Compartilhar via

Gerar e exportar certificados para conexões VPN P2S de Usuário usando o MakeCert

  • Artigo

Este artigo mostra como criar um certificado raiz autoassinado e gerar certificados do cliente usando o MakeCert. As etapas incluídas neste artigo ajudam você a criar arquivos de .pfx e .cer. Para arquivos .pem, consulte Gerar arquivos de certificado .pem.

Observação

Recomendamos usar as etapas do PowerShell para criar seus certificados. Fornecemos essas instruções MakeCert como um método opcional.

O MakeCert foi preterido. Isso significa que essa ferramenta pode ser removida a qualquer momento. Todos os certificados que você já gerou usando o MakeCert não serão afetados se o MakeCert não estiver mais disponível. MakeCert só é usado para gerar os certificados, não como um mecanismo de validação.

Criar um certificado raiz autoassinado

As etapas a seguir mostram como criar um certificado autoassinado usando o MakeCert. Essas etapas não são específicas do modelo de implantação.

  1. Baixe e instale o MakeCert.

  2. Após a instalação, você pode normalmente localizar o utilitário makecert.exe neste caminho: 'C:\Program Files (x86)\Windows Kits\10\bin<arch>'. No entanto, é possível que tenha sido instalado em outro local. Abra um prompt de comando como administrador e navegue até o local do utilitário MakeCert. Você pode usar o exemplo a seguir, ajustando para o local apropriado:

    cd C:\Program Files (x86)\Windows Kits\10\bin\x64

  3. Em seguida, crie e instale um certificado no repositório de certificados Pessoal em seu computador. O exemplo a seguir cria um arquivo .cer correspondente que você carrega no Azure ao configurar P2S. Substitua “P2SRootCert” e “P2SRootCert.cer” pelo nome que você deseja usar para o certificado. O certificado está localizado em seus 'Certificados – Current User\Personal\Certificates'.

    makecert -sky exchange -r -n "CN=P2SRootCert" -pe -a sha256 -len 2048 -ss My

Exportar a chave pública (.cer)

Após criar um certificado raiz autoassinado, exporte o arquivo .cer do certificado raiz (não a chave privada). Posteriormente, você carregará no Azure os dados de certificado necessários contidos no arquivo. As etapas a seguir ajudam você a exportar o arquivo .cer de seu certificado raiz autoassinado e a recuperar os dados de certificado necessários.

  1. Para obter o arquivo .cer do certificado, abra Gerenciar certificados de usuário.

    Localize o certificado raiz autoassinado, normalmente em Certificados – Usuário Atual\Pessoal\Certificados, então clique nele com o botão direito do mouse. Selecione Todas as Tarefas ->Exportar. Isso abre o Assistente para Exportação de Certificados.

    Se você não encontrar o certificado em “Usuário\Pessoal\Certificados”, pode ser que você tenha aberto acidentalmente Certificados - Computador Local em vez de Certificados - Usuário Atual.

    A captura de tela mostra a janela Certificados com Todas as Tarefas e Exportar selecionados.

  2. No assistente, selecione Próximo.

  3. Selecione Não exportar a chave privada e selecione Avançar.

  4. Na página Exportar Formato de Arquivo, selecione X.509 codificado em Base-64 (.CER). e selecione Avançar.

  5. Para o Arquivo a ser Exportado, use Procurar para encontrar a localização para a qual você deseja exportar o certificado. Em Nome do arquivo, dê um nome ao arquivo de certificado. Em seguida, selecione Avançar.

  6. Selecione Concluir para exportar o certificado.

  7. Você verá a confirmação de que A exportação foi bem-sucedida.

  8. Vá para o local em que você exportou o certificado e abra-o usando um editor de texto como o Bloco de Notas. Se você exportou o certificado no formato X.509 codificado em Base-64 necessário (.CER), verá um texto semelhante ao exemplo a seguir. A seção realçada em azul contém as informações que você copia e carrega no Azure.

    A captura de tela mostra o arquivo CER aberto no Bloco de Notas com os dados do certificado realçados.

    Se o arquivo não for semelhante ao exemplo, isso normalmente significa que o certificado não foi exportado usando o formato X.509 codificado em Base 64 (.CER). Além disso, se você usa um editor de texto diferente do Bloco de Notas, é importante saber que alguns editores podem introduzir formatação não intencional em segundo plano. Isso pode criar problemas ao fazer upload do texto desse certificado para o Azure.

O arquivo exported.cer é carregado no Azure quando você configura o gateway P2S.

Exportar o certificado autoassinado e a chave privada para armazená-lo (opcional)

Talvez você queira exportar o certificado raiz autoassinado e armazená-lo com segurança. Você pode instalá-la depois em outro computador e gerar mais certificados de cliente, ou exportar outro arquivo .cer. Para exportar o certificado raiz autoassinado como um .pfx, selecione o certificado raiz e use as mesmas etapas, conforme descrito em Exportar um certificado do cliente para exportar.

Criar e instalar certificados de cliente

Não instale o certificado autoassinado diretamente no computador cliente. Você precisa gerar um certificado de cliente do certificado autoassinado. Em seguida, você exporta e instala o certificado de cliente no computador cliente. Essas etapas não são específicas ao modelo de implantação.

Gerar um certificado do cliente

Cada computador cliente que se conecta a uma rede virtual usando ponto a site deve ter um certificado do cliente instalado. Você gera um certificado do cliente com base no certificado raiz autoassinado e, em seguida, a exporta e instala o certificado do cliente. Se o certificado do cliente não estiver instalado, a autenticação não vai funcionar.

As etapas abaixo lhe guiarão pela geração de um certificado do cliente por meio de um certificado raiz autoassinado. Você pode gerar vários certificados cliente a partir do mesmo certificado raiz. Quando você gerar certificados do cliente usando as etapas a seguir, o certificado do cliente será instalado automaticamente no computador que você tiver usado para gerar o certificado. Se você quiser instalar um certificado do cliente em outro computador cliente, você poderá exportar o certificado.

  1. No mesmo computador usado para criar o certificado autoassinado, abra um prompt de comando como administrador.

  2. Modifique e execute o exemplo para gerar um certificado de cliente.

    • Altere “P2SRootCert” para o nome da raiz autoassinada com base na qual você está gerando o certificado do cliente. Verifique se você está usando o nome do certificado raiz, que é equivalente ao valor 'CN=' que você especificou quando criou a raiz autoassinada.
    • Altere P2SChildCert para o nome que você deseja fornecer a um certificado do cliente gerado.

    Se você executar o exemplo a seguir sem modificá-lo, o resultado será um certificado do cliente chamado P2SChildcert em seu repositório de certificados Personal que foi gerado com base no certificado raiz P2SRootCert.

    makecert.exe -n "CN=P2SChildCert" -pe -sky exchange -m 96 -ss My -in "P2SRootCert" -is my -a sha256

Exportar um certificado do cliente

Quando você gerar um certificado do cliente, ele será instalado automaticamente no computador que você usou para gerá-lo. Se você quiser instalar um certificado do cliente em outro computador cliente, primeiro precisará exportar o certificado do cliente.

  1. Para exportar um certificado de cliente, abra Gerenciar certificados de usuário. Os certificados do cliente que você gerou são, por padrão, localizados em 'Certificates - Current User\Personal\Certificates'. Clique com o botão direito do mouse no certificado do cliente que você deseja exportar, clique em todas as tarefas e clique em exportar para abrir o Assistente para Exportação de Certificados.

    A captura de tela mostra a janela Certificados com Todas as Tarefas e Exportar selecionados.

  2. No Assistente para Exportação de Certificados, clique em Avançar para continuar.

  3. Selecione Sim, exportar a chave privada e, em seguida, clique em Avançar.

  4. Na página Formato do Arquivo de Exportação, deixe os padrões selecionados. Verifique se a opção Incluir todos os certificados no caminho de certificação, se possível está selecionada. Adicionalmente, essa exporta as informações sobre o certificado raiz necessárias para uma autenticação de cliente bem-sucedida. Sem isso, a autenticação de cliente irá falhar porque o cliente não possui o certificado raiz confiável. Em seguida, clique em Avançar.

    Captura de tela da página de formato de arquivo de exportação.

  5. Na página Segurança , você deve proteger a chave privada. Se você optar por usar uma senha, não deixe de anotar ou lembrar da senha definida para esse certificado. Em seguida, clique em Avançar.

  6. Em Arquivo a ser Exportado, use Procurar para encontrar a localização para a qual você deseja exportar o certificado. Em Nome do arquivo, dê um nome ao arquivo de certificado. Em seguida, clique em Avançar.

  7. Clique em Concluir para exportar o certificado.

Instalar um certificado do cliente exportado

Para instalar um certificado de cliente, confira Instalar um certificado de cliente.

Próximas etapas

Continue com a configuração de Ponto a Site. Consulte Criar uma conexão VPN P2S do Usuário usando a WAN Virtual do Azure.