[ルーティングとリモート アクセス] サービスおよび SSTP を実行している Windows Server 2008 ベースのコンピューターのコンピューター証明書を変更する方法

この資料では、マイクロソフト製品のベータ版について説明します。としてこの資料の情報が提供されているは、事前の通知なく変更されることです。

正式な製品サポートは、このベータ版製品はマイクロソフトから入手可能ではありません。ベータ版のサポートを入手する方法の詳細については、製品のベータ版のファイルに含まれているマニュアルを参照してくださいまたはリリースをダウンロードした Web の場所を確認します。
重要 この資料には、レジストリを変更する方法に関する情報が含まれています。変更する前に、レジストリをバックアップすることを確認します。問題が発生した場合にレジストリを復元する方法を必ず知っておいてください。バックアップ、復元、およびレジストリを変更する方法の詳細については、次の文書番号をクリックして、マイクロソフト サポート技術資料を参照してください。
322756の方法をバックアップし、Windows XP と Windows Vista のレジストリを復元するには

概要

この資料では、[ルーティングとリモート アクセス] サービスとセキュリティで保護されたソケット トンネリング プロトコル (SSTP) を実行している Windows Server 2008 ベースのコンピューターのコンピューター証明書を変更する方法について説明します。コンピューター証明書は、コンピューター証明書とも呼ばれます。

はじめに

セキュリティで保護されたソケット トンネリング プロトコル (SSTP) は、新しい仮想プライベート ネットワーク (VPN) トンネリングは、Windows Server 2008 で [ルーティングとリモート Access Services」の役割で使用されるプロトコルです。プロトコルは、Windows Vista Service Pack 1 (SP1) で使用可能なもあります。

SSTP では、TCP ポート 443 経由で HTTPS プロトコルを使用して、トラフィックがファイアウォールを経由して PPTP を妨げる可能性がある Web プロキシを経由し、L2TP と IPsec トラフィックを渡します。SSTP では、HTTPS プロトコルの Secure Sockets Layer (SSL) チャネルを介した PPP トラフィックをカプセル化するためのメカニズムを提供します。

詳細

Windows Server 2008 で [ルーティングとリモート アクセス] サービスは、HTTPS 接続を受け入れるように HTTP.sys ファイル (コンピューター ストアとも呼ばれます) の証明書ストアからコンピューター証明書を構成します。このコンピューターの証明書は、Secure Sockets Layer (SSL) のネゴシエーション フェーズ中に、クライアントにも送信されます。

、管理者は、コンピューター証明書を既にインストールするいるし、[ルーティングとリモート アクセス] サービスを構成して、[ルーティングとリモート アクセス] サービスを再構成することがなくコンピューターの証明書を変更します。この資料では、コンピューター証明書を変更する方法について説明します。

背景コンポーネント

このシナリオでは、3 つのコンポーネントがあります。

  • コンピューター証明書の証明書ストアの [コンピューター アカウント] 領域にインストールされています。
  • HTTP.sys ファイル

    注: このファイルは、HTTPS の VPN 接続を終了する HTTPS リスナー コンポーネントです。HTTP.sys は、使用するコンピューター証明書を決定します。

    コンピューター証明書の情報を表示するには、コマンド プロンプトで次のコマンドを入力します。
    netsh http 表示 sslcert
  • HTTP.sys を実行する「ルーティングとリモート アクセス」サーバー

    注: サーバーは、その暗号バインディング検証フェーズのコンピューター証明書の証明書のハッシュを使用します。これは、PPP クライアントと SSL クライアントの両方が同じコンピューターから発信されるかを確認するために余分なセキュリティ手順です。

コンピューター証明書を変更する方法

コンピューター証明書を変更するには、VPN サーバー上で以下の手順をします。
  1. VPN 接続に対するコンピューター証明書が構成されているを確認します。これを行うには、以下の手順を実行します。
    1. HTTP.sys で使用されている SSL 証明書のバインドを確認します。これを行うには、コマンド プロンプトで次のコマンドを入力します。

      netsh http 表示 sslcert
    2. 次のアプリケーション ID が表示されていることを確認します。
      {ba195980-cd49-458b-9e23-c84ee0adcd75}
      このバインディングは、SSTP ベース「ルーティングとリモート アクセス」サーバーによって追加されます。
    0.0.0.0:443 実質リスナーにバインドされている証明書と証明書 [:] にバインドされているコマンドを示しています:: 443 IP:port リスナーです。証明書のハッシュ値は、どの証明書が実際にバインドされているを指定します。この値は、証明書の SHA1 証明書ハッシュです。
  2. 証明書ストアから証明書を削除します。これを行うには、作成、新しい Microsoft 管理コンソール (MMC)、および証明書スナップインを追加し、します。これを行うには、以下の手順を実行します。

    1. [スタート] をクリックし、[ファイル名を指定して実行] をクリックします。
    2. MMC を入力します。EXE、し、[ OK] をクリックします。
    3. [ファイル] メニューの [スナップインの追加と削除] をクリックします。
    4. 証明書を選択し、[追加] をクリックします。
    5. [コンピューター アカウント] オプションを選択し、[次へ] をクリックします。
    6. ローカル コンピューター] を選択し、し、[完了] をクリックします。
    7. [OK] をクリックします。
  3. [証明書 (ローカル コンピューター)を展開し、し、[証明書] をクリックします。ストア内の証明書の一覧は、詳細ペインに表示されます。
  4. SSTP リスナーにバインドする証明書をダブルクリックします。これは、クライアントの VPN 接続で使用されているホスト名と一致するサブジェクト名を持つ証明書です。
  5. [詳細] タブをクリックします。[表示] ボックスで、すべてが選択されているを確認します。
  6. 拇印アルゴリズム] フィールドの値がsha1であることを確認します。
  7. 拇印フィールドの値に注意してください。このnetshコマンドを実行したときに一覧表示された証明書のハッシュ値を比較します。

    値が一致する必要があります。これは、適切な証明書がリスナーにバインドされていることを示します。証明書を右クリックし、し、[削除] をクリックします。
  8. 証明書ストアに新しい証明書を追加します。
  9. HTTP.sys から証明書を削除します。これを行うには、コマンド プロンプトで次のコマンドを入力します。

    netsh http delete の sslcert ipport = 0.0.0.0:443
    netsh http delete の sslcert ipport = [:]: 443
    注: これらのコマンドを実行するには、昇格されたアクセス許可を使用してコマンド プロンプトを開く必要があります。これを行うには、[スタート] ボタンを選択し、コマンド プロンプトを右クリックし、[管理者として実行] をクリックします。
  10. HTTP.sys には、新しい証明書を追加します。

    これを行うには、コマンド プロンプトで次のコマンドを入力します。

    netsh の http の追加 sslcert ipport = 0.0.0.0:443 certhash =xxxの appid = {ba195980-cd49-458b-9e23-c84ee0adcd75} certstorename = MY
    netsh の http の追加 sslcert ipport = [:]: 443 certhash =xxxの appid = {ba195980-cd49-458b-9e23-c84ee0adcd75} certstorename = MY
    注: これらのコマンドでは、 xxxは新しい証明書の SHA1 証明書ハッシュのプレース ホルダーです。
  11. [ルーティングとリモート アクセス] サービスによって使用される証明書ハッシュ レジストリ キーをオフにします。そのためには、以下の手順を実行します。

    警告: [レジストリ エディタ] または別の方法を使用してレジストリを誤って修正すると、深刻な問題が発生することがあります。これらの問題は、オペレーティング システムを再インストールする必要があります。マイクロソフトは、これらの問題を解決できることを保証することはできません。自己の責任においてレジストリを変更してください。
    1. [スタート] ボタン、検索の開始ボックスで、 regeditと入力して、[プログラム] の一覧では、 regedit.exe ] をクリックします。
    2. 次のレジストリ サブキーを見つけてクリックします。
      HKLM\System\CurrentControlSet\Services\Sstpsvc\Parameters\
    3. 詳細ペインでSha256CertificateHashエントリを右クリックし、変更] をクリックします。
    4. [値のデータ] ボックスに「0」と入力し、[OK] をクリックします。
    5. レジストリ エディターを終了します。
  12. [ルーティングとリモート アクセス] サービスを再起動します。「ルーティングとリモート アクセス」サービス HTTP.sys 内の証明書を読み込んで、その暗号バインディング検証のための適切な証明書のハッシュを設定します。
プロパティ

文書番号:947027 - 最終更新日: 2017/02/02 - リビジョン: 1

フィードバック