Udostępnij za pośrednictwem

Eksportowanie łańcucha certyfikatów zaufanego urzędu certyfikacji klienta do użycia z uwierzytelnianiem klienta

  • Artykuł

Aby skonfigurować wzajemne uwierzytelnianie z klientem lub uwierzytelnianiem klienta, usługa Application Gateway wymaga przekazania do bramy zaufanego łańcucha certyfikatów urzędu certyfikacji klienta. Jeśli masz wiele łańcuchów certyfikatów, musisz utworzyć łańcuchy oddzielnie i przekazać je jako różne pliki w usłudze Application Gateway. Z tego artykułu dowiesz się, jak wyeksportować łańcuch certyfikatów zaufanego urzędu certyfikacji klienta, którego można użyć w konfiguracji uwierzytelniania klienta w bramie.

Wymagania wstępne

Istniejący certyfikat klienta jest wymagany do wygenerowania łańcucha certyfikatów zaufanego urzędu certyfikacji klienta.

Eksportowanie zaufanego certyfikatu urzędu certyfikacji klienta

Aby umożliwić uwierzytelnianie klienta w usłudze Application Gateway, wymagany jest zaufany certyfikat urzędu certyfikacji klienta. W tym przykładzie używamy certyfikatu TLS/SSL dla certyfikatu klienta, wyeksportujemy jego klucz publiczny, a następnie wyeksportujemy certyfikaty urzędu certyfikacji z klucza publicznego, aby uzyskać certyfikaty zaufanego urzędu certyfikacji klienta. Następnie połączymy wszystkie certyfikaty urzędu certyfikacji klienta z jednym zaufanym łańcuchem certyfikatów urzędu certyfikacji klienta.

Poniższe kroki ułatwiają eksportowanie pliku pem lub cer dla certyfikatu:

Eksportowanie certyfikatu publicznego

  1. Aby uzyskać plik cer z certyfikatu, otwórz okno Zarządzaj certyfikatami użytkowników. Znajdź certyfikat, zazwyczaj w folderze "Certyfikaty — bieżący użytkownik\Osobisty\Certyfikaty", a następnie kliknij prawym przyciskiem myszy. Kliknij pozycję Wszystkie zadania, a następnie kliknij pozycję Eksportuj. Spowoduje to otwarcie Kreatora eksportu certyfikatów. Jeśli nie możesz znaleźć certyfikatu w obszarze Bieżący użytkownik\Osobiste\Certyfikaty, być może przypadkowo otwarto "Certyfikaty — komputer lokalny", a nie "Certyfikaty — bieżący użytkownik"). Jeśli chcesz otworzyć Menedżera certyfikatów w bieżącym zakresie użytkownika przy użyciu programu PowerShell, wpisz polecenie certmgr w oknie konsoli.

    Screenshot shows the Certificate Manager with Certificates selected and a contextual menu with All tasks, then Export selected.

  2. W Kreatorze kliknij pozycję Dalej.

    Screenshot of export certificate.

  3. Wybierz pozycję Nie eksportuj klucza prywatnego, a następnie kliknij pozycję Dalej.

    Screenshot of do not export the private key.

  4. Na stronie Format pliku eksportu wybierz pozycję Certyfikat X.509 szyfrowany algorytmem Base-64 (.CER), a następnie kliknij pozycję Dalej.

    Screenshot of Base-64 encoded.

  5. W obszarze Plik do eksportu przejdź do lokalizacji, do której chcesz wyeksportować certyfikat. Do pola Nazwa pliku wprowadź nazwę pliku certyfikatu. Następnie kliknij przycisk Dalej.

    Screenshot shows the Certificate Export Wizard where you specify a file to export.

  6. Kliknij przycisk Zakończ, aby wyeksportować certyfikat.

    Screenshot shows the Certificate Export Wizard after you complete the file export.

  7. Certyfikat został pomyślnie wyeksportowany.

    Screenshot shows the Certificate Export Wizard with a success message.

    Wyeksportowany certyfikat wygląda podobnie do następującego:

    Screenshot shows a certificate symbol.

Eksportowanie certyfikatów urzędu certyfikacji z certyfikatu publicznego

Po wyeksportowaniu certyfikatu publicznego teraz wyeksportujesz certyfikaty urzędu certyfikacji z certyfikatu publicznego. Jeśli masz tylko główny urząd certyfikacji, musisz wyeksportować ten certyfikat tylko. Jeśli jednak masz 1+ pośrednie urzędy certyfikacji, musisz również wyeksportować każdy z nich.

  1. Po wyeksportowaniu klucza publicznego otwórz plik.

    Screenshot of Open authorization certificate.

    Screenshot of about certificate.

  2. Wybierz kartę Ścieżka certyfikacji, aby wyświetlić urząd certyfikacji.

    Screenshot of certificate details.

  3. Wybierz certyfikat główny i kliknij pozycję Wyświetl certyfikat.

    Screenshot of certificate path.

    Powinny zostać wyświetlone szczegóły certyfikatu głównego.

    Screenshot of certificate info.

  4. Wybierz kartę Szczegóły i kliknij przycisk Kopiuj do pliku...

    Screenshot of copy root certificate.

  5. W tym momencie wyodrębniono szczegóły certyfikatu głównego urzędu certyfikacji z certyfikatu publicznego. Zostanie wyświetlony Kreator eksportu certyfikatów. Wykonaj kroki 2–7 z poprzedniej sekcji (Eksportuj certyfikat publiczny), aby ukończyć pracę Kreatora eksportu certyfikatów.

  6. Teraz powtórz kroki od 2 do 6 z tej bieżącej sekcji (Eksportuj certyfikaty urzędu certyfikacji z certyfikatu publicznego) dla wszystkich pośrednich urzędów certyfikacji, aby wyeksportować wszystkie certyfikaty pośredniego urzędu certyfikacji w zakodowanym formacie Base-64 X.509(. Format CER).

    Screenshot of intermediate certificate.

    Na przykład powtórz kroki 2–6 z tej sekcji w pośrednim urzędzie certyfikacji MSIT CAZ2 , aby wyodrębnić go jako własny certyfikat.

Łączenie wszystkich certyfikatów urzędu certyfikacji w jeden plik

  1. Uruchom następujące polecenie, aby uruchomić wszystkie wyodrębnione wcześniej certyfikaty urzędu certyfikacji.

    Windows:

    type intermediateCA.cer rootCA.cer > combined.cer

    Linux:

    cat intermediateCA.cer rootCA.cer >> combined.cer

    Wynikowy połączony certyfikat powinien wyglądać podobnie do następującego:

    Screenshot of combined certificate.

Następne kroki

Teraz masz łańcuch certyfikatów zaufanego urzędu certyfikacji klienta. Możesz dodać tę opcję do konfiguracji uwierzytelniania klienta w usłudze Application Gateway, aby umożliwić wzajemne uwierzytelnianie z bramą. Zobacz Konfigurowanie wzajemnego uwierzytelniania przy użyciu usługi Application Gateway z portalem lub konfigurowanie wzajemnego uwierzytelniania przy użyciu usługi Application Gateway przy użyciu programu PowerShell.