Tanúsítványok létrehozása és exportálása pont–hely kapcsolatokhoz a MakeCert használatával

  • Cikk

A pont–hely kapcsolatok tanúsítványokat használnak a hitelesítéshez. Ez a cikk bemutatja, hogyan hozhat létre önaláírt főtanúsítványt, és hogyan hozhat létre ügyféltanúsítványokat a MakeCert használatával. Ha különböző tanúsítványutasításokat keres, tekintse meg a Tanúsítványok – PowerShell vagy Tanúsítványok – Linux című témakört.

Bár a tanúsítványok létrehozásához a Windows 10 vagy újabb PowerShell-lépések használatát javasoljuk, ezeket a MakeCert-utasításokat opcionális módszerként biztosítjuk. A bármelyik módszerrel létrehozott tanúsítványok bármely támogatott ügyfél operációs rendszeren telepíthetők. A MakeCert azonban a következő korlátozásokkal rendelkezik:

  • A MakeCert elavult. Ez azt jelenti, hogy ez az eszköz bármikor eltávolítható. A MakeCert használatával már létrehozott tanúsítványokra nem lesz hatással, ha a MakeCert már nem érhető el. A MakeCert csak a tanúsítványok létrehozásához használható, érvényesítési mechanizmusként nem.

Önaláírt főtanúsítvány létrehozása

Az alábbi lépések bemutatják, hogyan hozhat létre önaláírt tanúsítványt a MakeCert használatával. Ezek a lépések nem az üzembehelyezési modellre vonatkoznak. Mind a Resource Manager, mind a klasszikusra érvényesek.

  1. Töltse le és telepítse a MakeCertet.

  2. A telepítés után a makecert.exe segédprogram általában a következő elérési úton található: "C:\Program Files (x86)\Windows Kits\10\bin<arch>". Bár lehetséges, hogy egy másik helyre lett telepítve. Nyisson meg egy parancssort rendszergazdaként, és keresse meg a MakeCert segédprogram helyét. Az alábbi példát használhatja a megfelelő hely beállításához:

    cd C:\Program Files (x86)\Windows Kits\10\bin\x64

  3. Hozzon létre és telepítsen egy tanúsítványt a számítógép Személyes tanúsítványtárolójában. Az alábbi példa létrehoz egy megfelelő .cer fájlt, amelyet a P2S konfigurálásakor tölt fel az Azure-ba. Cserélje le a "P2SRootCert" és a "P2SRootCert.cer" kifejezést a tanúsítványhoz használni kívánt névre. A tanúsítvány a "Tanúsítványok – Aktuális felhasználó\Személyes\Tanúsítványok" mappában található.

    makecert -sky exchange -r -n "CN=P2SRootCert" -pe -a sha256 -len 2048 -ss My

A nyilvános kulcs (.cer) exportálása

Miután létrehozott egy önaláírt főtanúsítványt, exportálja a főtanúsítvány .cer fájlját (nem a titkos kulcsot). Később feltölti a fájlban található szükséges tanúsítványadatokat az Azure-ba. Az alábbi lépések segítségével exportálhatja az önaláírt főtanúsítvány .cer fájlját, és lekérheti a szükséges tanúsítványadatokat.

  1. A tanúsítvány .cer fájljának lekéréséhez nyissa meg a Felhasználói tanúsítványok kezelése lehetőséget.

    Keresse meg az önaláírt főtanúsítványt általában a "Tanúsítványok – Aktuális felhasználó\Személyes\Tanúsítványok" területen, és kattintson a jobb gombbal. Kattintson a Minden tevékenység ->Exportálás elemre. Megnyílik a Tanúsítványexportáló varázsló.

    Ha nem találja a tanúsítványt az "Aktuális felhasználó\Személyes\Tanúsítványok" területen, előfordulhat, hogy véletlenül a "Tanúsítványok – Helyi számítógép" elemet nyitotta meg a "Tanúsítványok – Aktuális felhasználó" helyett.

    Képernyőkép a Tanúsítványok ablakról, amelyen a Minden tevékenység, majd az Exportálás lehetőség van kiválasztva.

  2. A varázslóban kattintson a Tovább gombra.

  3. Válassza a Nem, nem akarom exportálni a titkos kulcsomat lehetőséget, majd kattintson a Tovább gombra.

    Képernyőkép a Titkos kulcs exportálásának tiltása lehetőségről.

  4. Az Exportfájlformátum lapon válassza a Base-64 kódolású X.509 (.CER) lehetőséget, majd kattintson a Tovább gombra.

    Képernyőkép a Base-64 kódolású exportálásról.

  5. Az Exportálandó fájl területen keresse meg azt a helyet, ahová exportálni szeretné a tanúsítványt. A Fájlnév mezőben nevezze el a tanúsítványfájlt. Ezután kattintson a Tovább gombra.

  6. Kattintson a Befejezés gombra a tanúsítvány exportálásához.

  7. Megjelenik egy megerősítés a következővel: "Az exportálás sikeres volt".

  8. Lépjen arra a helyre, ahová exportálta a tanúsítványt, és nyissa meg egy szövegszerkesztővel, például a Jegyzettömbbel. Ha a tanúsítványt a szükséges Base-64 kódolású X.509 -ben exportálta (. CER) formátumot, az alábbi példához hasonló szöveg jelenik meg. A kék színnel kiemelt szakasz az Azure-ba másolt és feltöltött információkat tartalmazza.

    Képernyőkép a Jegyzettömbben megnyitott CER-fájlról, kiemelt tanúsítványadatokkal.

    Ha a fájl nem hasonlít a példához, általában ez azt jelenti, hogy nem a Base-64 kódolású X.509() használatával exportálta. CER) formátum. Emellett, ha a Jegyzettömb kivételével szövegszerkesztőt használ, vegye figyelembe, hogy egyes szerkesztők nem kívánt formázást vezethetnek be a háttérben. Ez problémákat okozhat, amikor feltölti a tanúsítvány szövegét az Azure-ba.

Az exported.cer fájlt fel kell tölteni az Azure-ba. Útmutatásért lásd: Pont–hely kapcsolat konfigurálása. További megbízható főtanúsítvány hozzáadásához tekintse meg a cikk jelen szakaszát .

Az önaláírt tanúsítvány és a titkos kulcs exportálása a tárolóba (nem kötelező)

Érdemes lehet exportálni az önaláírt főtanúsítványt, és biztonságosan tárolni. Később telepítheti egy másik számítógépre, és további ügyféltanúsítványokat hozhat létre, vagy exportálhat egy másik .cer fájlt. Ha az önaláírt főtanúsítványt .pfx formátumban szeretné exportálni, jelölje ki a főtanúsítványt, és kövesse az ügyféltanúsítvány exportálása című cikkben leírt lépéseket.

Ügyféltanúsítványok létrehozása és telepítése

Az önaláírt tanúsítványt nem telepíti közvetlenül az ügyfélszámítógépre. Létre kell hoznia egy ügyféltanúsítványt az önaláírt tanúsítványból. Ezután exportálja és telepíti az ügyféltanúsítványt az ügyfélszámítógépre. Az alábbi lépések nem az üzembehelyezési modellre vonatkoznak. Mind a Resource Manager, mind a klasszikusra érvényesek.

Ügyféltanúsítvány létrehozása

Minden, a virtuális hálózathoz pont–hely kapcsolattal csatlakozó ügyfélszámítógépnek rendelkeznie kell telepített ügyféltanúsítvánnyal. Létrehoz egy ügyféltanúsítványt az önaláírt főtanúsítványból, majd exportálja és telepíti az ügyféltanúsítványt. Ha az ügyféltanúsítvány nincs telepítve, a hitelesítés sikertelen lesz.

Az alábbi lépések végigvezetik az ügyféltanúsítvány önaláírt főtanúsítványból történő létrehozásának lépésein. Ugyanabból a főtanúsítványból több ügyféltanúsítványt is létrehozhat. Amikor az alábbi lépésekkel hoz létre ügyféltanúsítványokat, a rendszer automatikusan telepíti az ügyféltanúsítványt a tanúsítvány létrehozásához használt számítógépre. Ha egy ügyféltanúsítványt egy másik ügyfélszámítógépre szeretne telepíteni, exportálhatja a tanúsítványt.

  1. Ugyanazon a számítógépen, amelyet az önaláírt tanúsítvány létrehozásához használt, nyisson meg egy parancssort rendszergazdaként.

  2. Módosítsa és futtassa a mintát egy ügyféltanúsítvány létrehozásához.

    • Módosítsa a "P2SRootCert" értékét annak az önaláírt gyökérnek a nevére, amelyből az ügyféltanúsítványt létrehozza. Győződjön meg arról, hogy a főtanúsítvány nevét használja, amely az önaláírt gyökér létrehozásakor megadott "CN=" érték.
    • Módosítsa a P2SChildCert nevet arra a névre, ahová ügyféltanúsítványt szeretne létrehozni.

    Ha a következő példát módosítás nélkül futtatja, az eredmény egy P2SChildcert nevű ügyféltanúsítvány lesz a személyes tanúsítványtárolóban, amely a P2SRootCert főtanúsítványból lett létrehozva.

    makecert.exe -n "CN=P2SChildCert" -pe -sky exchange -m 96 -ss My -in "P2SRootCert" -is my -a sha256

Ügyféltanúsítvány exportálása

Amikor létrehoz egy ügyféltanúsítványt, az automatikusan települ a létrehozásához használt számítógépre. Ha egy másik ügyfélszámítógépre szeretné telepíteni az ügyféltanúsítványt, először exportálnia kell az ügyféltanúsítványt.

  1. Ügyféltanúsítvány exportálásához nyissa meg a Felhasználói tanúsítványok kezelése elemet. A létrehozott ügyféltanúsítványok alapértelmezés szerint a "Tanúsítványok – Aktuális felhasználó\Személyes\Tanúsítványok" helyen találhatók. Kattintson a jobb gombbal az exportálni kívánt ügyféltanúsítványra, kattintson az összes feladatra, majd az Exportálás parancsra a Tanúsítványexportáló varázsló megnyitásához.

    Képernyőkép a Tanúsítványok ablakról, amelyen a Minden feladat és az Exportálás lehetőség van kiválasztva.

  2. A folytatáshoz kattintson a Tovább gombra a Tanúsítványexportáló varázslóban.

  3. Válassza az Igen lehetőséget, exportálja a titkos kulcsot, majd kattintson a Tovább gombra.

    Képernyőkép a kiválasztott titkos kulcs exportálása igen lehetőségről.

  4. Az Exportfájlformátum lapon hagyja bejelölve az alapértelmezett elemeket. Győződjön meg róla, hogy a Minden tanúsítvány belefoglalása a tanúsítványláncba jelölőnégyzet be van jelölve. Ez a beállítás a sikeres ügyfél-hitelesítéshez szükséges főtanúsítvány-adatokat is exportálja. Nélküle az ügyfélhitelesítés meghiúsul, mert az ügyfél nem rendelkezik a megbízható főtanúsítvánnyal. Ezután kattintson a Tovább gombra.

    Képernyőkép a Fájlformátum exportálása lapról.

  5. A Biztonság lapon be kell állítania a titkos kulcs védelmét. Ha jelszó használata mellett dönt, jegyezze fel vagy jegyezze meg a tanúsítványhoz beállított jelszót. Ezután kattintson a Tovább gombra.

    Képernyőkép a beírt és megerősített jelszóról.

  6. Az Exportálandó fájl lapon a Tallózás gombra kattintva keresse meg azt a helyet, ahová exportálni szeretné a tanúsítványt. A Fájlnév mezőben nevezze el a tanúsítványfájlt. Ezután kattintson a Tovább gombra.

  7. Kattintson a Befejezés gombra a tanúsítvány exportálásához.

Exportált ügyféltanúsítvány telepítése

Ügyféltanúsítvány telepítéséhez lásd: Ügyféltanúsítvány telepítése.

Következő lépések

Folytassa a pont–hely konfigurációval.

A pont–hely hibaelhárítási információiért tekintse át az Azure pont–hely kapcsolatok hibaelhárításával foglalkozó cikket.