كيفية تغيير شهادة الكمبيوتر على جهاز كمبيوتر يستند إلى Windows Server 2008 الذي يقوم بتشغيل خدمة "التوجيه والوصول البعيد" و SSTP

تتناول هذه المقالة إصداراً تجريبيا لأحد منتجات Microsoft. يتم توفير المعلومات الموجودة في هذه المقالة هي عرضه للتغيير دون إشعار.

يتوفر أي دعم منتج رسمي من Microsoft لمنتج بيتا هذا. لمزيد من المعلومات حول كيفية الحصول على دعم لإصدار بيتا، راجع الوثائق المضمنة في ملفات منتج بيتا أو قم بزيارة موقع الويب الذي قمت بتنزيل الإصدار.
هام: تتضمن هذه المقالة معلومات حول كيفية تعديل التسجيل. تأكد من عمل نسخة احتياطية من التسجيل قبل تعديله. تأكد من معرفة كيفية استعادته في حالة حدوث مشكلة. لمزيد من المعلومات حول كيفية عمل نسخة احتياطية واستعادة وتعديل السجل، انقر فوق رقم المقالة التالي لعرضها في "قاعدة المعارف ل Microsoft":
322756 كيفية عمل نسخة احتياطية واستعادته في نظام التشغيل Windows XP ونظام التشغيل Windows Vista

ملخص

توضح هذه المقالة كيفية تغيير شهادة الكمبيوتر على جهاز كمبيوتر يستند إلى Windows Server 2008 الذي يقوم بتشغيل خدمة "التوجيه والوصول البعيد" وبروتوكول الاتصال النفقي مأخذ التوصيل الآمنة (SSTP). تعرف أيضا بشهادة الكمبيوتر شهادة جهاز.

مقدمة

هو بروتوكول الاتصال النفقي مأخذ التوصيل الآمنة (SSTP) جديد شبكة خاصة ظاهرية (VPN) أنفاق بروتوكول المتوفرة في دور "التوجيه وخدمات الوصول البعيد" في Windows Server 2008. البروتوكول أيضا متوفرة للاستخدام في Windows Vista Service Pack 1 (SP1).

يستخدم SSTP بروتوكول HTTPS عبر منفذ tcp رقم 443 لتمرير حركة المرور عبر جدران الحماية ومن خلال ملقمات الويب التي قد تؤدي إلى منع PPTP و L2TP/IPsec حركة المرور. SSTP يوفر إليه لتغليف حركة مرور PPP عبر قناة طبقة مأخذ التوصيل الآمنة (SSL) من بروتوكول HTTPS.

مزيد من المعلومات

تكوين خدمة "التوجيه والوصول البعيد" في Windows Server 2008 شهادة كمبيوتر من مخزن الشهادات (تعرف أيضا باسم مخزن الجهاز) في ملف HTTP.sys قبول اتصال HTTPS. هذه الشهادة على الكمبيوتر أيضا المرسلة إلى العميل أثناء مرحلة مفاوضة طبقة مأخذ التوصيل الآمنة (SSL).

إذا قمت، كمسؤول، بالفعل بتثبيت شهادة جهاز كمبيوتر وقمت بتكوين خدمة "التوجيه والوصول البعيد"، يمكنك تغيير شهادة الكمبيوتر دون الحاجة إلى إعادة تكوين خدمة "التوجيه والوصول البعيد". تتناول هذه المقالة كيفية تغيير شهادة الكمبيوتر.

مكونات الخلفية

هناك ثلاثة مكونات في هذا السيناريو:

  • شهادة الكمبيوتر المثبتة في مجال "حساب الكمبيوتر" مخزن الشهادات
  • الملف HTTP.sys

    ملاحظة: هذا الملف هو عنصر وحدة الإصغاء HTTPS إغلاق اتصالات HTTPS VPN. يحدد HTTP.sys أي شهادة الكمبيوتر لاستخدامها.

    لعرض معلومات شهادة الكمبيوتر، اكتب الأمر التالي في موجه الأوامر:
    سلسيرت إظهار http netsh
  • ملقم "التوجيه والوصول البعيد" الذي يقوم بتشغيل HTTP.sys

    ملاحظة: الملقم يستخدم تجزئة الشهادة شهادة الكمبيوتر لمرحلة التحقق الربط به. وتعد هذه خطوة أمنية إضافية المساعدة في التحقق من أن كل عميل PPP وعميل SSL تنشأ من نفس الكمبيوتر.

كيفية تغيير شهادة الكمبيوتر

لتغيير شهادة الكمبيوتر، اتبع الخطوات التالية على ملقم VPN:
  1. تحديد شهادة الكمبيوتر الذي تم تكوينه لاتصالات VPN. للقيام بذلك، اتبع الخطوات التالية:
    1. تحديد الروابط شهادة SSL التي يستخدمها HTTP.sys. للقيام بذلك، اكتب الأمر التالي في موجه الأوامر:

      سلسيرت إظهار http netsh
    2. تحقق من وجود "معرف التطبيق" التالية:
      {ba195980-cd49-458b-9e23-c84ee0adcd75}
      تتم إضافة هذا الربط بالخادم SSTP-تعتمد خدمة "التوجيه والوصول البعيد".
    يظهر الأمر شهادة ترتبط وحدة إصغاء 0.0.0.0: 443 IP:port وشهادة ترتبط [:]: الإصغاء 443 IP:port. تعين قيمة تجزئة الشهادة أي شهادة يرتبط فعلياً. هذه القيمة هي شهادة التجزئة SHA1 للشهادة.
  2. حذف الشهادة من مخزن الشهادات. للقيام بذلك، إنشاء وحدة التحكم بالإدارة ل Microsoft (MMC) جديد ثم قم بإضافة الأداة الإضافية "الشهادات". للقيام بذلك، اتبع الخطوات التالية:

    1. وانقر فوق ابدأ، ثم انقر فوق تشغيل.
    2. اكتب MMC. EXE، ثم انقر فوق موافق.
    3. من القائمة ملف ، انقر فوق إضافة/إزالة أداة إضافية.
    4. حدد الشهادات، ومن ثم انقر فوق إضافة.
    5. حدد الخيار حساب الكمبيوتر ومن ثم انقر فوق التالي.
    6. حدد الكمبيوتر المحلي، ومن ثم انقر فوق إنهاء.
    7. انقر فوق موافق.
  3. قم بتوسيع الشهادات (الكمبيوتر المحلي)ومن ثم انقر فوق الشهادات. يتم سرد قائمة بالشهادات في المخزن في جزء التفاصيل.
  4. انقر نقراً مزدوجاً فوق الشهادة التي تريد ربط وحدة إصغاء SSTP. هذه هي الشهادة له اسم موضوع مطابق لاسم المضيف الذي يستخدم في عميل اتصال VPN.
  5. انقر فوق علامة التبويب تفاصيل . في المربع إظهار ، تأكد من أن كافة محدداً.
  6. تحقق من أن قيمة الحقل خوارزمية بصمة الإبهام sha1.
  7. لاحظ قيمة حقل بصمة الإبهام . مقارنة هذه القيمة إلى تجزئة الشهادة التي تم سردها عندما قمت بتشغيل الأمر netsh .

    يجب أن تتطابق القيم. يشير هذا إلى أن الشهادة الصحيحة منضم إلى وحدة الإصغاء. انقر نقراً مزدوجاً فوق الشهادة، ومن ثم انقر فوق حذف.
  8. إضافة الشهادة الجديدة إلى مخزن الشهادات.
  9. حذف الشهادة من HTTP.sys. للقيام بذلك، اكتب الأوامر التالية في موجه الأوامر:

    إيبورت سلسيرت حذف http netsh = 0.0.0.0: 443
    netsh http حذف سلسيرت إيبورت = [:]: 443
    ملاحظة: لتشغيل هذه الأوامر، يجب فتح موجه الأوامر باستخدام أذونات نشطة. للقيام بذلك، انقر فوق ابدأزر الماوس الأيمن فوق موجه الأوامروانقر فوق تشغيل كمسؤول.
  10. إضافة شهادة جديدة إلى HTTP.sys.

    للقيام بذلك، اكتب الأوامر التالية في موجه الأوامر:

    إضافة netsh http إيبورت سلسيرت = 0.0.0.0: 443 تجزئة الشهادة =xxx appid = سيرتستورينامي {ba195980-cd49-458b-9e23-c84ee0adcd75} = MY
    إضافة netsh http إيبورت سلسيرت = [:]: 443 تجزئة الشهادة =xxx appid = سيرتستورينامي {ba195980-cd49-458b-9e23-c84ee0adcd75} = MY
    ملاحظة: في هذه الأوامر، xxx عنصر نائب لتجزئة الشهادة SHA1 لشهادة جديدة.
  11. قم بمسح مفتاح التسجيل تجزئة الشهادة المستخدمة من قبل خدمة "التوجيه والوصول البعيد". للقيام بذلك، اتبع الخطوات التالية:

    تحذير قد تحدث مشكلات خطيرة إذا قمت بتعديل التسجيل بشكل غير صحيح باستخدام "محرر التسجيل" أو باستخدام طريقة أخرى. قد تتطلب هذه المشكلات إعادة تثبيت نظام التشغيل. لا تضمن Microsoft أن تتمكن من حل هذه المشاكل. تعديل التسجيل على مسؤوليتك الشخصية.
    1. انقر فوق ابدأواكتب regedit في المربع بدء البحث ثم انقر فوق regedit.exe في قائمة البرامج .
    2. حدد موقع ومن ثم انقر فوق مفتاح التسجيل الفرعي التالي:
      HKLM\System\CurrentControlSet\Services\Sstpsvc\Parameters\
    3. في جزء التفاصيل، انقر نقراً مزدوجاً فوق إدخال Sha256CertificateHash ، ومن ثم انقر فوق تعديل.
    4. في المربع " بيانات القيمة "، اكتب 0ومن ثم انقر فوق موافق.
    5. اخرج من "محرر السجل".
  12. إعادة تشغيل خدمة "التوجيه والوصول البعيد". يقرأ الشهادة داخل HTTP.sys خدمة "التوجيه والوصول البعيد" وثم تعيين التجزئات الشهادة المناسبة للتحقق من صحة الربط به.
خصائص

رقم الموضوع: 947027 - آخر مراجعة: 14‏/01‏/2017 - المراجعة: 1

تعليقات