Compartilhar via

Renovando Certificado VPN P2S Microsoft Azure para 3 anos

  • Artigo

​Neste pequeno artigo vamos mostrar como renovar o certificado de VPN P2S do Microsoft Azure para 3 anos ou mais. Hoje a documentação para renovação do certificado da VPN P2S no Azure, nos mostra apenas a renovação para 1 ano por questões de segurança. Concordamos que isso é bem válido pensando nas melhores práticas de segurança, mas para cenários grandes isso pode ser um problema,  aumentando a mão de obra drasticamente na parte de infraestrutura.

Pensando nisso, mostraremos como gerar o seu novo certificado P2S para 3 anos. Vamos para a parte prática!

Primeiramente abra o seu Powershell ISE ou Powershell e digite os seguintes comandos:

# Primeiro Rodar esse primeiro bloco
 
$date_now = Get-Date
$extended_date = $date_now.AddYears(3)
$cert = New-SelfSignedCertificate -Type Custom -KeySpec Signature `
-Subject “CN=P2SRootCert” -KeyExportPolicy Exportable `
-HashAlgorithm sha256 -KeyLength 2048 `
-CertStoreLocation “Cert:\CurrentUser\My” -KeyUsageProperty Sign -KeyUsage CertSign -Notafter $extended_date
 
 
# Depois Rodar esse segundo bloco 
 
New-SelfSignedCertificate -Type Custom -DnsName P2SChildCert -KeySpec Signature `
-Subject “CN=P2SChildCert” -KeyExportPolicy Exportable `
-HashAlgorithm sha256 -KeyLength 2048 `
-CertStoreLocation “Cert:\CurrentUser\My” `
-Signer $cert -TextExtension @(“2.5.29.37={text}1.3.6.1.5.5.7.3.2”) -Notafter $extended_date

Veja que a variável $date_now.AddYears(3) vai gerar o certificado para 3 anos. Você pode aumentar esse período se quiser, mas acredito que 3 anos seja o suficiente para se programar para uma próxima renovação. Tudo depende do seu cenário e também regras da sua organização. **Deixamos bem claro que por questões de segurança a melhor prática é 1 ano, conforme documentação no Microsoft Docs.
**
Após a execução do comando, acesse o "certmgr.msc":

Veja que o seu certificado foi gerado com sucesso.

Confira se a data foi estendida para 3 anos ou pelo período que você definiu no comando. Se estiver tudo OK, exporte o seu novo certificado salve em seu computador.

Abra o certificado com o bloco de notas e copie a chave pública, conforme mostramos na imagem abaixo:

Dentro do portal do Microsoft Azure, insira o nome amigável do seu certificado digital, juntamente com sua chave pública. Se voce vai precisar remover o certificado atual para conseguir inserir um novo. Esse processo remoção do certificado pode levar alguns minutos.

Salve as configurações com o seu novo certificado. Importe o seu novo certificado .pfx aos clientes e pronto, seu certificado P2S no Microsoft Azure estará pronto para ser utilizado e irá expirar após 3 anos de uso. Esperamos que esse pequeno artigo ajude todos os administradores de infraestrutura que utilizam os serviços online da Microsoft.