วิธีการเปลี่ยนใบรับรองของคอมพิวเตอร์ในคอมพิวเตอร์ที่ใช้ Windows Server 2008 ที่กำลังเรียกใช้บริการ "สายงานการผลิตและ Remote Access" และ SSTP

การแปลบทความ การแปลบทความ
หมายเลขบทความ (Article ID): 947027 - ผลิตภัณฑ์ที่เกี่ยวข้องในบทความนี้
ข้อมูลรุ่น Beta
บทความนี้กล่าวถึงผลิตภัณฑ์ Microsoft ในรุ่นเบต้า ข้อมูลในบทความนี้มีให้ตามสภาพ และอาจมีการเปลี่ยนแปลงโดยไม่ต้องแจ้งให้ทราบ

ไม่มีการสนับสนุนผลิตภัณฑ์อย่างเป็นทางการจาก Microsoft สำหรับผลิตภัณฑ์รุ่นเบต้านี้ สำหรับข้อมูลเกี่ยวกับการรับการสนับสนุนสำหรับรุ่นเบต้า โปรดดูเอกสารที่รวมมากับแฟ้มผลิตภัณฑ์รุ่นเบต้า หรือตรวจสอบตำแหน่งทางเว็บที่คุณดาวน์โหลดผลิตภัณฑ์
สิ่งสำคัญบทความนี้ประกอบด้วยข้อมูลเกี่ยวกับวิธีการแก้ไขรีจิสทรี ควรตรวจสอบว่าได้สำรองรีจิสทรีก่อนที่จะปรับเปลี่ยน โปรดทำความเข้าใจกับวิธีการคืนค่ารีจิสทรีในกรณีที่เกิดปัญหา สำหรับข้อมูลเพิ่มเติมเกี่ยวกับวิธีสำรองข้อมูล คืนค่า และปรับเปลี่ยนรีจิสทรี โปรดคลิกที่หมายเลขบทความต่อไปนี้ เพื่อดูบทความใน Microsoft Knowledge Base::
322756วิธีการสำรองข้อมูลและคืนค่ารีจิสทรีใน Windows XP และ Windows Vista
ขยายทั้งหมด | ยุบทั้งหมด

เนื้อหาบนหน้านี้

สรุป

บทความนี้อธิบายวิธีการเปลี่ยนใบรับรองของคอมพิวเตอร์ในคอมพิวเตอร์ที่ใช้ Windows Server 2008 ที่กำลังเรียกใช้บริการ "สายงานการผลิตและ Remote Access" และโพรโทคอลที่ Tunneling Socket รักษาความปลอดภัย (SSTP) ใบรับรองของคอมพิวเตอร์กำลังเรียกอีกอย่างว่าใบรับรองเครื่อง

บทนำ

มีความปลอดภัย Socket Tunneling โพรโทคอล (SSTP) คือ ใหม่ virtual private network (VPN) ทันเนลรโทคอลที่มีอยู่ในบทบาท "สายงานการผลิตและระยะไกลเข้าถึงบริการ" ใน Windows Server 2008 นอกจากนี้ยังมีโพรโทคอลสำหรับใช้ใน Windows Vista Service Pack 1 (SP1)

SSTP ใช้โพรโทคอล HTTPS ผ่าน TCP พอร์ต 443 เพื่อส่งต่อการรับส่งข้อมูล ผ่านไฟร์วอลล์ และ ผ่านเว็บ proxies ที่อาจบล็อก PPTP และปริมาณการใช้งาน L2TP/IPsec SSTP แสดงเป็นกลไกการ encapsulate ปริมาณการใช้ PPP บนสถานี Secure Sockets Layer (SSL) ของโพรโทคอล HTTPS

ข้อมูลเพิ่มเติม

บริการ "สายงานการผลิตและ Remote Access" ใน Windows Server 2008 กำหนดค่าคอมพิวเตอร์ใบรับรองจากเก็บใบรับรอง (เรียกอีกอย่างว่าเก็บเครื่องจักร) ในไฟล์ HTTP.sys เพื่อยอมรับการเชื่อมต่อ HTTPS ส่งใบรับรองนี้คอมพิวเตอร์ยังไปยังไคลเอนต์ระหว่างขั้นตอนการเจรจา Secure Sockets Layer (SSL)

ถ้าคุณ ในฐานะผู้ดูแล แล้วติดตั้งใบรับรองของคอมพิวเตอร์ได้รับการกำหนดค่าบริการ "สายงานการผลิตและ Remote Access" คุณสามารถเปลี่ยนใบรับรองของคอมพิวเตอร์โดยไม่ต้อง reconfiguring บริการ "สายงานการผลิตและ Remote Access" บทความนี้อธิบายถึงวิธีการเปลี่ยนใบรับรองของคอมพิวเตอร์

คอมโพเนนต์ของพื้นหลัง

มีคอมโพเนนต์ที่สามในสถานการณ์นี้:
  • ใบรับรองของคอมพิวเตอร์ที่ติดตั้งอยู่ในพื้นที่ "บัญชีคอมพิวเตอร์" ที่เก็บใบรับรอง
  • ไฟล์ HTTP.sys

    หมายเหตุ:แฟ้มนี้เป็นคอมโพเนนต์ฟัง HTTPS ที่ปิดการเชื่อมต่อ HTTPS VPN http.sys กำหนดใบรับรองของคอมพิวเตอร์ที่ใช้

    เมื่อต้องการดูข้อมูลใบรับรองของเครื่องคอมพิวเตอร์ พิมพ์คำสั่งต่อไปนี้ที่พร้อมท์รับคำสั่ง:
    sslcert แสดง http netsh
  • เซิร์ฟเวอร์ "สายงานการผลิตและ Remote Access" ที่รัน HTTP.sys

    หมายเหตุ:เซิร์ฟเวอร์การแฮใบรับรองของใบรับรองของคอมพิวเตอร์ที่ใช้สำหรับขั้นตอนการตรวจสอบการรวมการเข้ารหัสลับ นี่คือขั้นตอนการรักษาความปลอดภัยเพิ่มเติมเพื่อช่วยในการตรวจสอบว่า ไคลเอนต์ PPP และไคลเอ็นต์ของ SSL เกิดจากคอมพิวเตอร์เครื่องเดียวกัน

วิธีการเปลี่ยนใบรับรองของคอมพิวเตอร์

เมื่อต้องการเปลี่ยนใบรับรองของเครื่องคอมพิวเตอร์ ทำตามขั้นตอนเหล่านี้บนเซิร์ฟเวอร์ VPN:
  1. ตรวจสอบใบรับรองของคอมพิวเตอร์ที่มีการกำหนดค่าสำหรับการเชื่อมต่อ VPN โดยให้ทำตามขั้นตอนต่อไปนี้::
    1. ตรวจสอบการรวมใบรับรอง SSL ที่ใช้ โดย HTTP.sys เมื่อต้องการทำเช่นนี้ พิมพ์คำสั่งต่อไปนี้ที่พร้อมท์รับคำสั่ง:
      sslcert แสดง http netsh
    2. ตรวจสอบว่า จะแสดงหมายเลขของโปรแกรมประยุกต์ต่อไปนี้:
      {ba195980-cd49-458b-9e23-c84ee0adcd75 }
      ผูกนี้ถูกเพิ่ม โดยเซิร์ฟเวอร์ตาม SSTP "สายงานการผลิตและ Remote Access"
    คำสั่งแสดงใบรับรองที่ถูกผูกไว้กับการฟังการ IP:port 0.0.0.0:443 และใบรับรองที่ถูกผูกไว้กับ [:]:: ฟัง IP:port 443 ค่าแฮใบรับรองระบุใบรับรองที่ถูกผูกไว้จริง ๆ ค่านี้มีแฮชที่ SHA1 ของใบรับรองของใบรับรอง
  2. ลบใบรับรองจากเก็บใบรับรอง เมื่อต้องการทำเช่นนี้ สร้างแบบใหม่ Microsoft Management Console (MMC), และเพิ่มสแนปอินใบรับรอง โดยให้ทำตามขั้นตอนต่อไปนี้::
    1. คลิกเริ่มการทำงานแล้ว คลิกเรียกใช้.
    2. ประเภท:mmc.exeแล้ว คลิกตกลง.
    3. ในการแฟ้ม:เมนู คลิกเพิ่ม/เอาออกสแนปอิน.
    4. เลือกใบรับรองแล้ว คลิกadd.
    5. เลือกการบัญชีคอมพิวเตอร์ตัวเลือก แล้วคลิกถัดไป.
    6. เลือกคอมพิวเตอร์เครื่องนี้แล้ว คลิกเสร็จสิ้น.
    7. คลิกตกลง.
  3. ขยายใบรับรอง (ภายในเครื่องคอมพิวเตอร์)แล้ว คลิกใบรับรอง. รายการใบรับรองในเก็บอยู่ในรายการในบานหน้าต่างรายละเอียด
  4. คลิกสองครั้งที่ใบรับรองที่คุณต้องการผูกกับฟัง SSTP นี่คือใบรับรองที่มีชื่อเรื่องที่ตรงกับชื่อโฮสต์ที่ใช้ในไคลเอนต์เชื่อมต่อ VPN
  5. คลิกการรายละเอียดแท็บ ในการShow:กล่อง การตรวจสอบให้แน่ใจว่าทั้งหมดถูกเลือก
  6. ตรวจสอบว่า ค่าสำหรับการอัลกอริทึมรหัสประจำตัวเขตข้อมูลsha1.
  7. บันทึกค่าของการรหัสประจำตัวเขตข้อมูล: การเปรียบเทียบแฮใบรับรองที่ถูกแสดงไว้เมื่อคุณรันค่านี้netshคำสั่ง

    ค่าควรตรงกัน บ่งชี้ว่า ใบรับรองที่ถูกต้องถูกผูกไว้กับการฟัง คลิกขวาที่ใบรับรอง และจากนั้น คลิกลบ.
  8. เพิ่มใบรับรองใหม่ไปยังเก็บใบรับรอง
  9. ลบใบรับรองจาก HTTP.sys เมื่อต้องการทำเช่นนี้ พิมพ์คำสั่งต่อไปนี้ที่พร้อมท์รับคำสั่ง:
    netsh http ลบ sslcert ipport = 0.0.0.0:443
    netsh http ลบ sslcert ipport = [:]: 443
    หมายเหตุ:เมื่อต้องการเรียกใช้คำสั่งเหล่านี้ คุณต้องเปิดพร้อมท์คำสั่ง โดยใช้การยกระดับสิทธิ์ เมื่อต้องการทำเช่นนี้ คลิกเริ่มการทำงานคลิกขวาพร้อมรับคำสั่งแล้ว คลิกเรียกใช้ในฐานะผู้ดูแล.
  10. เพิ่มใบรับรองใหม่ HTTP.sys

    เมื่อต้องการทำเช่นนี้ พิมพ์คำสั่งต่อไปนี้ที่พร้อมท์รับคำสั่ง:
    netsh http เพิ่ม sslcert ipport = 0.0.0.0:443 certhash =xxxappid = certstorename {ba195980-cd49-458b-9e23-c84ee0adcd75 } = MY
    netsh http เพิ่ม sslcert ipport = [:]: 443 certhash =xxxappid = certstorename {ba195980-cd49-458b-9e23-c84ee0adcd75 } = MY
    หมายเหตุ:ในคำสั่งเหล่านี้xxxเป็นตัวยึดสำหรับแฮใบรับรอง SHA1 ของใบรับรองใหม่
  11. ยกเลิกเลือกคีย์รีจิสทรีแฮใบรับรองที่ใช้ โดยบริการ "สายงานการผลิตและ Remote Access" โดยให้ทำตามขั้นตอนต่อไปนี้:

    คำเตือนปัญหาร้ายแรงอาจเกิดขึ้นหากคุณปรับเปลี่ยนรีจิสทรีอย่างไม่ถูกต้อง โดยใช้ตัวแก้ไขรีจิสทรี หรือ โดยใช้วิธีอื่น คุณอาจต้องติดตั้งระบบปฏิบัติการใหม่เพื่อแก้ไขปัญหาเหล่านี้ Microsoft ไม่รับประกันว่าจะสามารถแก้ไขปัญหาได้ คุณต้องยอมรับความเสี่ยงด้วยตนเองในการปรับเปลี่ยนรีจิสทรี
    1. คลิกเริ่มการทำงานประเภท:regeditในการเริ่มการค้นหากล่อง แล้วคลิกregedit.exeในการโปรแกรมรายการ
    2. ค้นหาและคลิกที่คีย์ย่อยของรีจิสทรีต่อไปนี้::
      HKLM\System\CurrentControlSet\Services\Sstpsvc\Parameters\
    3. คลิกขวาในบานหน้าต่างรายละเอียด การSha256CertificateHashรายการ แล้วคลิกปรับเปลี่ยน.
    4. ในการข้อมูลค่า:กล่อง ชนิด0แล้ว คลิกตกลง.
    5. ออกจาก "ตัวแก้ไขรีจิสทรี"
  12. เริ่มต้นบริการ "สายงานการผลิตและ Remote Access" บริการ "สายงานการผลิตและ Remote Access" อ่านใบรับรองภายใน HTTP.sys และการตั้งค่าการ hashes ใบรับรองที่เหมาะสมสำหรับการตรวจสอบการรวมการเข้ารหัสลับแล้ว

คุณสมบัติ

หมายเลขบทความ (Article ID): 947027 - รีวิวครั้งสุดท้าย: 20 ตุลาคม 2553 - Revision: 2.0
ใช้กับ
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 for Itanium-Based Systems
  • Windows Server 2008 Standard
  • Windows Web Server 2008
  • Windows Vista Enterprise 64-bit edition
  • Windows Vista Enterprise
Keywords: 
kbregistry kbexpertiseadvanced kbhowto kbmt KB947027 KbMtth
แปลโดยคอมพิวเตอร์
ข้อมูลสำคัญ: บทความนี้แปลโดยซอฟต์แวร์การแปลด้วยคอมพิวเตอร์ของ Microsoft แทนที่จะเป็นนักแปลที่เป็นบุคคล Microsoft มีบทความที่แปลโดยนักแปลและบทความที่แปลด้วยคอมพิวเตอร์ เพื่อให้คุณสามารถเข้าถึงบทความทั้งหมดในฐานความรู้ของเรา ในภาษาของคุณเอง อย่างไรก็ตาม บทความที่แปลด้วยคอมพิวเตอร์นั้นอาจมีข้อบกพร่อง โดยอาจมีข้อผิดพลาดในคำศัพท์ รูปแบบการใช้ภาษาและไวยากรณ์ เช่นเดียวกับกรณีที่ชาวต่างชาติพูดผิดเมื่อพูดภาษาของคุณ Microsoft ไม่มีส่วนรับผิดชอบต่อความคลาดเคลื่อน ความผิดพลาดหรือความเสียหายที่เกิดจากการแปลเนื้อหาผิดพลาด หรือการใช้บทแปลของลูกค้า และ Microsoft มีการปรับปรุงซอฟต์แวร์การแปลด้วยคอมพิวเตอร์อยู่เป็นประจำ
ต่อไปนี้เป็นฉบับภาษาอังกฤษของบทความนี้:947027

ให้ข้อเสนอแนะ

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com