如何變更電腦憑證,在 Windows Server 2008 架構的電腦正在執行 「 路由及遠端存取 」 服務,並 SSTP 上

文章翻譯 文章翻譯
文章編號: 947027 - 檢視此文章適用的產品。
Beta 版資訊
本文將告訴您的 Microsoft 產品的 Beta 版。本文資訊提供來做-是,若有變更,恕不另行通知。

使用來自 Microsoft 這個 Beta 版產品沒有正式的產品支援。有關如何取得 Beta 版本支援的詳細資訊,請參閱隨附於 Beta 版產品檔案的文件或檢查下載此版本的 Web 位置。
重要本文包含有關如何修改登錄的資訊。請確定您在修改之前備份登錄。如果發生問題,請確定您知道如何還原登錄。如何備份、 還原,及修改登錄的相關資訊,請按一下下列的文件編號,檢視 Microsoft 知識庫中的文件:
322756如何備份和還原 Windows XP 和 Windows Vista 中登錄
全部展開 | 全部摺疊

在此頁中

結論

本文將告訴您,如何變更電腦憑證,在 Windows Server 2008 架構的電腦正在執行 「 路由及遠端存取 」 服務及安全通訊端通道通訊協定 (SSTP) 上。電腦憑證是也稱為機器憑證。

簡介

安全通訊端通道通訊協定 (SSTP) 是新虛擬私人網路 (VPN) 通道在 Windows Server 2008 中的 「 路由及遠端存取服務 」 角色中可用的通訊協定。通訊協定也是可在 Windows Vista Service Pack 1 (SP1) 中使用。

SSTP TCP 連接埠 443 上使用 HTTPS 通訊協定,以傳遞流量通過防火牆和透過 Web Proxy,可能會封鎖 PPTP 和 L2TP/IPsec 傳輸。SSTP 提供一種機制,來封裝透過 HTTPS 通訊協定的 [安全通訊端層 (SSL) 通道 PPP 流量。

其他相關資訊

「 路由及遠端存取 」 服務在 Windows Server 2008 中的,接受 HTTPS 連線 HTTP.sys 檔中設定電腦憑證從憑證存放區 (也稱為電腦存放區)。在安全通訊端層 (SSL) 交涉階段期間,這個電腦憑證也會傳送到用戶端。

如果您以系統管理員已經安裝電腦憑證,而且已設定路由及遠端存取] 服務,您可以變更電腦憑證,而無需重新設定 「 路由及遠端存取 」 服務。本文將告訴您,如何變更電腦憑證。

背景元件

在這種情況下有三個元件:
  • 電腦憑證安裝在 「 電腦帳戶 」 區域的憑證存放區中
  • HTTP.sys 檔案

    附註這個檔案是 HTTPS 接聽項元件,會關閉 HTTPS VPN 連線。HTTP.sys 會決定要使用哪一種電腦憑證。

    若要檢視電腦憑證資訊,請在命令提示字元中輸入下列命令:
    netsh http 顯示 sslcert
  • 路由及遠端存取] 伺服器所執行 HTTP.sys

    附註伺服器會使用電腦憑證的憑證雜湊為其加密繫結驗證階段。這是額外的安全性的步驟,可幫助您檢查 PPP 用戶端和 SSL 用戶端來自同一部電腦。

如何變更電腦憑證

若要將電腦憑證請 VPN 伺服器上依照下列步驟執行:
  1. 決定哪些電腦憑證設定 VPN 連線這部分。要這麼做,請您執行下列步驟:
    1. 判斷 HTTP.sys 所使用的 SSL 憑證繫結。如果要執行這項操作,請在命令提示字元輸入下列命令:
      netsh http 顯示 sslcert
    2. 確認列出了下列的應用程式識別碼:
      {ba195980-cd49-458b-9e23-} c84ee0adcd75
      SSTP 架構路由及遠端存取] 伺服器新增此繫結。
    此命令會顯示繫結至 0.0.0.0:443 IP:port 接聽程式的憑證和繫結至 [::] 的憑證:: 443 IP:port 接聽程式。憑證雜湊值會指定哪些憑證實際上繫結。這個值是將憑證之 SHA1 憑證雜湊。
  2. 從憑證存放區刪除憑證。執行這項操作,建立一個新 Microsoft 管理主控台 (MMC),然後加入 [憑證] 嵌入式管理單元。要這麼做,請您執行下列步驟:
    1. 按一下 [開始],然後按一下 [執行]。
    2. 輸入 MMC.EXE,然後按一下 [確定]
    3. 按一下 [自動顯示在 [檔案] 功能表上的 [新增/移除嵌入式管理單元]。
    4. 選取 [憑證,然後按一下 [新增]。
    5. 選取 的電腦帳戶] 選項,然後按一下 [下一步]。
    6. 選取 [本機電腦,然後按一下 [完成]
    7. 按一下 [確定]
  3. 展開 [憑證 (本機電腦),然後按一下 [憑證]。憑證存放區中的清單會列在詳細資料窗格中。
  4. 連按兩下您要繫結至 SSTP 接聽程式的憑證。這是具有符合主機名稱中用戶端 VPN 連線所使用的主旨名稱的憑證。
  5. 按一下 [詳細資料] 索引標籤。在 [顯示] 方塊請確定 所有 已選取。
  6. 請確認 [指紋演算法] 欄位的值是 sha1
  7. 記下 指紋 欄位的值。比較這個值可以執行 netsh 命令時已列出的憑證雜湊。

    值應該相符。這表示正確的憑證繫結至接聽程式。 憑證] 上按一下滑鼠右鍵,然後按一下 [刪除]。
  8. 將新的憑證加入憑證存放區。
  9. 從 HTTP.sys 刪除憑證。要執行此動作輸入 [在命令提示字元中的 [下列的命令]:
    netsh http 刪除 sslcert ipport = 0.0.0.0:443
    netsh http 刪除 sslcert ipport = [::]: 443
    附註若要執行這些指令,您必須使用更高的權限開啟命令提示字元。如果要執行這項操作,按一下 [開始],以滑鼠右鍵按一下 命令提示字元],然後再按一下 [以系統管理員身分執行]
  10. 將新的憑證新增到 HTTP.sys。

    要執行此動作輸入 [在命令提示字元中的 [下列的命令]:
    netsh http 新增 sslcert ipport = 0.0.0.0:443 certhash = xxx AppID = {ba195980-cd49-458b-9e23-c84ee0adcd75} certstorename = 我
    netsh http 新增 sslcert ipport = [::]: 443 certhash = xxx AppID = {ba195980-cd49-458b-9e23-c84ee0adcd75} certstorename = 我
    附註在這些命令 xxx 是的新憑證之 SHA1 憑證雜湊的預留位置。
  11. 清除憑證雜湊登錄機碼所用的 「 路由及遠端存取 」 服務。 要這麼做,請您執行下列步驟。

    警告如果您修改登錄不當使用 「 登錄編輯程式 」,或使用另一個方法,可能會發生嚴重的問題。這些問題可能需要重新安裝作業系統。Microsoft 無法保證可以解決這些問題。您必須自己承擔修改登錄所造成的風險。
    1. 按一下 [開始],並在 [開始搜尋] 方塊中輸入 regedit 然後按一下 [程式集] 清單中的 regedit.exe]。
    2. 找出並點選下列登錄子機碼:
      HKLM\System\CurrentControlSet\Services\Sstpsvc\Parameters\
    3. 在詳細資料] 窗格中 Sha256CertificateHash] 項目上按一下滑鼠右鍵,然後按一下 [修改]。
    4. 數值資料] 方塊中鍵入 0,再按 [確定]
    5. 結束登錄編輯程式。
  12. 重新啟動 「 路由及遠端存取 」 服務。「 路由及遠端存取 」 服務會讀取 HTTP.sys 內部憑證,並設定其加密繫結驗證適當的憑證雜湊。

屬性

文章編號: 947027 - 上次校閱: 2008年1月30日 - 版次: 1.2
這篇文章中的資訊適用於:
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 for Itanium-Based Systems
  • Windows Server 2008 Standard
  • Windows Web Server 2008
  • Windows Vista 商用進階 64 位元版
  • Windows Vista 商用進階版
關鍵字:?
kbmt kbregistry kbexpertiseadvanced kbhowto KB947027 KbMtzh
機器翻譯
重要:本文是以 Microsoft 機器翻譯軟體翻譯而成,而非使用人工翻譯而成。Microsoft 同時提供使用者人工翻譯及機器翻譯兩個版本的文章,讓使用者可以依其使用語言使用知識庫中的所有文章。但是,機器翻譯的文章可能不盡完美。這些文章中也可能出現拼字、語意或文法上的錯誤,就像外國人在使用本國語言時可能發生的錯誤。Microsoft 不為內容的翻譯錯誤或客戶對該內容的使用所產生的任何錯誤或損害負責。Microsoft也同時將不斷地就機器翻譯軟體進行更新。
按一下這裡查看此文章的英文版本:947027
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。

提供意見

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com