Generowanie i eksportowanie certyfikatów dla połączeń punkt-lokacja przy użyciu narzędzia MakeCert
W tym artykule pokazano, jak utworzyć certyfikat główny z podpisem własnym i wygenerować certyfikaty klienta przy użyciu narzędzia MakeCert. Kroki opisane w tym artykule ułatwiają tworzenie plików pfx i .cer . Jeśli szukasz różnych instrukcji dotyczących certyfikatów, zobacz PowerShell — pfx i .cer pliki certyfikatów lub Linux — OpenSSL — pliki certyfikatów pem.
Zalecamy użycie kroków programu PowerShell w systemie Windows 10 lub nowszym w celu utworzenia certyfikatów. Udostępniamy te instrukcje narzędzia MakeCert jako opcjonalną metodę. Certyfikaty generowane przy użyciu dowolnej metody można zainstalować w dowolnym obsługiwanym systemie operacyjnym klienta. Funkcja MakeCert ma następujące ograniczenie:
- Program MakeCert jest przestarzały. Oznacza to, że to narzędzie można usunąć w dowolnym momencie. Certyfikaty, które zostały już wygenerowane przy użyciu narzędzia MakeCert, nie będą miały wpływu, jeśli funkcja MakeCert nie jest już dostępna. Funkcja MakeCert służy tylko do generowania certyfikatów, a nie jako mechanizmu sprawdzania poprawności.
Tworzenie certyfikatu głównego z podpisem własnym
W poniższych krokach pokazano, jak utworzyć certyfikat z podpisem własnym przy użyciu narzędzia MakeCert. Te kroki nie są specyficzne dla modelu wdrażania. Są one prawidłowe zarówno dla usługi Resource Manager, jak i klasycznej.
Pobierz i zainstaluj aplikację MakeCert.
Po zakończeniu instalacji można zazwyczaj znaleźć narzędzie makecert.exe w tej ścieżce: "C:\Program Files (x86)\Windows Kits\10\bin<arch>". Istnieje jednak możliwość zainstalowania go w innej lokalizacji. Otwórz wiersz polecenia jako administrator i przejdź do lokalizacji narzędzia MakeCert. Możesz użyć następującego przykładu, dostosowując się do odpowiedniej lokalizacji:
cd C:\Program Files (x86)\Windows Kits\10\bin\x64
Utwórz i zainstaluj certyfikat w magazynie certyfikatów osobistych na komputerze. Poniższy przykład tworzy odpowiedni plik .cer przekazywany na platformę Azure podczas konfigurowania połączenia punkt-lokacja. Zastąp ciąg "P2SRootCert" i "P2SRootCert.cer" nazwą, której chcesz użyć dla certyfikatu. Certyfikat znajduje się w folderze "Certyfikaty — bieżący użytkownik\Osobiste\Certyfikaty".
makecert -sky exchange -r -n "CN=P2SRootCert" -pe -a sha256 -len 2048 -ss My
Eksportowanie klucza publicznego (.cer)
Po utworzeniu certyfikatu głównego z podpisem własnym wyeksportuj plik certyfikatu głównego .cer (a nie klucz prywatny). Później przekażesz niezbędne dane certyfikatu zawarte w pliku na platformę Azure. Poniższe kroki ułatwiają wyeksportowanie pliku .cer dla certyfikatu głównego z podpisem własnym i pobranie niezbędnych danych certyfikatu.
Aby uzyskać plik .cer certyfikatu, otwórz pozycję Zarządzaj certyfikatami użytkowników.
Znajdź certyfikat główny z podpisem własnym, zazwyczaj w obszarze Certyfikaty — bieżący użytkownik\Osobiste\Certyfikaty, a następnie kliknij prawym przyciskiem myszy. Wybierz pozycję Wszystkie zadania -> Eksportuj. Spowoduje to otwarcie Kreatora eksportu certyfikatów.
Jeśli nie możesz odnaleźć certyfikatu w obszarze "Bieżący użytkownik\Osobisty\Certyfikaty", być może przypadkowo otwarto certyfikaty — komputer lokalny, a nie certyfikaty — bieżący użytkownik.
W kreatorze wybierz pozycję Dalej.
Wybierz pozycję Nie, nie eksportuj klucza prywatnego, a następnie wybierz przycisk Dalej.
Na stronie Eksportuj format pliku wybierz pozycję X.509 zakodowany w formacie Base-64 (. CER)., a następnie wybierz przycisk Dalej.
W obszarze Plik do eksportu przejdź do lokalizacji, do której chcesz wyeksportować certyfikat. Do pola Nazwa pliku wprowadź nazwę pliku certyfikatu. Następnie wybierz Dalej.
Wybierz pozycję Zakończ , aby wyeksportować certyfikat.
Zostanie wyświetlone potwierdzenie informujące, że eksport zakończył się pomyślnie.
Przejdź do lokalizacji, w której wyeksportowano certyfikat i otwórz go przy użyciu edytora tekstów, takiego jak Notatnik. W przypadku wyeksportowania certyfikatu w wymaganym formacie Base-64 X.509 (. Format CER) jest wyświetlany tekst podobny do poniższego przykładu. Sekcja wyróżniona na niebiesko zawiera informacje skopiowane i przekazane na platformę Azure.
Jeśli plik nie wygląda podobnie do przykładu, zazwyczaj oznacza to, że nie został wyeksportowany przy użyciu zakodowanego w formacie Base-64 X.509(. Format CER). Ponadto jeśli używasz edytora tekstów innego niż Notatnik, pamiętaj, że niektóre edytory mogą wprowadzać niezamierzone formatowanie w tle. Może to powodować problemy podczas przekazywania tekstu z tego certyfikatu na platformę Azure.
Plik exported.cer musi zostać przekazany na platformę Azure. Aby uzyskać instrukcje, zobacz Konfigurowanie połączenia punkt-lokacja. Aby dodać dodatkowy zaufany certyfikat główny, zobacz tę sekcję artykułu.
Eksportowanie certyfikatu z podpisem własnym i klucza prywatnego w celu jego przechowywania (opcjonalnie)
Możesz wyeksportować certyfikat główny z podpisem własnym i bezpiecznie go zapisać. Później można zainstalować go na innym komputerze i wygenerować więcej certyfikatów klienta lub wyeksportować inny plik .cer. Aby wyeksportować certyfikat główny z podpisem własnym jako plik PFX, wybierz certyfikat główny i wykonaj te same kroki, jak opisano w artykule Eksportowanie certyfikatu klienta.
Tworzenie i instalowanie certyfikatów klienta
Nie instalujesz certyfikatu z podpisem własnym bezpośrednio na komputerze klienckim. Należy wygenerować certyfikat klienta na podstawie certyfikatu z podpisem własnym. Następnie należy wyeksportować i zainstalować certyfikat klienta na komputerze klienckim. Poniższe kroki nie są specyficzne dla modelu wdrażania. Są one prawidłowe zarówno dla usługi Resource Manager, jak i klasycznej.
Generowanie certyfikatu klienta
Na każdym komputerze klienckim nawiązującym połączenie z siecią wirtualną za pomocą połączenia typu punkt-lokacja musi być zainstalowany certyfikat klienta w celu uwierzytelniania. Wygenerujesz certyfikat klienta z certyfikatu głównego z podpisem własnym, a następnie wyeksportuj i zainstaluj certyfikat klienta. Jeśli certyfikat klienta nie jest zainstalowany, uwierzytelnianie nie powiedzie się.
W poniższych krokach przedstawiono proces generowania certyfikatu klienta z certyfikatu głównego z podpisem własnym. Można wygenerować wiele certyfikatów klienta z tego samego certyfikatu głównego. W przypadku generowania certyfikatów klienta przy użyciu poniższych kroków certyfikat klienta jest automatycznie instalowany na komputerze użytym do wygenerowania certyfikatu. Jeśli chcesz zainstalować certyfikat klienta na innym komputerze klienckim, możesz wyeksportować certyfikat.
Na tym samym komputerze, który został użyty do utworzenia certyfikatu z podpisem własnym, otwórz wiersz polecenia jako administrator.
Zmodyfikuj i uruchom przykład, aby wygenerować certyfikat klienta.
- Zmień wartość "P2SRootCert" na nazwę katalogu głównego z podpisem własnym, z którego generujesz certyfikat klienta. Upewnij się, że używasz nazwy certyfikatu głównego, który jest dowolną wartością "CN=", która została określona podczas tworzenia katalogu głównego z podpisem własnym.
- Zmień wartość P2SChildCert na nazwę, którą chcesz wygenerować certyfikat klienta.
Jeśli uruchomisz poniższy przykład bez modyfikowania go, wynikiem jest certyfikat klienta o nazwie P2SChildcert w osobistym magazynie certyfikatów, który został wygenerowany na podstawie certyfikatu głównego P2SRootCert.
makecert.exe -n "CN=P2SChildCert" -pe -sky exchange -m 96 -ss My -in "P2SRootCert" -is my -a sha256
Eksportowanie certyfikatu klienta
Po wygenerowaniu certyfikatu klienta jest on automatycznie instalowany na komputerze, który został użyty do jego wygenerowania. Jeśli chcesz zainstalować certyfikat klienta na innym komputerze klienckim, musisz najpierw wyeksportować certyfikat klienta.
Aby wyeksportować certyfikat klienta, otwórz okno Zarządzaj certyfikatami użytkowników. Wygenerowane certyfikaty klienta są domyślnie zlokalizowane w folderze "Certyfikaty — bieżący użytkownik\Osobiste\Certyfikaty". Kliknij prawym przyciskiem myszy certyfikat klienta, który chcesz wyeksportować, kliknij wszystkie zadania, a następnie kliknij polecenie Eksportuj, aby otworzyć Kreatora eksportu certyfikatów.
W Kreatorze eksportu certyfikatów kliknij przycisk Dalej , aby kontynuować.
Wybierz pozycję Tak, wyeksportuj klucz prywatny, a następnie kliknij przycisk Dalej.
Na stronie Format pliku eksportu pozostaw wybrane wartości domyślne. Upewnij się, że jest zaznaczona pozycja Jeśli jest to możliwe, dołącz wszystkie certyfikaty do ścieżki certyfikacji. To ustawienie dodatkowo eksportuje informacje o certyfikacie głównym, które są wymagane do pomyślnego uwierzytelnienia klienta. Bez niego uwierzytelnianie klienta kończy się niepowodzeniem, ponieważ klient nie ma zaufanego certyfikatu głównego. Następnie kliknij przycisk Dalej.
Na stronie Zabezpieczenia należy włączyć ochronę klucza prywatnego. Jeśli wybierzesz opcję użycia hasła, zapisz lub zapamiętaj hasło ustawione dla tego certyfikatu. Następnie kliknij przycisk Dalej.
W obszarze Eksport pliku wybierz pozycję Przeglądaj, aby przejść do lokalizacji, do której chcesz wyeksportować certyfikat. Do pola Nazwa pliku wprowadź nazwę pliku certyfikatu. Następnie kliknij przycisk Dalej.
Kliknij przycisk Zakończ, aby wyeksportować certyfikat.
Instalowanie wyeksportowanego certyfikatu klienta
Aby zainstalować certyfikat klienta, zobacz Instalowanie certyfikatu klienta.
Następne kroki
Kontynuuj konfigurację punkt-lokacja.
- Aby zapoznać się z krokami modelu wdrażania usługi Resource Manager , zobacz Konfigurowanie połączenia punkt-lokacja przy użyciu natywnego uwierzytelniania certyfikatu platformy Azure.
- Aby uzyskać instrukcje dotyczące klasycznego modelu wdrażania, zobacz Konfigurowanie połączenia sieci VPN typu punkt-lokacja z siecią wirtualną (klasyczną).
Aby uzyskać informacje dotyczące rozwiązywania problemów z połączeniem typu punkt-lokacja, zobacz Troubleshooting Azure point-to-site connections (Rozwiązywanie problemów z połączeniami typu punkt-lokacja na platformie Azure).