Generación y exportación de certificados para conexiones de punto a sitio con MakeCert
En este artículo, se muestra cómo crear un certificado raíz autofirmado y generar certificados de cliente con MakeCert. Los pasos de este artículo le ayudarán a crear archivos .pfx y .cer. Si busca instrucciones de certificado diferentes, consulte Archivos de certificado de PowerShell - .pfx y .cer o Archivos de certificado de Linux- OpenSSL- .pem.
Se recomienda usar los pasos de PowerShell de Windows 10 o posteriores para crear los certificados. Proporcionamos estas instrucciones MakeCert como un método opcional. Los certificados que genera mediante cualquiera de estos métodos pueden instalarse en cualquier sistema operativo cliente compatible. MakeCert tiene la siguiente limitación:
- Makecert está en desuso. Esto significa que se puede quitar esta herramienta en cualquier momento. Los certificados ya generados con MakeCert no se verán afectados si MakeCert ya no está disponible. MakeCert solo se utiliza para generar los certificados, no como un mecanismo de validación.
Creación de un certificado raíz autofirmado
Los siguientes pasos le mostrarán cómo crear un certificado autofirmado mediante MakeCert. Estos pasos no son específicos del modelo de implementación. Son válidos para el Administrador de recursos y la versión clásica.
Descargue e instale MakeCert.
Después de la instalación, la utilidad makecert.exe se encuentra normalmente en esta ruta de acceso: C:\Archivos de programa (x86)\Windows Kits\10\bin<arch>. Sin embargo, es posible que se haya instalado en otra ubicación. Abra un símbolo del sistema como administrador y navegue hasta la ubicación de la utilidad MakeCert. Puede usar el siguiente ejemplo y ajustar la ubicación adecuada:
cd C:\Program Files (x86)\Windows Kits\10\bin\x64
Después, cree e instale un certificado en el almacén de certificados personal de su equipo. En el ejemplo siguiente se crea un archivo .cer correspondiente que se carga en Azure al configurar P2S. Reemplace P2SRootCert y P2SRootCert.cer por el nombre que quiera usar para el certificado. El certificado se encuentra en los certificados, en "Usuario actual\Personal\Certificados".
makecert -sky exchange -r -n "CN=P2SRootCert" -pe -a sha256 -len 2048 -ss My
Exportación de la clave pública (.cer)
Después de crear un certificado raíz autofirmado, exporte el archivo .cer del certificado raíz (no la clave privada). Posteriormente cargará los datos de certificado necesarios incluidos en el archivo en Azure. Los pasos siguientes ayudan con la exportación del archivo .cer para el certificado raíz autofirmado y la recuperación de los datos de certificado necesarios.
Para obtener el archivo .cer de certificado, abra Administrar certificados de usuario.
Busque el certificado raíz autofirmado, normalmente se encuentra en Certificados - Usuario actual\Personal\Certificados y haga clic con el botón derecho. Seleccione Todas las tareas ->Exportar. Se abre el Asistente para exportar certificados.
Si no encuentra el certificado en "Usuario actual\Personal\Certificados", puede que haya abierto de forma accidental Certificados – Equipo local, en lugar de Certificados - Usuario actual.
En el asistente, seleccione Siguiente.
Seleccione No exportar la clave privada y, después, seleccione Siguiente.
En la página Formato de archivo de exportación, seleccione X.509 codificado base 64 (.CER) y, luego, seleccione Siguiente.
En Archivo que se va a exportar, haga clic en Examinar para ir a la ubicación a la que desea exportar el certificado. En Nombre de archivo, asígnele un nombre al archivo de certificado. Después, seleccione Siguiente.
Seleccione Finalizar para exportar el certificado.
Verá la confirmación La exportación se realizó correctamente.
Vaya a la ubicación donde exportó el certificado y ábralo mediante un editor de texto, como el Bloc de notas. Si exportó el certificado en el formato X.509 codificado en base 64 (.CER) necesario, verá un texto similar al ejemplo siguiente. La sección resaltada en azul contiene la información que se copia y se carga en Azure.
Si el archivo no se parece al del ejemplo, suele ser porque no lo exportó con formato X.509 codificado en base 64 (.CER). Además, si desea utilizar un editor de texto diferente al Bloc de notas, debe comprender que algunos editores pueden introducir formatos no deseados en segundo plano. Esto puede crear problemas al cargar el texto de este certificado en Azure.
El archivo exported.cer debe cargarse en Azure. Para ver las instrucciones, consulte Configuración de una conexión de punto a sitio. Para agregar un certificado raíz de confianza adicional, vea esta sección del artículo.
Exportación del certificado autofirmado y clave privada para almacenarlo (opcional)
Puede que desee exportar el certificado autofirmado y almacenarlo de manera segura. Si es necesario, más adelante puede instalarlo en otro equipo y generar más certificados de cliente. Para exportar el certificado raíz autofirmado como archivo .pfx, seleccione el certificado raíz y use los mismos pasos descritos en Exportación de un certificado de cliente.
Creación e instalación de certificados de cliente
No instale el certificado autofirmado directamente en el equipo cliente. Debe generar un certificado de cliente a partir del certificado autofirmado. Luego, el certificado de cliente se exporta e instala en el equipo cliente. Los siguientes pasos no son específicos del modelo de implementación. Son válidos para el Administrador de recursos y la versión clásica.
Generación de un certificado de cliente
Cada equipo cliente que se conecta a una red virtual con una conexión de punto a sitio debe tener instalado un certificado de cliente. Puede generarlo desde un certificado raíz autofirmado y, luego, exportar e instalar el certificado de cliente. Si no está instalado el certificado de cliente, se produce un error de autenticación.
Los pasos siguientes lo llevan por el proceso de generación de un certificado de cliente a partir de un certificado autofirmado. Puede generar varios certificados de cliente desde el mismo certificado raíz. Al generar certificados de cliente mediante los pasos siguientes, el certificado de cliente se instala automáticamente en el equipo que se usó para generar el certificado. Si desea instalar un certificado de cliente en otro equipo cliente, puede exportar el certificado.
En el mismo equipo que usó para crear el certificado autofirmado, abra un símbolo del sistema como administrador.
Modifique y ejecute el ejemplo para generar un certificado de cliente.
- Cambie "P2SRootCert" por el nombre del certificado raíz autofirmado desde el que genera el certificado de cliente. Asegúrese de que esté usando el nombre del certificado raíz, que será el valor de CN= que especificó cuando creó el certificado raíz autofirmado.
- Cambie P2SChildCert por el nombre con el cual desea generar un certificado de cliente.
Si ejecuta el mismo ejemplo sin modificarlo, el resultado es un certificado de cliente denominado P2SChildcert en el almacén de certificados personal que se generó a partir del certificado raíz P2SRootCert.
makecert.exe -n "CN=P2SChildCert" -pe -sky exchange -m 96 -ss My -in "P2SRootCert" -is my -a sha256
Exportación de un certificado de cliente
Al generar un certificado de cliente, se instala automáticamente en el equipo que usó para generarlo. Si desea instalar el certificado de cliente en otro equipo cliente, debe exportar primero el certificado de cliente.
Para exportar un certificado de cliente, abra Administrar certificados de usuario. De forma predeterminada, los certificados de cliente que ha generado se encuentran en "Certificates - Current User\Personal\Certificates". Haga clic con el botón derecho en el certificado de cliente que desee exportar y haga clic en Todas las tareas y en Exportar para abrir el Asistente para exportar certificados.
En Asistente para exportar certificados, haga clic en Siguiente para continuar.
Seleccione Exportar la clave privada y, después, haga clic en Siguiente.
En la página Formato de archivo de exportación, deje seleccionados los valores predeterminados. Asegúrese de que Incluir todos los certificados en la ruta de certificación si es posible esté seleccionada. Esta opción también exporta la información del certificado raíz que se requiere para una autenticación correcta del cliente. Sin ella, se produce un error de autenticación del cliente porque este no tiene el certificado raíz de confianza. A continuación, haga clic en Siguiente.
En la página Seguridad , debe proteger la clave privada. Si decide usar una contraseña, asegúrese de anotarla o de recordar la contraseña que estableció para este certificado. A continuación, haga clic en Siguiente.
En Archivo que se va a exportar, haga clic en Examinar para ir a la ubicación a la que desea exportar el certificado. En Nombre de archivo, asígnele un nombre al archivo de certificado. A continuación, haga clic en Siguiente.
Haga clic en Finalizar para exportar el certificado.
Instalación de un certificado de cliente exportado
Para instalar un certificado de cliente, consulte Instalación de un certificado de cliente.
Pasos siguientes
Continúe con la configuración de punto a sitio.
- Para conocer los pasos del modelo de implementación de Resource Manager, consulte cómo configurar una conexión de punto a sitio mediante la autenticación de certificados de Azure nativa.
- Para ver los pasos del modelo de implementación clásica, consulte el artículo Configuración de una conexión VPN de punto a sitio a una red virtual mediante el Portal clásico.
Para obtener información sobre solución de problemas de P2S, vea Solución de problemas: conexión de punto a sitio de Azure.