CertBase Community
Die Lernplattform für Ihren Erfolg
SSTP-Remotezugriff: Bindungen des SSL Zertifikates überprüfen

Bei der Installation bzw. beim Testen einer VPN-Lösung auf Basis des Secure Socket Transfer Protokolls (SSTP) hatte ich immer wieder die Fehlermeldung 0x800704C9: Der Remotecomputer hat die Netzwerkverbindung abgelehnt erhalten. Die Fehlermeldung weist darauf hin, dass entweder der SSTP-Dienst nicht aktiv ist oder kein Zertifikat für die Serverauthentifizierung installiert wurde.

 

Da mich die Beseitigung der Fehlermeldung recht lange beschäftigt hat und noch einige andere unerwartete Hürden auf mich zukamen, möchte ich Ursache und Lösung dieses Problems kurz beschreiben:

Obwohl das Zertifikat für SSTP Verbindungen mit den Routing und RAS-Diensten in den Servereigenschaften korrekt eingestellt ist, kann es vorkommen, dass die Bindung des Zertifikats an die Anwendung dennoch nicht vollzogen wurde und dem Routing und RAS Dienst das Zertifikat nicht zur Verfügung steht.

 

 Sie können die Bindung prüfen, indem Sie den Befehl Netsh http Show SSL ausführen:

 

Es werden trotz der korrekten Anzeige in der GUI keine SSL-Zertifikatbindungen aufgelistet.

Um die Bindung manuell für die Protokolle IPv4 und IPv6 einzutragen können wir die folgenden Befehlszeilen verwenden:

netsh http add sslcert ipport=0.0.0.0:443 certhash=[Zertifikat Fingerabdruck] appid={ba195980-cd49-458b-9e23-c84ee0adcd75} certstorename=MY

netsh http add sslcert ipport=[::]:443 certhash=[ Zertifikat Fingerabdruck] appid={ba195980-cd49-458b-9e23-c84ee0adcd75} certstorename=MY

Die AppID ist eine Konstante und kennzeichnet den Routing und RAS Dienst. Den Fingerabdruck des Zertifikats können Sie aus den Detailinformationen des Zertifikats entnehmen:

Beispiel:

1c fe 31 e0 46 19 3d 7a 2b 28 19 8a fd 9f 8c 67 eb e2 6b bf

Die Leerzeichen müssen aus dem String entfernt werden. Sie können es sich einfach machen, indem Sie den String in Notepad kopieren und die Leerzeichen mit der Funktion Suchen und Ersetzen entfernen. Anschließend können die Befehlszeilen an der Eingabeaufforderung ausgeführt werden:

 

Nun sollten die Bindungen korrekt aufgelistet werden:

 

 

Weitere nützliche Informationen:

Entfernen der SSL-Zertifikatbindungen für IPv4

netsh http delete ssl 0.0.0.0:443

Entfernen der SSL-Zertifikatbindungen für IPV6

netsh http delete ssl [::]:443

Entfernen der konfigurierten Zertifikatinformationen für den SSTP-Dienst aus der Registrierung

reg delete HKLM\SYSTEM\CurrentControlSet\Services\SstpSvc\Parameters /v SHA256CertificateHash /f

Beenden des SSTP-Dienstes:

net stop sstpsvc /y

Starten des SSTP-Dienstes:

net start sstpsvc

Starten des Routing und RAS-Dienstes

net start remoteaccess


Eingetragen Thu, 29. Dec 2011 20:18 von Maik
CertBase - IT-Prüfungsvorbereitung Online