кнопку Изменить.
    4. В Значение данных поле типа 0, а затем нажмите кнопку ОК.
    5. Закройте редактор реестра.
  12. Перезапустите службу «Маршрутизация и удаленный доступ». Служба «Маршрутизация и удаленный доступ» считывает сертификат в HTTP.sys, а затем устанавливает соответствующий сертификат хеш-коды для проверки его привязки.

Свойства

Код статьи: 947027 - Последний отзыв: 19 июня 2011 г. - Revision: 4.0
Информация в данной статье относится к следующим продуктам.
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 for Itanium-Based Systems
  • Windows Server 2008 Standard
  • Windows Web Server 2008
  • Windows Vista Enterprise 64-bit edition
  • Windows Vista Enterprise
Ключевые слова: 
kbregistry kbexpertiseadvanced kbhowto kbmt KB947027 KbMtru
Переведено с помощью машинного перевода
ВНИМАНИЕ! Перевод данной статьи был выполнен не человеком, а с помощью программы машинного перевода, разработанной корпорацией Майкрософт. Корпорация Майкрософт предлагает вам статьи, переведенные как людьми, так и средствами машинного перевода, чтобы у вас была возможность ознакомиться со статьями базы знаний KB на родном языке. Однако машинный перевод не всегда идеален. Он может содержать смысловые, синтаксические и грамматические ошибки, подобно тому как иностранец делает ошибки, пытаясь говорить на вашем языке. Корпорация Майкрософт не несет ответственности за неточности, ошибки и возможный ущерб, причиненный в результате неправильного перевода или его использования. Корпорация Майкрософт также часто обновляет средства машинного перевода.
Эта статья на английском языке:947027

Отправить отзыв

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com