SSTP 및 "라우팅 및 원격 액세스" 서비스 실행 하는 Windows Server 2008 기반 컴퓨터에 컴퓨터 인증서를 변경 하는 방법

Microsoft 제품의 베타 릴리스에 대해 설명 합니다. 이 문서에 대 한 정보를 제공-이며 사전 통보 없이 변경 될 수 있습니다.

공식 제품 지원 되지 않습니다이 베타 제품은 Microsoft에서 제공 됩니다. 베타 릴리스 지원을 얻는 방법에 대 한 내용은 베타 제품 파일에 포함 되어 있는 설명서를 참조 하거나 릴리스를 다운로드 한 웹 위치를 확인 합니다.
중요: 이 문서에는 레지스트리 수정 방법에 대한 정보가 있습니다. 수정하기 전에 레지스트리를 백업해야 합니다. 문제가 발생할 경우 레지스트리를 복원하는 방법을 알고 있는지 확인하십시오. 백업, 복원 및 레지스트리 수정 방법에 대한 자세한 내용은 Microsoft 기술 자료의 다음 문서 번호를 클릭합니다.
322756 백업 및 Windows XP와 Windows Vista에서 레지스트리를 복원 하는 방법

요약

보안 소켓 터널링 프로토콜 (SSTP) 및 "라우팅 및 원격 액세스" 서비스 실행 하는 Windows Server 2008 기반 컴퓨터에 컴퓨터 인증서를 변경 하는 방법을 설명 합니다. 컴퓨터 인증서는 컴퓨터 인증서를 라고도 합니다.

소개

보안 소켓 터널링 프로토콜 (SSTP) 새 가상 개인 네트워크 (VPN) 터널링 "라우팅 및 원격 Access Services" 역할을 Windows Server 2008에서 사용할 수 있는 프로토콜입니다. 프로토콜은 Windows Vista 서비스 팩 1 (SP1)에서 사용 하기 위해 사용할 수도 있습니다.

SSTP은 트래픽이 방화벽을 통해 PPTP를 차단할 수 있는 웹 프록시를 통해 및 L2TP/IPsec 트래픽을 전달할 TCP 포트 443 통해 HTTPS 프로토콜을 사용 합니다. SSTP는 HTTPS 프로토콜의 Secure Sockets Layer (SSL) 채널을 통해 PPP 트래픽을 캡슐화 하는 메커니즘을 제공 합니다.

자세한 내용

Windows Server 2008의 "라우팅 및 원격 액세스" 서비스를 HTTPS 연결을 허용 하도록 HTTP.sys 파일의 컴퓨터 (컴퓨터 저장소 라고도 함) 인증서 저장소에서 인증서를 구성 합니다. 이 컴퓨터의 인증서도 Secure Sockets Layer (SSL) 협상 단계에서 클라이언트에 게 전송 됩니다.

컴퓨터 인증서를 설치 하면 관리자 "라우팅 및 원격 액세스" 서비스를 구성한 경우에 "라우팅 및 원격 액세스" 서비스를 다시 구성 하지 않고 컴퓨터 인증서를 변경할 수 있습니다. 컴퓨터 인증서를 변경 하는 방법을 설명 합니다.

배경 구성

이 시나리오에서는 구성 요소가 세 가지가 있습니다.

  • "컴퓨터 계정" 영역의 인증서 저장소에 설치 된 컴퓨터 인증서
  • HTTP.sys 파일

    참고: 이 파일은 HTTPS 수신기 구성 요소를 HTTPS VPN 연결을 닫습니다. HTTP.sys에 컴퓨터 인증서를 사용 하 여 결정 합니다.

    컴퓨터 인증서 정보를 보려면 명령 프롬프트에서 다음 명령을 입력 합니다.
    netsh http 쇼 sslcert
  • HTTP.sys를 실행 하는 "라우팅 및 원격 액세스" 서버

    참고: 서버는 컴퓨터 인증서의 인증서 해시를 해당 암호화 바인딩 유효성 검사 단계를 사용합니다. 이 PPP 클라이언트와 SSL 클라이언트가 동일한 컴퓨터에서 발생 하는 확인 하기 추가 보안 단계입니다.

컴퓨터 인증서를 변경 하는 방법

컴퓨터 인증서를 변경 하려면 VPN 서버에서 다음과이 같이 하십시오.
  1. 컴퓨터 인증서는 VPN 연결에 대해 구성 된 확인 합니다. 이렇게 하려면, 다음 단계를 수행하십시오.
    1. HTTP.sys에서 사용 되는 SSL 인증서 바인딩을 결정 합니다. 이렇게 하려면 명령 프롬프트에서 다음 명령을 입력 합니다.

      netsh http 쇼 sslcert
    2. 다음과 같은 응용 프로그램 ID 나열 되어 있는지 확인 하십시오.
      {ba195980-cd49-458b-9e23-c84ee0adcd75}
      이 바인딩 SSTP 기반 라우팅 및 원격 액세스 "" 서버에서 추가 됩니다.
    명령을 보여 0.0.0.0:443 ip: port 수신기 바인딩되는 인증서 및 [::] 바인딩되는 인증서를:: 443 ip: port 수신기. 인증서 실제로 바인딩된 인증서 해시 값을 지정 합니다. 이 값은 인증서의 SHA1 인증서 해시가 있습니다.
  2. 인증서 저장소에서 인증서를 삭제 합니다. 이렇게 하려면 새 Microsoft 관리 콘솔 (MMC)를 만들고 인증서 스냅인을 추가 합니다. 이렇게 하려면, 다음 단계를 수행하십시오.

    1. 시작을 클릭한 다음, 실행을 클릭합니다.
    2. MMC를 입력 합니다. EXE을 선택한 다음 확인을 누릅니다.
    3. 파일 메뉴에서 스냅인 추가/제거를클릭 합니다.
    4. 인증서를 선택한 다음 추가클릭 합니다.
    5. 컴퓨터 계정 옵션을 선택한 후 다음을 클릭 합니다.
    6. 로컬 컴퓨터선택한 다음 마침을 클릭 합니다.
    7. 확인을 클릭합니다.
  3. 인증서 (로컬 컴퓨터)확장 한 다음 인증서를 클릭 합니다. 저장소에 있는 인증서의 목록이 세부 정보 창에 나열 됩니다.
  4. SSTP 수신기 바인딩할 인증서를 두 번 클릭 합니다. 클라이언트 VPN 연결에에서 사용 되는 호스트 이름과 일치 하는 주체 이름을 가진 인증서입니다.
  5. 자세히 탭을 클릭 합니다. 표시 상자에서 모두 가 선택 되어 있는지 확인 합니다.
  6. 손도장 알고리즘 필드의 값이 sha1확인 하십시오.
  7. 지문 필드의 값을 note입니다. Netsh 명령을 실행 하면 나열 된 인증서 해시가이 값을 비교 합니다.

    값이 일치 해야 합니다. 이 수신기에 올바른 인증서가 바인딩되어 있음을 나타냅니다. 인증서를 마우스 오른쪽 단추로 클릭 한 다음 삭제를 클릭 합니다.
  8. 새 인증서를 인증서 저장소에 추가 합니다.
  9. HTTP.sys에서 해당 인증서를 삭제 합니다. 이렇게 하려면 명령 프롬프트에서 다음 명령을 입력 합니다.

    netsh http delete sslcert ipport = 0.0.0.0:443
    netsh http delete sslcert ipport = [:]: 443
    참고: 이러한 명령을 실행 하려면 상승 된 권한을 사용 하 여 명령 프롬프트 열어야 합니다. 이렇게 하려면 시작을 클릭 하 고 명령 프롬프트마우스 오른쪽 단추로 클릭 관리자 권한으로 실행을 클릭 합니다.
  10. HTTP.sys에 새 인증서를 추가 합니다.

    이렇게 하려면 명령 프롬프트에서 다음 명령을 입력 합니다.

    netsh http 추가 sslcert ipport 0.0.0.0:443 certhash =xxx appid = {ba195980-cd49-458b-9e23-c84ee0adcd75} certstorename = MY =
    netsh http 추가 sslcert ipport = [:]: 443 certhashxxx appid = {ba195980-cd49-458b-9e23-c84ee0adcd75} certstorename = MY =
    참고: 이 명령에서 xxx 새 인증서의 SHA1 인증서 해시 자리 표시자입니다.
  11. "라우팅 및 원격 액세스" 서비스에서 사용 되는 인증서 해시 레지스트리 키를 지웁니다. 이렇게 하려면, 다음 단계를 수행하십시오.

    경고 레지스트리 편집기를 사용하거나 다른 방법을 사용하여 레지스트리를 잘못 수정하면 심각한 문제가 발생할 수 있습니다. 이러한 문제는 운영 체제를 다시 설치해야 할 수도 있습니다. Microsoft는 이러한 문제에 대한 해결책을 보장할 수 없습니다. 사용자는 스스로 위험을 감수하고 레지스트리를 수정해야 합니다.
    1. 시작, 검색 시작 상자에 regedit 를 입력 한 다음 프로그램 목록에서 regedit.exe 누릅니다.
    2. 다음 레지스트리 하위키를 찾아 클릭합니다.
      HKLM\System\CurrentControlSet\Services\Sstpsvc\Parameters\
    3. 세부 정보 창에서 Sha256CertificateHash 항목을 마우스 오른쪽 단추로 클릭 한 다음 수정을 클릭 합니다.
    4. 값 데이터 상자에 0입력 한 다음 확인을 클릭 합니다.
    5. 레지스트리 편집기를 종료합니다.
  12. "라우팅 및 원격 액세스" 서비스를 다시 시작 합니다. "라우팅 및 원격 액세스" 서비스 HTTP.sys 내에서 인증서 읽고 암호화 바인딩 유효성 검사에 대 한 적절 한 인증서 해시가 설정 합니다.
속성

문서 ID: 947027 - 마지막 검토: 2017. 2. 7. - 수정: 1

피드백