Tanúsítványok létrehozása és exportálása pont–hely kapcsolatokhoz a PowerShell használatával

A pont–hely kapcsolatok tanúsítványokat használnak a hitelesítéshez. Ez a cikk bemutatja, hogyan hozhat létre önaláírt főtanúsítványt, és hogyan hozhat létre ügyféltanúsítványokat a PowerShell használatával Windows 10 vagy újabb, illetve Windows Server 2016 vagy újabb verziókon.

A tanúsítványok létrehozásához használt PowerShell-parancsmagok az operációs rendszer részét képezik, és nem működnek a Windows más verzióin. A gazdagép operációs rendszere csak a tanúsítványok létrehozásához használható. A tanúsítványok létrehozása után feltöltheti őket, vagy bármilyen támogatott ügyfél operációs rendszerre telepítheti őket.

Ha nem rendelkezik olyan számítógéppel, amely megfelel az operációs rendszer követelményeinek, a MakeCert használatával tanúsítványokat hozhat létre. A bármelyik módszerrel létrehozott tanúsítványok bármely támogatott ügyfél operációs rendszeren telepíthetők.

Önaláírt főtanúsítvány létrehozása

Önaláírt főtanúsítvány létrehozásához használja a New-SelfSignedCertificate parancsmagot. További paraméterinformációkért lásd: New-SelfSignedCertificate.

1. Egy Windows 10 vagy újabb rendszert vagy Windows Server 2016 futtató számítógépről nyisson meg egy emelt szintű jogosultságokkal rendelkező Windows PowerShell konzolt.

2. Hozzon létre egy önaláírt főtanúsítványt. Az alábbi példa létrehoz egy "P2SRootCert" nevű önaláírt főtanúsítványt, amely automatikusan telepítve van a "Certificates-Current User\Personal\Certificates" mappában. A tanúsítvány megtekintéséhez nyissa meg a certmgr.msc fájlt, vagy kezelje a felhasználói tanúsítványokat.

   A minta használata előtt végezze el a szükséges módosításokat. A NotAfter paraméter megadása nem kötelező. Alapértelmezés szerint ezen paraméter nélkül a tanúsítvány 1 év múlva lejár.

   $params = @{
       Type = 'Custom'
       Subject = 'CN=P2SRootCert'
       KeySpec = 'Signature'
       KeyExportPolicy = 'Exportable'
       KeyUsage = 'CertSign'
       KeyUsageProperty = 'Sign'
       KeyLength = 2048
       HashAlgorithm = 'sha256'
       NotAfter = (Get-Date).AddMonths(24)
       CertStoreLocation = 'Cert:\CurrentUser\My'
   }
   $cert = New-SelfSignedCertificate @params
   

3. Hagyja megnyitva a PowerShell-konzolt, és folytassa az ügyféltanúsítvány létrehozásához szükséges következő lépésekkel.

Ügyféltanúsítvány létrehozása

Minden olyan ügyfélszámítógépnek, amely pont–hely kapcsolattal csatlakozik egy virtuális hálózathoz, telepítve kell lennie egy ügyféltanúsítvánnyal. Létrehoz egy ügyféltanúsítványt az önaláírt főtanúsítványból, majd exportálja és telepíti az ügyféltanúsítványt. Ha az ügyféltanúsítvány nincs telepítve, a hitelesítés sikertelen lesz.

Az alábbi lépések végigvezetik az ügyféltanúsítvány önaláírt főtanúsítványból történő létrehozásának lépésein. Ugyanabból a főtanúsítványból több ügyféltanúsítványt is létrehozhat. Amikor az alábbi lépésekkel hoz létre ügyféltanúsítványokat, a rendszer automatikusan telepíti az ügyféltanúsítványt a tanúsítvány létrehozásához használt számítógépre. Ha egy ügyféltanúsítványt egy másik ügyfélszámítógépre szeretne telepíteni, exportálja a tanúsítványt.

A példák a New-SelfSignedCertificate parancsmagot használják egy ügyféltanúsítvány létrehozásához.

1. példa – A PowerShell-konzol munkamenete továbbra is nyitva van

Akkor használja ezt a példát, ha még nem zárta be a PowerShell-konzolt az önaláírt főtanúsítvány létrehozása után. Ez a példa az előző szakasztól folytatódik, és a deklarált "$cert" változót használja. Ha az önaláírt főtanúsítvány létrehozása után bezárta a PowerShell-konzolt, vagy további ügyféltanúsítványokat hoz létre egy új PowerShell-konzolmunkamenetben, kövesse a 2. példa lépéseit.

Módosítsa és futtassa a példát egy ügyféltanúsítvány létrehozásához. Ha a következő példát módosítás nélkül futtatja, az eredmény egy "P2SChildCert" nevű ügyféltanúsítvány lesz. Ha más nevet szeretne adni a gyermektanúsítványnak, módosítsa a CN-értéket. A példa futtatásakor ne módosítsa a TextExtension beállítást. A létrehozott ügyféltanúsítvány automatikusan települ a számítógépre a "Tanúsítványok – Aktuális felhasználó\Személyes\Tanúsítványok" mappába.

   $params = @{
       Type = 'Custom'
       Subject = 'CN=P2SChildCert'
       DnsName = 'P2SChildCert'
       KeySpec = 'Signature'
       KeyExportPolicy = 'Exportable'
       KeyLength = 2048
       HashAlgorithm = 'sha256'
       NotAfter = (Get-Date).AddMonths(18)
       CertStoreLocation = 'Cert:\CurrentUser\My'
       Signer = $cert
       TextExtension = @(
        '2.5.29.37={text}1.3.6.1.5.5.7.3.2')
   }
   New-SelfSignedCertificate @params

2. példa – Új PowerShell-konzolmunkamenet

Ha további ügyféltanúsítványokat hoz létre, vagy nem ugyanazt a PowerShell-munkamenetet használja, amelyet az önaláírt főtanúsítvány létrehozásához használt, kövesse az alábbi lépéseket:

1. Azonosítsa a számítógépre telepített önaláírt főtanúsítványt. Ez a parancsmag a számítógépre telepített tanúsítványok listáját adja vissza.

   Get-ChildItem -Path "Cert:\CurrentUser\My"
   

2. Keresse meg a tulajdonos nevét a visszaadott listából, majd másolja a mellette található ujjlenyomatot egy szövegfájlba. Az alábbi példában két tanúsítvány található. A CN-név annak az önaláírt főtanúsítványnak a neve, amelyből gyermektanúsítványt szeretne létrehozni. Ebben az esetben a "P2SRootCert".

   Thumbprint                                Subject
   ----------                                -------
   AED812AD883826FF76B4D1D5A77B3C08EFA79F3F  CN=P2SChildCert4
   7181AA8C1B4D34EEDB2F3D3BEC5839F3FE52D655  CN=P2SRootCert
   

3. Deklaráljon egy változót a főtanúsítványhoz az előző lépés ujjlenyomatával. Cserélje le az UJJLENYOMAT elemet annak a főtanúsítványnak az ujjlenyomatára, amelyből gyermektanúsítványt szeretne létrehozni.

   $cert = Get-ChildItem -Path "Cert:\CurrentUser\My\<THUMBPRINT>"
   

   Ha például az előző lépésben a P2SRootCert ujjlenyomatát használja, a változó a következőképpen néz ki:

   $cert = Get-ChildItem -Path "Cert:\CurrentUser\My\7181AA8C1B4D34EEDB2F3D3BEC5839F3FE52D655"
   

4. Módosítsa és futtassa a példát egy ügyféltanúsítvány létrehozásához. Ha a következő példát módosítás nélkül futtatja, az eredmény egy "P2SChildCert" nevű ügyféltanúsítvány lesz. Ha más nevet szeretne adni a gyermektanúsítványnak, módosítsa a CN-értéket. A példa futtatásakor ne módosítsa a TextExtension beállítást. A létrehozott ügyféltanúsítvány automatikusan települ a számítógépre a "Tanúsítványok – Aktuális felhasználó\Személyes\Tanúsítványok" mappába.

   $params = @{
       Type = 'Custom'
       Subject = 'CN=P2SChildCert'
       DnsName = 'P2SChildCert1'
       KeySpec = 'Signature'
       KeyExportPolicy = 'Exportable'
       KeyLength = 2048
       HashAlgorithm = 'sha256'
       NotAfter = (Get-Date).AddMonths(18)
       CertStoreLocation = 'Cert:\CurrentUser\My'
       Signer = $cert
       TextExtension = @(
        '2.5.29.37={text}1.3.6.1.5.5.7.3.2')
   }
   New-SelfSignedCertificate @params
   

A főtanúsítvány nyilvános kulcsának (.cer) exportálása

Miután létrehozott egy önaláírt főtanúsítványt, exportálja a főtanúsítvány .cer fájlját (nem a titkos kulcsot). Később feltölti a fájlban található szükséges tanúsítványadatokat az Azure-ba. Az alábbi lépések segítségével exportálhatja az önaláírt főtanúsítvány .cer fájlját, és lekérheti a szükséges tanúsítványadatokat.

1. A tanúsítvány .cer fájljának lekéréséhez nyissa meg a Felhasználói tanúsítványok kezelése lehetőséget.

   Keresse meg az önaláírt főtanúsítványt általában a "Tanúsítványok – Aktuális felhasználó\Személyes\Tanúsítványok" területen, és kattintson a jobb gombbal. Kattintson a Minden tevékenység ->Exportálás elemre. Megnyílik a Tanúsítványexportáló varázsló.

   Ha nem találja a tanúsítványt az "Aktuális felhasználó\Személyes\Tanúsítványok" területen, előfordulhat, hogy véletlenül a "Tanúsítványok – Helyi számítógép" elemet nyitotta meg a "Tanúsítványok – Aktuális felhasználó" helyett.

   

2. A varázslóban kattintson a Tovább gombra.

3. Válassza a Nem, nem akarom exportálni a titkos kulcsomat lehetőséget, majd kattintson a Tovább gombra.

   

4. Az Exportfájlformátum lapon válassza a Base-64 kódolású X.509 (.CER) lehetőséget, majd kattintson a Tovább gombra.

   

5. Az Exportálandó fájl területen keresse meg azt a helyet, ahová exportálni szeretné a tanúsítványt. A Fájlnév mezőben nevezze el a tanúsítványfájlt. Ezután kattintson a Tovább gombra.

6. Kattintson a Befejezés gombra a tanúsítvány exportálásához.

7. Megjelenik egy megerősítés a következővel: "Az exportálás sikeres volt".

8. Lépjen arra a helyre, ahová exportálta a tanúsítványt, és nyissa meg egy szövegszerkesztővel, például a Jegyzettömbbel. Ha a tanúsítványt a szükséges Base-64 kódolású X.509 -ben exportálta (. CER) formátumot, az alábbi példához hasonló szöveg jelenik meg. A kék színnel kiemelt szakasz az Azure-ba másolt és feltöltött információkat tartalmazza.

   

   Ha a fájl nem hasonlít a példához, általában ez azt jelenti, hogy nem a Base-64 kódolású X.509() használatával exportálta. CER) formátum. Emellett, ha a Jegyzettömb kivételével szövegszerkesztőt használ, vegye figyelembe, hogy egyes szerkesztők nem kívánt formázást vezethetnek be a háttérben. Ez problémákat okozhat, amikor feltölti a tanúsítvány szövegét az Azure-ba.

Exportálja az önaláírt főtanúsítványt és a titkos kulcsot a tárolásához (nem kötelező)

Érdemes lehet exportálni az önaláírt főtanúsítványt, és biztonsági másolatként biztonságosan tárolni. Szükség esetén később telepítheti egy másik számítógépre, és további ügyféltanúsítványokat hozhat létre. Ha az önaláírt főtanúsítványt .pfx formátumban szeretné exportálni, jelölje ki a főtanúsítványt, és kövesse az ügyféltanúsítvány exportálása című cikkben leírt lépéseket.

Az ügyféltanúsítvány exportálása

Amikor létrehoz egy ügyféltanúsítványt, az automatikusan települ a létrehozásához használt számítógépre. Ha egy másik ügyfélszámítógépre szeretné telepíteni az ügyféltanúsítványt, először exportálnia kell az ügyféltanúsítványt.

1. Ügyféltanúsítvány exportálásához nyissa meg a Felhasználói tanúsítványok kezelése elemet. A létrehozott ügyféltanúsítványok alapértelmezés szerint a "Tanúsítványok – Aktuális felhasználó\Személyes\Tanúsítványok" helyen találhatók. Kattintson a jobb gombbal az exportálni kívánt ügyféltanúsítványra, kattintson az összes feladatra, majd az Exportálás parancsra a Tanúsítványexportáló varázsló megnyitásához.

   

2. A folytatáshoz kattintson a Tovább gombra a Tanúsítványexportáló varázslóban.

3. Válassza az Igen lehetőséget, exportálja a titkos kulcsot, majd kattintson a Tovább gombra.

   

4. Az Exportfájlformátum lapon hagyja bejelölve az alapértelmezett elemeket. Győződjön meg róla, hogy a Minden tanúsítvány belefoglalása a tanúsítványláncba jelölőnégyzet be van jelölve. Ez a beállítás a sikeres ügyfél-hitelesítéshez szükséges főtanúsítvány-adatokat is exportálja. Nélküle az ügyfélhitelesítés meghiúsul, mert az ügyfél nem rendelkezik a megbízható főtanúsítvánnyal. Ezután kattintson a Tovább gombra.

   

5. A Biztonság lapon be kell állítania a titkos kulcs védelmét. Ha jelszó használata mellett dönt, jegyezze fel vagy jegyezze meg a tanúsítványhoz beállított jelszót. Ezután kattintson a Tovább gombra.

   

6. Az Exportálandó fájl lapon a Tallózás gombra kattintva keresse meg azt a helyet, ahová exportálni szeretné a tanúsítványt. A Fájlnév mezőben nevezze el a tanúsítványfájlt. Ezután kattintson a Tovább gombra.

7. Kattintson a Befejezés gombra a tanúsítvány exportálásához.

Exportált ügyféltanúsítvány telepítése

Minden P2S-kapcsolaton keresztül csatlakozó ügyfélnek helyileg kell telepítenie egy ügyféltanúsítványt. Ügyféltanúsítvány telepítéséhez lásd: Ügyféltanúsítvány telepítése pont–hely kapcsolatokhoz.

Következő lépések

Folytassa a pont–hely konfigurációval.

• Az üzembe helyezési modell Resource Manager lépéseit lásd: A P2S konfigurálása natív Azure-tanúsítványhitelesítés használatával.
• A klasszikus üzemi modell lépéseiért lásd: Pont–hely VPN-kapcsolat konfigurálása virtuális hálózathoz (klasszikus)