Freigeben über

Generieren und Exportieren von Zertifikaten für Point-to-Site-Verbindungen mithilfe von MakeCert

  • Artikel

In diesem Artikel erfahren Sie, wie Sie mithilfe von MakeCert ein selbstsigniertes Stammzertifikat erstellen und Clientzertifikate generieren. Mit den Schritten in diesem Artikel können Sie PFX- und CER-Dateien erstellen. Informationen zu PEM-Dateien finden Sie unter Generieren von PEM-Zertifikatdateien.

Hinweis

Es wird empfohlen, zum Erstellen Ihrer Zertifikate stattdessen die PowerShell-Schritte zu verwenden. Wir stellen diese MakeCert-Anweisungen als optionale Methode bereit.

MakeCert ist veraltet. Das bedeutet, dass dieses Tool jederzeit entfernt werden kann. Wenn MakeCert nicht mehr verfügbar ist, hat dies keinerlei Auswirkungen auf die Zertifikate, die Sie bereits mit MakeCert generiert haben. MakeCert wird nur zum Generieren der Zertifikate verwendet, nicht als Überprüfungsmechanismus.

Erstellen eines selbstsignierten Stammzertifikats

In den folgenden Schritten wird das Erstellen eines selbstsignierten Zertifikats mit MakeCert beschrieben. Diese Schritte gelten nicht spezifisch für ein Bereitstellungsmodell.

  1. Laden Sie MakeCert herunter, und installieren Sie es.

  2. Nach der Installation befindet sich das Hilfsprogramm „makecert.exe“ üblicherweise im Verzeichnis „C:\Programme (x86)\Windows Kits\10\bin<arch>“. Es kann jedoch auch an einem anderen Speicherort installiert worden sein. Öffnen Sie eine Eingabeaufforderung als Administrator, und navigieren Sie zum Speicherort des Hilfsprogramms MakeCert. Sie können das folgende Beispiel verwenden (muss an den korrekten Speicherort angepasst werden):

    cd C:\Program Files (x86)\Windows Kits\10\bin\x64

  3. Erstellen und installieren Sie ein Zertifikat im Speicher für persönliche Zertifikate auf dem Computer. Das folgende Beispiel erstellt eine entsprechende CER -Datei, die Sie beim Konfigurieren der Punkt-zu-Standort-Verbindung in Azure hochladen. Ersetzen Sie „P2SRootCert“ und „P2SRootCert.cer“ durch den Namen, den Sie für das Zertifikat verwenden möchten. Das Zertifikat befindet sich unter „Zertifikate - Aktueller Benutzer\Eigene Zertifikate\Zertifikate“.

    makecert -sky exchange -r -n "CN=P2SRootCert" -pe -a sha256 -len 2048 -ss My

Exportieren des öffentlichen Schlüssels (CER-Datei)

Nachdem Sie ein selbstsigniertes Stammzertifikat erstellt haben, exportieren Sie die CER-Datei des Stammzertifikats (nicht den privaten Schlüssel). Später laden Sie die in der Datei enthaltenen erforderlichen Zertifikatdaten in Azure hoch. Mit den folgenden Schritten können Sie die CER-Datei für Ihr selbstsigniertes Stammzertifikat exportieren und die erforderlichen Zertifikatdaten abrufen.

  1. Um die CER-Datei des Zertifikats abzurufen, öffnen Sie Benutzerzertifikate verwalten.

    Suchen Sie das selbstsignierte Stammzertifikat (in der Regel in Zertifikate – Aktueller Benutzer\Eigene Zertifikate\Zertifikate), und klicken Sie mit der rechten Maustaste darauf. Wählen Sie Alle Vorgänge ->Export aus. Dadurch wird der Zertifikatexport-Assistentgeöffnet.

    Wenn Sie das Zertifikat unter „Aktueller Benutzer\Eigene Zertifikate\Zertifikate“ nicht finden, haben Sie unter Umständen versehentlich Zertifikate – Lokaler Benutzer anstelle von Zertifikate – Aktueller Benutzer geöffnet.

    Screenshot: Fenster „Zertifikate“ mit ausgewählten Optionen „Alle Aufgaben“ und „Exportieren“

  2. Wählen Sie im Assistenten Weiter aus.

  3. Wählen Sie Nein, privaten Schlüssel nicht exportieren und dann Weiter aus.

  4. Wählen Sie auf der Seite Dateiformat für den Export die Option Base-64-codiert X.509 (.CER) aus, und wählen Sie dann Weiter.

  5. Wählen Sie unter Zu exportierende Datei die Option Durchsuchen aus, um zu dem Speicherort zu wechseln, an den das Zertifikat exportiert werden soll. Geben Sie unter Dateinameeinen Namen für die Zertifikatdatei ein. Wählen Sie anschließend Weiter aus.

  6. Wählen Sie Fertig stellen aus, um das Zertifikat zu exportieren.

  7. Sie erhalten eine Bestätigung, dass der Export erfolgreich war.

  8. Wechseln Sie zu dem Speicherort, an den Sie das Zertifikat exportiert haben, und öffnen Sie es mit einem Text-Editor (z. B. in Editor). Wenn Sie das Zertifikat im erforderlichen Format „Base-64-codiert X.509 (.CER)“ exportiert haben, sehen Sie einen Text ähnlich dem folgenden Beispiel. Der in Blau hervorgehobene Abschnitt enthält die Informationen, die Sie kopieren und in Azure hochladen.

    Screenshot: In Editor geöffnete CER-Datei mit hervorgehobenen Zertifikatdaten

    Wenn Ihre Datei dem Beispiel nicht ähnelt, bedeutet dies in der Regel, dass Sie die Datei nicht mit dem Format „Base-64-codiert X.509 (.CER)“ exportiert haben. Wenn Sie darüber hinaus einen anderen Text-Editor als Editor verwenden, sollten Sie beachten, dass einige Editoren unbeabsichtigte Formatierung im Hintergrund einführen können. Dies kann Probleme beim Hochladen des Texts aus diesem Zertifikat in Azure verursachen.

Die exported.cer-Datei wird in Azure hochgeladen, wenn Sie Ihr P2S-Gateway konfigurieren.

Exportieren des selbstsignierten Zertifikats und des privaten Schlüssels zum Speichern (optional)

Möglicherweise möchten Sie das selbstsignierte Stammzertifikat exportieren und sicher speichern. Bei Bedarf können Sie sie später auf einem anderen Computer installieren und weitere Clientzertifikate generieren oder eine andere CER-Datei exportieren. Um das selbstsignierte Stammzertifikat als PFX-Datei zu exportieren, wählen Sie das Stammzertifikat aus, und verwenden Sie die gleichen Schritte wie zum Exportieren eines Clientzertifikats.

Erstellen und Installieren von Clientzertifikaten

Das selbstsignierte Zertifikat wird nicht direkt auf dem Clientcomputer installiert. Sie müssen aus einem selbstsignierten Zertifikat ein Clientzertifikat generieren. Dieses Clientzertifikat exportieren und installieren Sie auf den Clientcomputern. Die folgenden Schritte gelten nicht für ein spezifisches Bereitstellungsmodell.

Generieren eines Clientzertifikats

Auf jedem Clientcomputer, der per P2S eine Verbindung mit einem virtuellen Netzwerk herstellt, muss ein Clientzertifikat installiert sein. Sie generieren ein Clientzertifikat aus dem selbstsignierten Stammzertifikat und exportieren und installieren es anschließend. Wenn das Clientzertifikat nicht installiert ist, tritt bei der Authentifizierung ein Fehler auf.

Die folgenden Schritte führen Sie durch das Generieren eines Clientzertifikats aus einem selbstsignierten Stammzertifikat. Sie können mehrere Clientzertifikate aus demselben Stammzertifikat generieren. Wenn Sie mithilfe der folgenden Schritte Clientzertifikate generieren, wird das Clientzertifikat automatisch auf dem Computer installiert, mit dem Sie das Zertifikat generiert haben. Falls Sie ein Clientzertifikat auf einem anderen Clientcomputer installieren möchten, können Sie es exportieren.

  1. Öffnen Sie auf dem Computer, den Sie zum Erstellen des selbstsignierten Zertifikats verwendet haben, eine Eingabeaufforderung als Administrator.

  2. Ändern Sie das Beispiel, und führen Sie es aus, um ein Clientzertifikat zu generieren.

    • Ändern Sie P2SRootCert in den Namen des selbstsignierten Stammzertifikats, anhand dessen Sie das Clientzertifikat generieren. Stellen Sie sicher, dass Sie den Namen des Stammzertifikats verwenden. Dieses entspricht Ihrer Angabe für den Wert „CN=“ beim Erstellen des selbstsignierten Stammzertifikats.
    • Ändern Sie P2SChildCert in den Namen, den das Clientzertifikat bekommen soll, das Sie generieren möchten.

    Wenn Sie das folgende Beispiel ausführen, ohne es zu ändern, wird in Ihrem persönlichen Zertifikatspeicher ein Clientzertifikat mit dem Namen „P2SChildcert“ anhand des Stammzertifikats „P2SRootCert“ generiert.

    makecert.exe -n "CN=P2SChildCert" -pe -sky exchange -m 96 -ss My -in "P2SRootCert" -is my -a sha256

Exportieren eines Clientzertifikats

Wenn Sie ein Clientzertifikat generieren, wird es automatisch auf dem Computer installiert, mit dem Sie es generiert haben. Wenn Sie das Clientzertifikat auf einem anderen Clientcomputer installieren möchten, müssen Sie das Clientzertifikat zunächst exportieren.

  1. Wählen Sie zum Exportieren eines Clientzertifikats die Option Benutzerzertifikate verwalten aus. Die Clientzertifikate, die Sie generiert haben, befinden sich standardmäßig in „Certificates - Current User\Personal\Certificates“. Klicken Sie mit der rechten Maustaste auf das Clientzertifikat, das Sie exportieren möchten, und klicken Sie dann auf Alle Aufgaben und anschließend auf Exportieren, um den Zertifikatexport-Assistenten zu öffnen.

    Screenshot: Fenster „Zertifikate“ mit ausgewählten Optionen „Alle Aufgaben“ und „Exportieren“

  2. Klicken Sie im Zertifikatexport-Assistenten auf Weiter, um den Vorgang fortzusetzen.

  3. Wählen Sie Ja, privaten Schlüssel exportieren aus, und klicken Sie dann auf Weiter.

  4. Übernehmen Sie auf der Seite Format der zu exportierenden Datei die Standardwerte. Stellen Sie sicher, dass die Option Wenn möglich, alle Zertifikate im Zertifizierungspfad einbeziehen aktiviert ist. Mit dieser Einstellung werden auch die Stammzertifikatinformationen exportiert, die für eine erfolgreiche Clientauthentifizierung erforderlich sind. Andernfalls tritt bei der Clientauthentifizierung ein Fehler auf, da der Client nicht über das vertrauenswürdige Stammzertifikat verfügt. Klicken Sie auf Weiter.

    Screenshot: Seite zur Auswahl des Formats der Exportdatei

  5. Auf der Seite Sicherheit müssen Sie den privaten Schlüssel schützen. Wenn Sie ein Kennwort verwenden möchten, müssen Sie sich das für dieses Zertifikat festgelegte Kennwort unbedingt merken oder notieren. Klicken Sie auf Weiter.

  6. Wählen Sie unter Zu exportierende Datei die Option Durchsuchen aus, um zu dem Speicherort zu wechseln, an den das Zertifikat exportiert werden soll. Geben Sie unter Dateinameeinen Namen für die Zertifikatdatei ein. Klicken Sie auf Weiter.

  7. Klicken Sie auf Fertig stellen , um das Zertifikat zu exportieren.

Installieren eines exportierten Clientzertifikats

Informationen zum Installieren eines Clientzertifikats finden Sie unter Installieren eines Clientzertifikats für Point-to-Site-Verbindungen mit Azure-Zertifikatauthentifizierung.

Nächste Schritte

Informationen zum Fortsetzen Ihrer P2S-Konfiguration finden Sie unter Konfigurieren der Servereinstellungen für die Zertifikatauthentifizierung eines P2S-VPN-Gateways.

Informationen zur P2S-Problembehandlung finden Sie unter Problembehandlung: Probleme mit Azure P2S-Verbindungen (Point-to-Site).