Select the product you need help with

如何更改正在运行"路由和远程访问"服务和 SSTP 的基于 Windows Server 2008 的计算机上的计算机证书

测试版信息

本文讨论了 Microsoft 产品的试用版。在本文中提供信息，作为-是，可能会有所更改，恕不另行通知。

可从 Microsoft 此测试版产品的正式的产品支持。有关如何获取对 beta 版本的支持的请参见测试版的产品文件附带的文档，或到您下载该版本的 Web 位置查看。

重要本文包含有关如何修改注册表的信息。请确保您对其进行修改之前备份注册表。请确保您知道如何还原注册表发生问题。有关如何备份、还原，以及修改注册表的详细信息，请单击下面的文章编号，以查看 Microsoft 知识库中相应的文章：

322756

(http://support.microsoft.com/kb/322756/ )

如何备份和还原注册表中 Windows XP 和 Windows Vista

展开全部 | 关闭全部

概要

本文介绍如何更改正在运行"路由和远程访问"服务和安全套接字隧道协议 (SSTP) 的基于 Windows Server 2008 的计算机上的计算机证书。计算机证书是也称为机器证书。

回到顶端 | 提供反馈

安全套接字隧道协议 (SSTP) 是一个新虚拟专用网络 (VPN) 隧道是 Windows Server 2008 中的"路由和远程访问服务"角色中可用的协议。也可在 Windows Vista Service Pack 1 (SP1) 中使用该协议。

SSTP 传递通信通过防火墙和通过 Web 代理的可能阻止 PPTP 和 l2tp/ipsec 通信使用 TCP 端口 443 上的 HTTPS 协议。SSTP 提供了一种机制，来封装通过安全套接字层 (SSL) 通道的 HTTPS 协议的 PPP 通信。

回到顶端 | 提供反馈

更多信息

"路由和远程访问"服务，Windows Server 2008 中的接受 HTTPS 连接 HTTP.sys 文件中配置计算机证书从证书存储区（也称为计算机存储区）。此计算机证书也在安全套接字层 (SSL) 协商阶段发送到客户端。

如果您以管理员身份，已经安装了计算机证书，并已配置"路由和远程访问"服务，您可以更改计算机证书，而无须重新配置"路由和远程访问"服务。本文讨论如何更改计算机的证书。

背景组件

在这种情况下有三个组件：

安装在证书存储区的"计算机帐户"区域中的计算机证书
HTTP.sys 文件

注意此文件是关闭的 HTTPS VPN 连接将 HTTPS 侦听器组件。HTTP.sys 将确定要使用的计算机证书。

若要访问计算机证书信息命令提示符下键入以下命令：
netsh http 显示 sslcert
运行 HTTP.sys 在路由和远程访问服务器

注意服务器为其加密绑定验证阶段使用计算机证书的证书哈希值。这是一个额外的安全步骤来帮助验证 PPP 客户端和 SSL 客户端都源自在同一台计算机。

如何更改计算机的证书

若要将计算机证书请 VPN 服务器上按照下列步骤操作：

确定哪些计算机证书配置为 VPN 连接。若要这样做，请按照下列步骤操作：
1. 确定所使用的 HTTP.sys SSL 证书绑定。若要执行此操作命令提示符下键入以下命令：
  netsh http 显示 sslcert
2. 验证列出了以下应用程序 ID：
  {ba195980-cd49-458b-9e23-} c84ee0adcd75
  该绑定添加由 SSTP 基于路由和远程访问服务器。
该命令显示绑定到 0.0.0.0:443 IP:port 侦听器的证书和证书绑定到 [:]:: 443 IP:port 侦听器。证书哈希值指定实际绑定的证书。此值是证书的 SHA1 证书哈希。
从证书存储区删除证书。若要执行此操作，则创建一个新 Microsoft 管理控制台 (MMC)，然后添加证书管理单元。若要这样做，请按照下列步骤操作：
1. 单击开始，然后单击运行。
2. 键入 MMC.EXE，然后单击确定。
3. 在文件菜单上单击 添加/删除管理单元。
4. 选择证书，然后单击添加。
5. 选择 计算机帐户 选项，然后单击 下一步。
6. 选择 本地计算机，然后单击完成。
7. 单击确定。
展开 证书（本地计算机)，然后单击证书。在详细信息窗格中列出的证书存储区中的列表。
双击您要绑定到 SSTP 侦听器的证书。这是具有一个使用者名称与在客户端的 VPN 连接中使用的主机名称相匹配的证书。
单击 详细信息 选项卡。显示框中请确保选中了全部。
验证 指纹算法 字段的值是 sha1。
请注意指纹字段的值。此值在运行 使用 netsh 命令时已列出的证书哈希进行比较。

值应匹配。这表明了正确的证书被绑定到该侦听器。用鼠标右键单击该的证书，然后单击删除。
将新的证书添加到证书存储区。
HTTP.sys 中删除证书。若要执行此操作命令提示符下键入以下命令：
netsh http 删除 sslcert ipport = 0.0.0.0:443
netsh http 删除 sslcert ipport = [:]: 443
注意若要进行这些命令，您必须打开命令提示符下使用提升的权限。若要执行此操作单击开始，右键单击 命令提示符，然后单击 以管理员身份运行。
将新的证书添加到 HTTP.sys。

若要执行此操作命令提示符下键入以下命令：
netsh http 添加 sslcert ipport = 0.0.0.0:443 certhash = xxx appid = {ba195980-cd49-458b-9e23-c84ee0adcd75} certstorename = MY
netsh http 添加 sslcert ipport = [:]: 443 certhash = xxx appid = {ba195980-cd49-458b-9e23-c84ee0adcd75} certstorename = MY
注意在以下的命令 xxx 是证书的新的 SHA1 证书哈希的占位符。
清除"路由和远程访问"服务使用该证书哈希注册表项。若要这样做，请按照下列步骤。

警告如果您修改注册表错误地使用注册表编辑器或使用另一种方法，则可能会出现严重问题。这些问题可能需要重新安装操作系统。Microsoft 不能保证可以解决这些问题。修改注册表的风险由您自己承担。
1. 单击开始，在 开始搜索 框中键入 regedit，然后单击程序列表中的 regedit.exe。
2. 找到并单击以下注册表子项：
  HKLM\System\CurrentControlSet\Services\Sstpsvc\Parameters\
3. 在详细信息窗格中用鼠标右键单击 Sha256CertificateHash 项，然后单击修改。
4. 在 数值数据 框中键入 0，然后单击确定。
5. 退出注册表编辑器。
重新启动"路由和远程访问"服务。"路由和远程访问"服务读取 HTTP.sys 内部证书，并设置其加密绑定验证的合适的证书哈希值。

回到顶端 | 提供反馈

属性

文章编号: 947027 - 最后修改: 2008年1月30日 - 修订: 1.2

这篇文章中的信息适用于:

Windows Server 2008 Datacenter
Windows Server 2008 Enterprise
Windows Server 2008 for Itanium-Based Systems
Windows Server 2008 Standard
Windows Web Server 2008
Windows Vista Enterprise 64-bit edition
Windows Vista Enterprise

kbmt kbregistry kbexpertiseadvanced kbhowto KB947027 KbMtzh

机器翻译

注意：这篇文章是由无人工介入的微软自动的机器翻译软件翻译完成。微软很高兴能同时提供给您由人工翻译的和由机器翻译的文章, 以使您能使用您的语言访问所有的知识库文章。然而由机器翻译的文章并不总是完美的。它可能存在词汇，语法或文法的问题，就像是一个外国人在说中文时总是可能犯这样的错误。虽然我们经常升级机器翻译软件以提高翻译质量，但是我们不保证机器翻译的正确度，也不对由于内容的误译或者客户对它的错误使用所引起的任何直接的, 或间接的可能的问题负责。

点击这里察看该文章的英文版： 947027

(http://support.microsoft.com/kb/947027/en-us/ )

Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性，不作任何声明。所有该等文件及有关图形均"依样"提供，而不带任何性质的保证。Microsoft和/或其各供应商特此声明，对所有与该等信息有关的保证和条件不负任何责任，该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下，在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中，Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。

回到顶端 | 提供反馈