Generieren und Exportieren von Zertifikaten für Point-to-Site-Verbindungen mithilfe von MakeCert
In diesem Artikel erfahren Sie, wie Sie mithilfe von MakeCert ein selbstsigniertes Stammzertifikat erstellen und Clientzertifikate generieren. Mit den Schritten in diesem Artikel können Sie PFX- und CER-Dateien erstellen. Wenn Sie nach verschiedenen Zertifikatanweisungen suchen, lesen Sie PowerShell: PFX- und CER-Zertifikatdateien oder Linux: OpenSSL: PEM-Zertifikatdateien.
Es wird empfohlen, die Schritte für Windows 10 oder höher und PowerShell zum Erstellen Ihrer Zertifikate zu verwenden. Wir stellen diese MakeCert-Anweisungen als optionale Methode bereit. Unabhängig davon, mit welcher Methode sie generiert wurden, können die Zertifikate unter jedem unterstützten Clientbetriebssystem installiert werden. Für MakeCert gelten die folgenden Einschränkungen:
- MakeCert ist veraltet. Das bedeutet, dass dieses Tool jederzeit entfernt werden kann. Auf Zertifikate, die Sie bereits mithilfe von MakeCert generiert haben, hat die Entfernung von MakeCert keine Auswirkungen. MakeCert wird nur zum Generieren der Zertifikate verwendet, nicht als Überprüfungsmechanismus.
Erstellen eines selbstsignierten Stammzertifikats
In den folgenden Schritten wird das Erstellen eines selbstsignierten Zertifikats mit MakeCert beschrieben. Diese Schritte gelten nicht spezifisch für ein Bereitstellungsmodell. Sie sind für das Ressourcen-Manager-Modell und das klassische Modell gültig.
Laden Sie MakeCert herunter, und installieren Sie es.
Nach der Installation befindet sich das Hilfsprogramm „makecert.exe“ üblicherweise im Verzeichnis „C:\Programme (x86)\Windows Kits\10\bin<arch>“. Es kann jedoch auch an einem anderen Speicherort installiert worden sein. Öffnen Sie eine Eingabeaufforderung als Administrator, und navigieren Sie zum Speicherort des Hilfsprogramms MakeCert. Sie können das folgende Beispiel verwenden (muss an den korrekten Speicherort angepasst werden):
cd C:\Program Files (x86)\Windows Kits\10\bin\x64
Erstellen und installieren Sie ein Zertifikat im Speicher für persönliche Zertifikate auf dem Computer. Das folgende Beispiel erstellt eine entsprechende CER -Datei, die Sie beim Konfigurieren der Punkt-zu-Standort-Verbindung in Azure hochladen. Ersetzen Sie „P2SRootCert“ und „P2SRootCert.cer“ durch den Namen, den Sie für das Zertifikat verwenden möchten. Das Zertifikat befindet sich unter „Zertifikate - Aktueller Benutzer\Eigene Zertifikate\Zertifikate“.
makecert -sky exchange -r -n "CN=P2SRootCert" -pe -a sha256 -len 2048 -ss My
Exportieren des öffentlichen Schlüssels (CER-Datei)
Nachdem Sie ein selbstsigniertes Stammzertifikat erstellt haben, exportieren Sie die CER-Datei des Stammzertifikats (nicht den privaten Schlüssel). Später laden Sie die in der Datei enthaltenen erforderlichen Zertifikatdaten in Azure hoch. Mit den folgenden Schritten können Sie die CER-Datei für Ihr selbstsigniertes Stammzertifikat exportieren und die erforderlichen Zertifikatdaten abrufen.
Um die CER-Datei des Zertifikats abzurufen, öffnen Sie Benutzerzertifikate verwalten.
Suchen Sie das selbstsignierte Stammzertifikat (in der Regel in Zertifikate – Aktueller Benutzer\Eigene Zertifikate\Zertifikate), und klicken Sie mit der rechten Maustaste darauf. Wählen Sie Alle Vorgänge ->Export aus. Dadurch wird der Zertifikatexport-Assistentgeöffnet.
Wenn Sie das Zertifikat unter „Aktueller Benutzer\Eigene Zertifikate\Zertifikate“ nicht finden, haben Sie unter Umständen versehentlich Zertifikate – Lokaler Benutzer anstelle von Zertifikate – Aktueller Benutzer geöffnet.
Wählen Sie im Assistenten Weiter aus.
Wählen Sie Nein, privaten Schlüssel nicht exportieren und dann Weiter aus.
Wählen Sie auf der Seite Dateiformat für den Export die Option Base-64-codiert X.509 (.CER) aus, und wählen Sie dann Weiter.
Wählen Sie unter Zu exportierende Datei die Option Durchsuchen aus, um zu dem Speicherort zu wechseln, an den das Zertifikat exportiert werden soll. Geben Sie unter Dateinameeinen Namen für die Zertifikatdatei ein. Wählen Sie anschließend Weiter aus.
Wählen Sie Fertig stellen aus, um das Zertifikat zu exportieren.
Sie erhalten eine Bestätigung, dass der Export erfolgreich war.
Wechseln Sie zu dem Speicherort, an den Sie das Zertifikat exportiert haben, und öffnen Sie es mit einem Text-Editor (z. B. in Editor). Wenn Sie das Zertifikat im erforderlichen Format „Base-64-codiert X.509 (.CER)“ exportiert haben, sehen Sie einen Text ähnlich dem folgenden Beispiel. Der in Blau hervorgehobene Abschnitt enthält die Informationen, die Sie kopieren und in Azure hochladen.
Wenn Ihre Datei dem Beispiel nicht ähnelt, bedeutet dies in der Regel, dass Sie die Datei nicht mit dem Format „Base-64-codiert X.509 (.CER)“ exportiert haben. Wenn Sie darüber hinaus einen anderen Text-Editor als Editor verwenden, sollten Sie beachten, dass einige Editoren unbeabsichtigte Formatierung im Hintergrund einführen können. Dies kann Probleme beim Hochladen des Texts aus diesem Zertifikat in Azure verursachen.
Die exportierte CER-Datei muss in Azure hochgeladen werden. Entsprechende Anweisungen finden Sie unter Konfigurieren einer Punkt-zu-Standort-Verbindung. Informationen zum Hinzufügen eines zusätzlichen vertrauenswürdigen Stammzertifikats finden Sie in diesem Abschnitt des Artikels.
Exportieren des selbstsignierten Zertifikats und des privaten Schlüssels zum Speichern (optional)
Möglicherweise möchten Sie das selbstsignierte Stammzertifikat exportieren und sicher speichern. Bei Bedarf können Sie sie später auf einem anderen Computer installieren und weitere Clientzertifikate generieren oder eine andere CER-Datei exportieren. Um das selbstsignierte Stammzertifikat als PFX-Datei zu exportieren, wählen Sie das Stammzertifikat aus, und verwenden Sie die gleichen Schritte wie zum Exportieren eines Clientzertifikats.
Erstellen und Installieren von Clientzertifikaten
Das selbstsignierte Zertifikat wird nicht direkt auf dem Clientcomputer installiert. Sie müssen aus einem selbstsignierten Zertifikat ein Clientzertifikat generieren. Dieses Clientzertifikat exportieren und installieren Sie auf den Clientcomputern. Die folgenden Schritte gelten nicht für ein spezifisches Bereitstellungsmodell. Sie sind für das Ressourcen-Manager-Modell und das klassische Modell gültig.
Generieren eines Clientzertifikats
Auf jedem Clientcomputer, der per Punkt-zu-Standort eine Verbindung mit einem VNet herstellt, muss ein Clientzertifikat installiert sein. Sie generieren ein Clientzertifikat aus dem selbstsignierten Stammzertifikat und exportieren und installieren es anschließend. Wenn das Clientzertifikat nicht installiert ist, tritt bei der Authentifizierung ein Fehler auf.
Die folgenden Schritte führen Sie durch das Generieren eines Clientzertifikats aus einem selbstsignierten Stammzertifikat. Sie können mehrere Clientzertifikate aus demselben Stammzertifikat generieren. Wenn Sie mithilfe der folgenden Schritte Clientzertifikate generieren, wird das Clientzertifikat automatisch auf dem Computer installiert, mit dem Sie das Zertifikat generiert haben. Falls Sie ein Clientzertifikat auf einem anderen Clientcomputer installieren möchten, können Sie es exportieren.
Öffnen Sie auf dem Computer, den Sie zum Erstellen des selbstsignierten Zertifikats verwendet haben, eine Eingabeaufforderung als Administrator.
Ändern Sie das Beispiel, und führen Sie es aus, um ein Clientzertifikat zu generieren.
- Ändern Sie P2SRootCert in den Namen des selbstsignierten Stammzertifikats, anhand dessen Sie das Clientzertifikat generieren. Stellen Sie sicher, dass Sie den Namen des Stammzertifikats verwenden. Dieses entspricht Ihrer Angabe für den Wert „CN=“ beim Erstellen des selbstsignierten Stammzertifikats.
- Ändern Sie P2SChildCert in den Namen, den das Clientzertifikat bekommen soll, das Sie generieren möchten.
Wenn Sie das folgende Beispiel ausführen, ohne es zu ändern, wird in Ihrem persönlichen Zertifikatspeicher ein Clientzertifikat mit dem Namen „P2SChildcert“ anhand des Stammzertifikats „P2SRootCert“ generiert.
makecert.exe -n "CN=P2SChildCert" -pe -sky exchange -m 96 -ss My -in "P2SRootCert" -is my -a sha256
Exportieren eines Clientzertifikats
Wenn Sie ein Clientzertifikat generieren, wird es automatisch auf dem Computer installiert, mit dem Sie es generiert haben. Wenn Sie das Clientzertifikat auf einem anderen Clientcomputer installieren möchten, müssen Sie das Clientzertifikat zunächst exportieren.
Wählen Sie zum Exportieren eines Clientzertifikats die Option Benutzerzertifikate verwalten aus. Die Clientzertifikate, die Sie generiert haben, befinden sich standardmäßig in „Certificates - Current User\Personal\Certificates“. Klicken Sie mit der rechten Maustaste auf das Clientzertifikat, das Sie exportieren möchten, und klicken Sie dann auf Alle Aufgaben und anschließend auf Exportieren, um den Zertifikatexport-Assistenten zu öffnen.
Klicken Sie im Zertifikatexport-Assistenten auf Weiter, um den Vorgang fortzusetzen.
Wählen Sie Ja, privaten Schlüssel exportieren aus, und klicken Sie dann auf Weiter.
Übernehmen Sie auf der Seite Format der zu exportierenden Datei die Standardwerte. Stellen Sie sicher, dass die Option Wenn möglich, alle Zertifikate im Zertifizierungspfad einbeziehen aktiviert ist. Mit dieser Einstellung werden auch die Stammzertifikatinformationen exportiert, die für eine erfolgreiche Clientauthentifizierung erforderlich sind. Andernfalls tritt bei der Clientauthentifizierung ein Fehler auf, da der Client nicht über das vertrauenswürdige Stammzertifikat verfügt. Klicken Sie auf Weiter.
Auf der Seite Sicherheit müssen Sie den privaten Schlüssel schützen. Wenn Sie ein Kennwort verwenden möchten, müssen Sie sich das für dieses Zertifikat festgelegte Kennwort unbedingt merken oder notieren. Klicken Sie auf Weiter.
Wählen Sie unter Zu exportierende Datei die Option Durchsuchen aus, um zu dem Speicherort zu wechseln, an den das Zertifikat exportiert werden soll. Geben Sie unter Dateinameeinen Namen für die Zertifikatdatei ein. Klicken Sie auf Weiter.
Klicken Sie auf Fertig stellen , um das Zertifikat zu exportieren.
Installieren eines exportierten Clientzertifikats
Informationen zum Installieren eines Clientzertifikats finden Sie unter Installieren eines Clientzertifikats für Point-to-Site-Verbindungen mit Azure-Zertifikatauthentifizierung.
Nächste Schritte
Setzen Sie die Punkt-zu-Standort-Konfiguration fort.
- Schritte für das Resource Manager-Bereitstellungsmodell finden Sie unter Konfigurieren einer Point-to-Site-Verbindung mit einem VNET unter Verwendung der Zertifikatauthentifizierung: Azure-Portal.
- Schritte für das klassische Bereitstellungsmodell finden Sie unter Konfigurieren einer Point-to-Site-Verbindung mit einem VNet über das Azure-Portal (klassisch).
Informationen zur P2S-Problembehandlung finden Sie unter Problembehandlung: Probleme mit Azure P2S-Verbindungen (Point-to-Site).