Cómo cambiar el certificado de equipo en un equipo basado en Windows Server 2008 que está ejecutando el servicio "Enrutamiento y acceso remoto" y SSTP

Este artículo describe una versión beta de un producto de Microsoft. La información de este artículo se proporciona como-es y está sujeta a cambios sin previo aviso.

No hay soporte técnico formal está disponible de Microsoft para este producto beta. Para obtener información acerca de cómo obtener soporte técnico para una versión beta, consulte la documentación que se incluye con los archivos del producto beta o visite el sitio Web donde descargó la versión.
Importante: Este artículo contiene información acerca de cómo modificar el registro. Asegúrese de hacer copia de seguridad del registro antes de modificarlo. Asegúrese de que sabe cómo restaurarlo si ocurre algún problema. Para obtener más información acerca de cómo hacer copia de seguridad, restaurar y modificar el registro, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
322756 cómo hacer copia de seguridad y restaurar el registro en Windows XP y Windows Vista

Resumen

En este artículo se describe cómo cambiar el certificado de equipo en un equipo basado en Windows Server 2008 que está ejecutando el servicio "Enrutamiento y acceso remoto" y el protocolo de túnel de sockets seguros (SSTP). El certificado de equipo es también conocido como certificado de máquina.

INTRODUCCIÓN

Protocolo de túnel de sockets seguros (SSTP) es una red privada virtual (VPN) nuevo túnel de protocolo que está disponible en el papel de "Enrutamiento y servicios de acceso remoto" en Windows Server 2008. El protocolo también está disponible para su uso en Windows Vista Service Pack 1 (SP1).

SSTP usa el protocolo HTTPS en el puerto TCP 443 para pasar el tráfico a través de firewalls y servidores proxy Web que podría bloquear de PPTP y L2TP/IPsec. SSTP proporciona un mecanismo para encapsular el tráfico PPP en el canal de Secure Sockets Layer (SSL) del protocolo HTTPS.

Más información

El servicio "Enrutamiento y acceso remoto" en Windows Server 2008, configura un certificado de equipo del almacén de certificados (también conocido como el almacén del equipo) en el archivo HTTP.sys para aceptar una conexión HTTPS. Este certificado de equipo también se envía al cliente durante la fase de negociación de Secure Sockets Layer (SSL).

Si usted, como administrador, ya ha instalado un certificado de equipo y ha configurado el servicio "Enrutamiento y acceso remoto", puede cambiar el certificado de equipo sin volver a configurar el servicio de "Enrutamiento y acceso remoto". En este artículo se describe cómo cambiar el certificado de equipo.

Componentes de fondo

En este escenario, hay tres componentes:

  • El certificado de equipo que se instala en el área de "cuenta de equipo" del almacén de certificados
  • El archivo HTTP.sys

    Nota: Este archivo es el componente de escucha HTTPS que cierra las conexiones VPN de HTTPS. HTTP.sys determina qué certificado de equipo que desea utilizar.

    Para ver la información del certificado de equipo, escriba el comando siguiente en el símbolo del sistema:
    netsh http mostrar sslcert
  • El servidor de "Enrutamiento y acceso remoto" que ejecuta HTTP.sys

    Nota: El servidor utiliza el valor de hash de certificado del certificado de equipo para su fase de validación de enlace de cifrado. Se trata de un paso adicional de seguridad para ayudar a comprobar que el cliente PPP y el cliente SSL se originan en el mismo equipo.

Cómo cambiar el certificado de equipo

Para cambiar el certificado de equipo, siga estos pasos en el servidor VPN:
  1. Determinar qué certificado de equipo está configurado para las conexiones VPN. Para ello, siga estos pasos:
    1. Determinar los enlaces de certificado SSL que utilizan HTTP.sys. Para ello, escriba el comando siguiente en el símbolo del sistema:

      netsh http mostrar sslcert
    2. Compruebe que aparece el identificador de aplicación siguientes:
      {ba195980-cd49-458b-9e23-c84ee0adcd75}
      Este enlace se agrega el servidor basado en SSTP "enrutamiento y acceso remoto".
    El comando muestra un certificado que está enlazado el agente de escucha de IP: Port 0.0.0.0:443 y un certificado que está enlazado a la sección [:]:: 443 escucha IP: Port. El valor de hash de certificado especifica el certificado que está realmente enlazado. Este valor es el hash SHA1 del certificado del certificado.
  2. Eliminar el certificado del almacén de certificados. Para ello, cree una nueva consola de Microsoft Management Console (MMC) y, a continuación, agregue el complemento certificados. Para ello, siga estos pasos:

    1. Haga clic en Inicio y, a continuación, haga clic en Ejecutar.
    2. Tipo de MMC. EXEy, a continuación, haga clic en Aceptar.
    3. En el menú archivo , haga clic en Agregar o quitar complemento.
    4. Seleccione certificadosy, a continuación, haga clic en Agregar.
    5. Seleccione la opción cuenta de equipo y, a continuación, haga clic en siguiente.
    6. Seleccione Equipo Localy, a continuación, haga clic en Finalizar.
    7. Haga clic en Aceptar.
  3. Expanda certificados (equipo Local)y, a continuación, haga clic en certificados. En el panel de detalles, se muestra una lista de certificados en el almacén.
  4. Haga doble clic en el certificado que desea enlazar con el agente de escucha SSTP. Éste es el certificado que tiene un nombre de sujeto que coincide con el nombre de host que se utiliza en la conexión VPN del cliente.
  5. Haga clic en la ficha Detalles . En el cuadro Mostrar , asegúrese de que está seleccionado todo .
  6. Compruebe que el valor para el campo Algoritmo de huella digital es sha1.
  7. Tenga en cuenta el valor del campo de huella digital . Compare este valor con el hash de certificado que se mostró cuando ejecutó el comando netsh .

    Los valores deben coincidir. Esto indica que el certificado correcto está enlazado a la escucha. Haga clic en el certificado y, a continuación, haga clic en Eliminar.
  8. Agregar el nuevo certificado al almacén de certificados.
  9. Eliminar el certificado de HTTP.sys. Para ello, escriba los comandos siguientes en el símbolo del sistema:

    netsh http delete sslcert ipport+Password = 0.0.0.0:443
    netsh http delete sslcert ipport+Password = [:]: 443
    Nota: Para ejecutar estos comandos, debe abrir el símbolo del sistema mediante permisos elevados. Para ello, haga clic en Inicio, haga clic en símbolo del sistemay, a continuación, haga clic en Ejecutar como administrador.
  10. Agregar el nuevo certificado a HTTP.sys.

    Para ello, escriba los comandos siguientes en el símbolo del sistema:

    netsh http agregar sslcert ipport+Password = 0.0.0.0:443 certhash =xxx appid = {ba195980-cd49-458b-9e23-c84ee0adcd75} certstorename = mi
    netsh http agregar sslcert ipport+Password = [:]: 443 certhash =xxx appid = {ba195980-cd49-458b-9e23-c84ee0adcd75} certstorename = mi
    Nota: En estos comandos, xxx es un marcador de posición para el hash SHA1 del certificado del nuevo certificado.
  11. Borra la clave de registro de hash de certificado que utiliza el servicio "Enrutamiento y acceso remoto". Para ello, siga estos pasos:

    Advertencia: pueden producirse problemas graves si modifica incorrectamente el registro mediante el Editor del registro o mediante cualquier otro método. Estos problemas pueden requerir que reinstale el sistema operativo. Microsoft no puede garantizar que estos problemas puedan resolverse. Modifique el registro bajo su propio riesgo.
    1. Haga clic en Inicio, escriba regedit en el cuadro Iniciar búsqueda y, a continuación, haga clic en regedit.exe en la lista de programas .
    2. Busque y, a continuación, haga clic en la subclave del registro siguiente:
      HKLM\System\CurrentControlSet\Services\Sstpsvc\Parameters\
    3. En el panel de detalles, haga clic en la entrada Sha256CertificateHash y, a continuación, haga clic en Modificar.
    4. En el cuadro información del valor , escriba 0 y a continuación, haga clic en Aceptar.
    5. Salga del Editor del Registro.
  12. Reinicie el servicio "Enrutamiento y acceso remoto". El servicio "Enrutamiento y acceso remoto" lee el certificado dentro de HTTP.sys y, a continuación, Establece los valores de hash de certificado adecuado para su validación de enlace de cifrado.
Propiedades

Id. de artículo: 947027 - Última revisión: 14 ene. 2017 - Revisión: 1

Comentarios