Tanúsítványok létrehozása és exportálása felhasználói VPN-kapcsolatokhoz a PowerShell használatával

A felhasználói VPN-konfigurációk (pont–hely) úgy konfigurálhatók, hogy tanúsítványokat igényeljenek a hitelesítéshez. Ez a cikk bemutatja, hogyan hozhat létre önaláírt főtanúsítványt, és hogyan hozhat létre ügyféltanúsítványokat a PowerShell használatával Windows 10(vagy újabb) vagy Windows Server 2016 (vagy újabb) rendszeren.

A tanúsítványok létrehozásához használt PowerShell-parancsmagok az operációs rendszer részét képezik, és nem működnek a Windows más verzióin. A gazdagép operációs rendszere csak a tanúsítványok létrehozásához használható. A tanúsítványok létrehozása után feltöltheti vagy telepítheti őket bármely támogatott ügyfél operációs rendszerre.

Ha nem rendelkezik olyan számítógéppel, amely megfelel az operációs rendszer követelményeinek, a MakeCert használatával tanúsítványokat hozhat létre. A bármelyik módszerrel létrehozott tanúsítványok bármely támogatott ügyfél operációs rendszerre telepíthetők.

Önaláírt főtanúsítvány létrehozása

A New-SelfSignedCertificate parancsmaggal önaláírt főtanúsítványt hozhat létre. További paraméterinformációkért lásd: New-SelfSignedCertificate.

1. Windows 10 vagy újabb rendszerű számítógépről vagy Windows Server 2016-ról nyisson meg egy emelt szintű jogosultságokkal rendelkező Windows PowerShell-konzolt.

2. Önaláírt főtanúsítvány létrehozása. Az alábbi példa létrehoz egy "P2SRootCert" nevű, önaláírt főtanúsítványt, amely automatikusan telepítve van a "Certificates-Current User\Personal\Certificates" mappában. A tanúsítványt a certmgr.msc vagy a Felhasználói tanúsítványok kezelése megnyitásával tekintheti meg.

   A minta használata előtt végezze el a szükséges módosításokat. A "NotAfter" paraméter megadása nem kötelező. Alapértelmezés szerint ezen paraméter nélkül a tanúsítvány 1 év múlva lejár.

   $params = @{
       Type = 'Custom'
       Subject = 'CN=P2SRootCert'
       KeySpec = 'Signature'
       KeyExportPolicy = 'Exportable'
       KeyUsage = 'CertSign'
       KeyUsageProperty = 'Sign'
       KeyLength = 2048
       HashAlgorithm = 'sha256'
       NotAfter = (Get-Date).AddMonths(24)
       CertStoreLocation = 'Cert:\CurrentUser\My'
   }
   $cert = New-SelfSignedCertificate @params
   

3. Hagyja nyitva a PowerShell-konzolt, és folytassa az ügyféltanúsítvány létrehozásának következő lépéseivel.

Ügyféltanúsítvány létrehozása

Minden olyan ügyfélszámítógépnek, amely pont–hely használatával csatlakozik egy virtuális hálózathoz, telepítve kell lennie egy ügyféltanúsítvánnyal. Létrehoz egy ügyféltanúsítványt az önaláírt főtanúsítványból, majd exportálja és telepíti az ügyféltanúsítványt. Ha az ügyféltanúsítvány nincs telepítve, a hitelesítés meghiúsul.

Az alábbi lépések végigvezetik egy ügyféltanúsítvány önaláírt főtanúsítványból történő létrehozásán. Ugyanabból a főtanúsítványból több ügyféltanúsítványt is létrehozhat. Amikor az alábbi lépésekkel hoz létre ügyféltanúsítványokat, az ügyféltanúsítvány automatikusan telepítve lesz a tanúsítvány létrehozásához használt számítógépen. Ha egy ügyféltanúsítványt szeretne telepíteni egy másik ügyfélszámítógépre, exportálja a tanúsítványt.

A példák a New-SelfSignedCertificate parancsmag használatával hoznak létre ügyféltanúsítványt.

1. példa – A PowerShell-konzol munkamenete továbbra is nyitva van

Ezt a példát akkor használja, ha még nem zárta be a PowerShell-konzolt az önaláírt főtanúsítvány létrehozása után. Ez a példa az előző szakaszból folytatódik, és a deklarált "$cert" változót használja. Ha az önaláírt főtanúsítvány létrehozása után bezárta a PowerShell-konzolt, vagy újabb ügyféltanúsítványokat hoz létre egy új PowerShell-konzol munkamenetben , kövesse a 2. példa lépéseit.

Módosítsa és futtassa a példát egy ügyféltanúsítvány létrehozásához. Ha a következő példát módosítás nélkül futtatja, az eredmény egy "P2SChildCert" nevű ügyféltanúsítvány. Ha más nevet szeretne adni a gyermektanúsítványnak, módosítsa a CN-értéket. A példa futtatásakor ne módosítsa a TextExtensiont. A létrehozott ügyféltanúsítvány automatikusan telepítve lesz a számítógépen a "Tanúsítványok – Aktuális felhasználó\Személyes\Tanúsítványok" területen.

   $params = @{
       Type = 'Custom'
       Subject = 'CN=P2SChildCert'
       DnsName = 'P2SChildCert'
       KeySpec = 'Signature'
       KeyExportPolicy = 'Exportable'
       KeyLength = 2048
       HashAlgorithm = 'sha256'
       NotAfter = (Get-Date).AddMonths(18)
       CertStoreLocation = 'Cert:\CurrentUser\My'
       Signer = $cert
       TextExtension = @(
        '2.5.29.37={text}1.3.6.1.5.5.7.3.2')
   }
   New-SelfSignedCertificate @params

2. példa – Új PowerShell-konzol munkamenete

Ha további ügyféltanúsítványokat hoz létre, vagy nem ugyanazt a PowerShell-munkamenetet használja, mint az önaláírt főtanúsítvány létrehozásához, kövesse az alábbi lépéseket:

1. Azonosítsa a számítógépre telepített önaláírt főtanúsítványt. Ez a parancsmag a számítógépre telepített tanúsítványok listáját adja vissza.

   Get-ChildItem -Path "Cert:\CurrentUser\My"
   

2. Keresse meg a tulajdonos nevét a visszaadott listából, majd másolja a mellette található ujjlenyomatot egy szövegfájlba. Az alábbi példában két tanúsítvány található. A CN neve annak az önaláírt főtanúsítványnak a neve, amelyből gyermektanúsítványt szeretne létrehozni. Ebben az esetben a "P2SRootCert".

   Thumbprint                                Subject
   ----------                                -------
   AED812AD883826FF76B4D1D5A77B3C08EFA79F3F  CN=P2SChildCert4
   7181AA8C1B4D34EEDB2F3D3BEC5839F3FE52D655  CN=P2SRootCert
   

3. Deklaráljon egy változót a főtanúsítványhoz az előző lépés ujjlenyomatával. Cserélje le az UJJLENYOMATot annak a főtanúsítványnak az ujjlenyomatára, amelyből gyermektanúsítványt szeretne létrehozni.

   $cert = Get-ChildItem -Path "Cert:\CurrentUser\My\<THUMBPRINT>"
   

   Ha például az előző lépésben a P2SRootCert ujjlenyomatát használja, a változó a következőképpen néz ki:

   $cert = Get-ChildItem -Path "Cert:\CurrentUser\My\7181AA8C1B4D34EEDB2F3D3BEC5839F3FE52D655"
   

4. Módosítsa és futtassa a példát egy ügyféltanúsítvány létrehozásához. Ha a következő példát módosítás nélkül futtatja, az eredmény egy "P2SChildCert" nevű ügyféltanúsítvány. Ha más nevet szeretne adni a gyermektanúsítványnak, módosítsa a CN-értéket. A példa futtatásakor ne módosítsa a TextExtensiont. A létrehozott ügyféltanúsítvány automatikusan telepítve lesz a számítógépen a "Tanúsítványok – Aktuális felhasználó\Személyes\Tanúsítványok" területen.

   $params = @{
       Type = 'Custom'
       Subject = 'CN=P2SChildCert'
       DnsName = 'P2SChildCert1'
       KeySpec = 'Signature'
       KeyExportPolicy = 'Exportable'
       KeyLength = 2048
       HashAlgorithm = 'sha256'
       NotAfter = (Get-Date).AddMonths(18)
       CertStoreLocation = 'Cert:\CurrentUser\My'
       Signer = $cert
       TextExtension = @(
        '2.5.29.37={text}1.3.6.1.5.5.7.3.2')
   }
   New-SelfSignedCertificate @params
   

A főtanúsítvány nyilvános kulcsának exportálása (.cer)

Miután létrehozott egy önaláírt főtanúsítványt, exportálja a főtanúsítványt .cer fájlt (nem a titkos kulcsot). Később feltölti a fájlban található szükséges tanúsítványadatokat az Azure-ba. Az alábbi lépések segítségével exportálhatja az önaláírt főtanúsítvány .cer fájlját, és lekérheti a szükséges tanúsítványadatokat.

1. A tanúsítvány .cer fájl lekéréséhez nyissa meg a Felhasználói tanúsítványok kezelése lehetőséget.

   Keresse meg az önaláírt főtanúsítványt, amely általában a Tanúsítványok – Aktuális felhasználó\Személyes\Tanúsítványok területen található, és kattintson a jobb gombbal. Válassza az Összes tevékenység –> Exportálás lehetőséget. Megnyílik a Tanúsítványexportáló varázsló.

   Ha nem találja a tanúsítványt az "Aktuális felhasználó\Személyes\Tanúsítványok" területen, előfordulhat, hogy véletlenül megnyitotta a tanúsítványokat – Helyi számítógép, nem pedig tanúsítványok – Aktuális felhasználó.

   

2. A varázslóban válassza a Tovább gombot.

3. Válassza a Nem lehetőséget, ne exportálja a titkos kulcsot, majd válassza a Tovább gombot.

   

4. A Fájlformátum exportálása lapon válassza a Base-64 kódolású X.509 (. CER)., majd válassza a Tovább gombot.

   

5. Az exportálandó fájlhoz keresse meg azt a helyet, ahová exportálni szeretné a tanúsítványt. A Fájlnév mezőben nevezze el a tanúsítványfájlt. Ezután válassza a Tovább gombot.

6. A tanúsítvány exportálásához válassza a Befejezés lehetőséget.

7. Megjelenik egy megerősítés, amely szerint az exportálás sikeres volt.

8. Lépjen arra a helyre, ahová exportálta a tanúsítványt, és nyissa meg egy szövegszerkesztővel, például a Jegyzettömbtel. Ha a tanúsítványt a szükséges Base-64 kódolású X.509 -ben exportálta (. CER) formátumot, a következő példához hasonló szöveg jelenik meg. A kék színnel kiemelt szakasz tartalmazza az Azure-ba másolt és feltöltött információkat.

   

   Ha a fájl nem hasonlít a példához, általában ez azt jelenti, hogy nem a Base-64 kódolású X.509() használatával exportálta. CER) formátum. Emellett, ha a Jegyzettömbön kívül más szövegszerkesztőt használ, vegye figyelembe, hogy egyes szerkesztők nem kívánt formázást vezethetnek be a háttérben. Ez problémákat okozhat, ha a tanúsítvány szövegét feltölti az Azure-ba.

Az önaláírt főtanúsítvány és a titkos kulcs exportálása a tároláshoz (nem kötelező)

Érdemes lehet exportálni az önaláírt főtanúsítványt, és biztonsági mentésként biztonságosan tárolni. Szükség esetén később telepítheti egy másik számítógépre, és további ügyféltanúsítványokat hozhat létre. Az önaláírt főtanúsítvány .pfx formátumban való exportálásához válassza ki a főtanúsítványt, és kövesse az ügyféltanúsítvány exportálása című cikkben leírt lépéseket.

Az ügyféltanúsítvány exportálása

Amikor létrehoz egy ügyféltanúsítványt, az automatikusan telepítve lesz azon a számítógépen, amelyen a tanúsítványt létrehozta. Ha az ügyféltanúsítványt egy másik ügyfélszámítógépre szeretné telepíteni, először exportálnia kell az ügyféltanúsítványt.

1. Ügyféltanúsítvány exportálásához nyissa meg a Felhasználói tanúsítványok kezelése elemet. A létrehozott ügyféltanúsítványok alapértelmezés szerint a "Tanúsítványok – Aktuális felhasználó\Személyes\Tanúsítványok" területen találhatók. Kattintson a jobb gombbal az exportálni kívánt ügyféltanúsítványra, kattintson az összes tevékenységre, majd az Exportálás parancsra a Tanúsítvány exportálása varázsló megnyitásához.

   

2. A Tanúsítvány exportálása varázslóban kattintson a Tovább gombra a folytatáshoz.

3. Válassza az Igen lehetőséget, exportálja a titkos kulcsot, majd kattintson a Tovább gombra.

   

4. Az Exportfájlformátum lapon hagyja bejelölve az alapértelmezett elemeket. Győződjön meg róla, hogy a Minden tanúsítvány belefoglalása a tanúsítványláncba jelölőnégyzet be van jelölve. Ez a beállítás emellett exportálja a sikeres ügyfélhitelesítéshez szükséges főtanúsítvány-adatokat is. Nélküle az ügyfélhitelesítés meghiúsul, mert az ügyfél nem rendelkezik a megbízható főtanúsítvánnyal. Ezután kattintson a Tovább gombra.

   

5. A Biztonság lapon be kell állítania a titkos kulcs védelmét. Ha jelszó használata mellett dönt, jegyezze fel vagy jegyezze meg a tanúsítványhoz beállított jelszót. Ezután kattintson a Tovább gombra.

   

6. Az Exportálandó fájl lapon a Tallózás gombra kattintva keresse meg azt a helyet, ahová exportálni szeretné a tanúsítványt. A Fájlnév mezőben nevezze el a tanúsítványfájlt. Ezután kattintson a Tovább gombra.

7. Kattintson a Befejezés gombra a tanúsítvány exportálásához.

Linux

Linux-lépésekért lásd : Önaláírt tanúsítványok létrehozása – Linux – OpenSSL vagy Önaláírt tanúsítványok létrehozása – Linux – strongSwan.

Exportált ügyféltanúsítvány telepítése

Minden P2S-kapcsolaton keresztül csatlakozó ügyfélnek helyileg kell telepítenie az ügyféltanúsítványt. A tanúsítvány telepítésének lépéseit az ügyféltanúsítványok telepítése című témakörben találja.

Következő lépések

Folytassa a virtuális WAN-lépésekkel a felhasználói VPN-kapcsolatokhoz.