Generación y exportación de certificados: Linux: OpenSSL
Este artículo le ayuda a crear un certificado raíz autofirmado y a generar el certificado de cliente .pem mediante OpenSSL. Si en cambio necesita archivos .pfx y .cer, consulte las instrucciones de Windows PowerShell.
Requisitos previos
Para usar este artículo, debe tener un equipo que ejecute OpenSSL.
Certificado raíz autofirmado
Esta sección le ayuda a generar un certificado raíz autofirmado. Después de generar el certificado, exporta el archivo de datos de clave pública del certificado raíz.
El ejemplo siguiente le ayuda a generar el certificado raíz autofirmado.
openssl genrsa -out caKey.pem 2048 openssl req -x509 -new -nodes -key caKey.pem -subj "/CN=VPN CA" -days 3650 -out caCert.pemImprima los datos públicos del certificado raíz autofirmado en formato base64. Es el formato compatible con Azure. Cargue este certificado en Azure como parte de los pasos de configuración de P2S.
openssl x509 -in caCert.pem -outform der | base64 -w0 && echo
Certificados de cliente
En esta sección, generará el certificado de usuario (certificado de cliente). Los archivos de certificado se generan en el directorio local en el que se ejecutan los comandos. Puede usar el mismo certificado de cliente en cada equipo cliente o generar certificados específicos de cada cliente. Es fundamental que el certificado de cliente esté firmado por el certificado raíz.
Para generar un certificado de cliente, use los ejemplos siguientes.
export PASSWORD="password" export USERNAME=$(hostnamectl --static) # Generate a private key openssl genrsa -out "${USERNAME}Key.pem" 2048 # Generate a CSR (Certificate Sign Request) openssl req -new -key "${USERNAME}Key.pem" -out "${USERNAME}Req.pem" -subj "/CN=${USERNAME}" # Sign the CSR using the CA certificate and CA key openssl x509 -req -days 365 -in "${USERNAME}Req.pem" -CA caCert.pem -CAkey caKey.pem -CAcreateserial -out "${USERNAME}Cert.pem" -extfile <(echo -e "subjectAltName=DNS:${USERNAME}\nextendedKeyUsage=clientAuth")Para comprobar el certificado de cliente, use el ejemplo siguiente.
openssl verify -CAfile caCert.pem caCert.pem "${USERNAME}Cert.pem"
Pasos siguientes
Para continuar con los pasos de configuración, consulte Autenticación de certificados de punto a sitio.
Comentarios
Proximamente: Ao longo de 2024, retiraremos gradualmente GitHub Issues como mecanismo de comentarios sobre o contido e substituirémolo por un novo sistema de comentarios. Para obter máis información, consulte: https://aka.ms/ContentUserFeedback.
Enviar e ver os comentarios