Você está offline; aguardando reconexão

Como alterar o certificado de computador em um computador baseado no Windows Server 2008 que está executando o serviço "Roteamento e acesso remoto" e SSTP

IMPORTANTE: Este artigo foi traduzido pelo software de tradução automática da Microsoft e eventualmente pode ter sido editado pela Microsoft Community através da tecnologia Community Translation Framework (CTF) ou por um tradutor profissional. A Microsoft oferece artigos traduzidos automaticamente por software, por tradutores profissionais e editados pela comunidade para que você tenha acesso a todos os artigos de nossa Base de Conhecimento em diversos idiomas. No entanto, um artigo traduzido pode conter erros de vocabulário, sintaxe e/ou gramática. A Microsoft não é responsável por qualquer inexatidão, erro ou dano causado por qualquer tradução imprecisa do conteúdo ou por seu uso pelos nossos clientes.

Clique aqui para ver a versão em Inglês deste artigo: 947027
Informações sobre beta
Este artigo aborda uma versão beta de um produto Microsoft. As informações neste artigo são fornecidas como-é e estão sujeitas a alterações sem aviso prévio.

Nenhum suporte formal está disponível na Microsoft para este produto beta. Para obter informações sobre como obter suporte para uma versão beta, consulte a documentação incluída nos ficheiros do produto beta ou verifique o local da Web onde você baixou a versão.
Importante Este artigo contém informações sobre como modificar o registro. Certifique-se de fazer backup do registro antes de modificá-lo. Certifique-se de que você saiba como restaurar o registro caso ocorra um problema. Para obter mais informações sobre como fazer backup, restaurar e modificar o registro, clique no número abaixo para ler o artigo na Base de Conhecimento Microsoft:
322756 Como fazer backup e restaurar o registro no Windows XP e Windows Vista
Sumário
Este artigo descreve como alterar o certificado de computador em um computador baseado no Windows Server 2008 que está executando o serviço "Roteamento e acesso remoto" e Secure Socket Tunneling protocolo SSTP (). O certificado de computador também é conhecido como um certificado de máquina.
INTRODUÇÃO
Seguro Socket Tunneling protocolo SSTP () é uma nova rede virtual privada (VPN) que está disponível na função "Roteamento e remoto Serviços do Access" no Windows Server 2008 protocolo de encapsulamento. O protocolo também está disponível para uso no Windows Vista Service Pack 1 (SP1).

O SSTP usa o protocolo HTTPS sobre portas TCP 443 para passar o tráfego por meio de firewalls e proxies da Web que podem bloquear o PPTP e o L2TP/IPsec. O SSTP fornece um mecanismo para encapsular tráfego PPP sobre o canal Secure Sockets Layer (SSL) do protocolo HTTPS.
Mais Informações
O serviço "Roteamento e acesso remoto" no Windows Server 2008 configura um certificado de computador do armazenamento do certificado (também conhecido como o armazenamento de máquina) no arquivo http. sys para aceitar uma conexão HTTPS. O certificado também será enviado ao cliente durante a fase de negociação de Secure Sockets Layer (SSL).

Se você, como administrador, já tiver instalado um certificado de computador e tiver configurado o serviço "Roteamento e acesso remoto", você pode alterar o certificado de computador sem precisar reconfigurar o serviço "Roteamento e acesso remoto". Este artigo descreve como alterar o certificado de computador.

Componentes do plano de fundo

Existem três componentes neste cenário:
  • O certificado de computador instalado na área de armazenamento de certificados "conta de computador"
  • O arquivo http. sys

    Observação: Este arquivo é o componente de Ouvinte HTTPS que fecha as conexões VPN de HTTPS. O HTTP. sys determina qual certificado de computador para usar.

    Para exibir as informações de certificado de computador, digite o seguinte comando no prompt de comando:
    Netsh http show sslcert
  • O servidor "Roteamento e acesso remoto" que executa o HTTP. sys

    Observação: O servidor usa o hash de certificado do certificado de computador para sua fase de validação de ligação criptográfica. Essa é uma etapa extra de segurança para ajudar a verificar se o cliente PPP e o cliente SSL provenientes do mesmo computador.

Como alterar o certificado de computador

Para alterar o certificado de computador, siga estas etapas no servidor VPN:
  1. Determine qual certificado de computador está configurado para conexões VPN. Para fazer isso, execute as seguintes etapas:
    1. Determine as ligações de certificado SSL usadas pelo HTTP. sys. Para fazer isso, digite o seguinte comando no prompt de comando:
      Netsh http show sslcert
    2. Verifique se a seguinte identificação de aplicativo estiver listada:
      {ba195980-cd49-458b-9e23-c84ee0adcd75}
      Essa ligação é adicionada pelo servidor baseado em SSTP "roteamento e acesso remoto".
    O comando mostra um certificado que está vinculado a escuta de IP: porta de 0.0.0.0:443 e um certificado que está vinculado ao [:]:: escuta de IP: porta 443. O valor de hash de certificado especifica qual o certificado é realmente vinculado. Esse valor é o hash SHA1 do certificado.
  2. Exclua o certificado do armazenamento de certificados. Para fazer isso, crie um novo Microsoft Management Console (MMC) e, em seguida, adicione o snap-in de certificados. Para fazer isso, execute as seguintes etapas:
    1. Clique em Iniciar, e em seguida, clique em Executar.
    2. Tipo MMC. EXEe, em seguida, clique em OK.
    3. No menu arquivo , clique em Adicionar/Remover Snap-in.
    4. Selecione Certificados e, em seguida, clique em Adicionar.
    5. Selecione a opção conta de computador e, em seguida, clique em Avançar.
    6. Selecione Computador Locale, em seguida, clique em Concluir.
    7. Clique em OK.
  3. Expanda certificados (computador Local)e, em seguida, clique em certificados. Uma lista de certificados no armazenamento a está listada no painel de detalhes.
  4. Clique duas vezes no certificado que você deseja associar ao ouvinte SSTP. Este é o certificado que possui um nome de assunto corresponde ao nome de host é usado no cliente da conexão VPN.
  5. Clique na guia detalhes . Na caixa Mostrar , certifique-se de que tudo está selecionado.
  6. Verifique se o valor para o campo de Algoritmo de impressão digital é sha1.
  7. Observe o valor do campo impressão digital . Compare esse valor com o hash de certificado que aparecia quando você executou o netsh comando.

    Os valores devem corresponder. Isso indica que o certificado correto está vinculado ao ouvinte. Clique no certificado e, em seguida, clique em Excluir.
  8. Adicione o novo certificado ao armazenamento de certificados.
  9. Exclua o certificado do HTTP. sys. Para fazer isso, digite os seguintes comandos no prompt de comando:
    Netsh http delete sslcert ipport = 0.0.0.0:443
    Netsh http delete sslcert ipport = [:]: 443
    Observação: Para executar esses comandos, você deve abrir o prompt de comando usando permissões elevadas. Para fazer isso, clique em Iniciar, clique em Prompt de comandoe, em seguida, clique em Executar como administrador.
  10. Adicione o novo certificado ao HTTP. sys.

    Para fazer isso, digite os seguintes comandos no prompt de comando:
    Netsh http adicionar sslcert ipport = 0.0.0.0:443 certhash =xxx AppID = {ba195980-cd49-458b-9e23-c84ee0adcd75} certstorename = meu
    Netsh http adicionar sslcert ipport = [:]: 443 certhash =xxx AppID = {ba195980-cd49-458b-9e23-c84ee0adcd75} certstorename = meu
    Observação: Nesses comandos, xxx é um espaço reservado para o hash SHA1 do certificado novo.
  11. Desmarque a chave de registro de hash de certificado que é usada pelo serviço de "Roteamento e acesso remoto". Para fazer isso, execute as seguintes etapas:

    Aviso Problemas sérios podem ocorrer se você modificar o Registro incorretamente usando o Editor do registro ou usando outro método. Esses problemas podem exigir a reinstalação do sistema operacional. A Microsoft não garante que esses problemas possam ser solucionados. Modificar o registro de sua responsabilidade.
    1. Clique em Iniciar, tipo Regedit em Iniciar pesquisa caixa e, em seguida, clique em regedit.exe na lista de programas .
    2. Localize e clique na seguinte subchave do registro:
      HKLM\System\CurrentControlSet\Services\Sstpsvc\Parameters\
    3. No painel de detalhes, clique com botão direito na entrada Sha256CertificateHash e, em seguida, clique em Modificar.
    4. Na caixa dados do valor , digite 0e, em seguida, clique em OK.
    5. Saia do Editor de Registro.
  12. Reinicie o serviço "Roteamento e acesso remoto". O serviço "Roteamento e acesso remoto" lê o certificado do HTTP. sys e, em seguida, define o hash de certificado apropriado para sua validação de ligação criptográfica.

Aviso: este artigo foi traduzido automaticamente

Propriedades

ID do Artigo: 947027 - Última Revisão: 06/11/2016 23:41:00 - Revisão: 2.0

Windows Server 2008 Datacenter, Windows Server 2008 Enterprise, Windows Server 2008 for Itanium-Based Systems, Windows Server 2008 Standard, Windows Web Server 2008, Windows Vista Enterprise 64-bit edition, Windows Vista Enterprise

  • kbregistry kbexpertiseadvanced kbhowto kbmt KB947027 KbMtpt
Comentários