Membuat dan mengekspor sertifikat untuk koneksi Titik-ke-Situs menggunakan MakeCert

  • Artikel

Koneksi Titik-ke-Situs menggunakan sertifikat untuk diautentikasi. Artikel ini menunjukkan cara membuat sertifikat akar yang ditandatangani sendiri dan membuat sertifikat klien menggunakan MakeCert. Jika Anda mencari instruksi sertifikat yang berbeda, lihat Sertifikat - PowerShell atau Sertifikat - Linux.

Meskipun kami menyarankan untuk menggunakan langkah-langkah PowerShell Windows 10 atau yang lebih baru untuk membuat sertifikat Anda, kami menyediakan instruksi MakeCert ini sebagai metode opsional. Sertifikat yang Anda buat menggunakan metode mana pun dapat diinstal di sistem operasi klien yang didukung. Namun, MakeCert memiliki batasan berikut:

  • MakeCert sudah tidak digunakan lagi. Artinya, alat ini dapat dihapus kapan saja. Sertifikat apa pun yang sudah Anda buat menggunakan MakeCert tidak akan terpengaruh saat MakeCert tidak lagi tersedia. MakeCert hanya digunakan untuk membuat sertifikat, bukan sebagai mekanisme validasi.

Membuat sertifikat yang ditandatangani sendiri

Langkah-langkah berikut ini menunjukkan cara membuat sertifikat yang ditandatangani sendiri menggunakan MakeCert. Langkah-langkah ini tidak spesifik untuk model penyebaran. Ini berlaku untuk Resource Manager dan klasik.

  1. Unduh dan instal MakeCert.

  2. Setelah penginstalan, Anda biasanya dapat menemukan file makecert.exe pada jalur ini: 'C:\Program Files (x86)\Windows Kits\10\bin<arch>'. Meski begitu, ada kemungkinan file tersebut diinstal ke lokasi lain. Buka prompt perintah sebagai administrator dan arahkan ke lokasi file MakeCert. Anda dapat menggunakan contoh berikut, menyesuaikannya ke lokasi yang tepat:

    cd C:\Program Files (x86)\Windows Kits\10\bin\x64

  3. Buat dan instal sertifikat di penyimpanan sertifikat Pribadi di komputer Anda. Contoh berikut ini membuat file .cer terkait yang Anda unggah ke Azure saat mengonfigurasi P2S. Ganti 'P2SRootCert' dan 'P2SRootCert.cer' dengan nama yang ingin Anda gunakan untuk sertifikat. Sertifikat terletak di 'Certificates - Current User\Personal\Certificates'.

    makecert -sky exchange -r -n "CN=P2SRootCert" -pe -a sha256 -len 2048 -ss My

Mengekspor kunci publik (.cer)

Setelah membuat sertifikat akar yang ditandatangani sendiri, ekspor sertifikat akar file .cer (bukan kunci privat). Anda nantinya akan mengunggah data sertifikat yang diperlukan yang terdapat dalam file ke Azure. Langkah-langkah berikut membantu Anda mengekspor file .cer untuk sertifikat akar yang ditandatangani sendiri dan mengambil data sertifikat yang diperlukan.

  1. Untuk mendapatkan file .cer sertifikat, buka Kelola sertifikat pengguna.

    Temukan sertifikat root yang ditandatangani sendiri, biasanya di "Sertifikat - Pengguna Saat Ini\Pribadi\Sertifikat", dan klik kanan. Klik Semua Tugas ->Ekspor. Perintah ini membuka Wizard Ekspor Sertifikat.

    Jika Anda tidak dapat menemukan sertifikat di bawah "Pengguna Saat Ini\Pribadi\Sertifikat", Anda mungkin tidak sengaja membuka "Sertifikat - Komputer Lokal", daripada "Sertifikat - Pengguna Saat Ini".

    Cuplikan layar menunjukkan jendela Sertifikat dengan Semua Tugas lalu Ekspor dipilih.

  2. Pada wizard, klik Berikutnya.

  3. Pilih Tidak, jangan ekspor kunci privat, lalu klik Berikutnya.

    Cuplikan layar menunjukkan Jangan ekspor kunci privat.

  4. Pada halaman Format Ekspor File, pilih Base-64 encoded X.509 (. CER). , lalu klik Berikutnya.

    Cuplikan layar menunjukkan ekspor Base-64 yang dikodekan.

  5. Untuk File yang akan Diekspor,Telusuri lokasi di mana Anda ingin mengekspor sertifikat. Untuk Nama file, beri nama file sertifikat. Lalu, klik Berikutnya.

  6. Klik Selesai untuk mengekspor sertifikat.

  7. Anda akan melihat konfirmasi yang mengatakan "Ekspor berhasil".

  8. Buka lokasi tempat Anda mengekspor sertifikat dan membukanya menggunakan editor teks, seperti Notepad. Jika Anda mengekspor sertifikat dalam format X.509 (.CER) yang dikodekan Base-64 yang diperlukan, Anda akan melihat teks yang mirip dengan contoh berikut. Bagian yang disorot dengan warna biru berisi informasi yang Anda salin dan unggah ke Azure.

    Cuplikan layar menunjukkan file CER dibuka di Notepad dengan data sertifikat disorot.

    Jika file Anda tidak terlihat mirip dengan contoh, biasanya itu berarti Anda tidak mengekspornya menggunakan format X.509(.CER) yang dikodekan Base-64. Selain itu, jika Anda menggunakan editor teks selain Notepad, pahami bahwa beberapa editor dapat memperkenalkan pemformatan yang tidak diinginkan di latar belakang. Pemformatan Ini dapat menyebabkan masalah ketika mengunggah teks dari sertifikat tersebut ke Azure.

File exported.cer harus diunggah ke Azure. Untuk petunjuknya, baca Mengonfigurasikan koneksi Titik-ke-Situs. Untuk menambahkan sertifikat akar tepercaya, lihat bagian artikel ini.

Ekspor sertifikat yang ditandatangani sendiri dan kunci privat untuk menyimpannya (opsional)

Anda mungkin perlu mengekspor sertifikat akar yang ditandatangani sendiri dan menyimpannya dengan aman. Anda nantinya dapat menginstalnya di komputer lain dan menghasilkan lebih banyak sertifikat klien, atau mengekspor file .cer lain. Untuk mengekspor sertifikat akar yang ditandatangani sendiri sebagai .pfx, pilih sertifikat akar, lalu gunakan langkah yang sama seperti yang dijelaskan pada Mengekspor sertifikat klien.

Membuat dan menginstal sertifikat klien

Jangan instal sertifikat yang ditandatangani sendiri langsung di komputer klien. Anda perlu membuat sertifikat klien dari sertifikat yang ditandatangani sendiri. Kemudian, ekspor dan instal sertifikat klien ke komputer klien. Langkah-langkah berikut tidak spesifik untuk model penyebaran. Ini berlaku untuk Resource Manager dan klasik.

Menghasilkan sertifikat klien

Setiap komputer klien yang tersambung ke VNet menggunakan koneksi Titik-ke-Situs harus memiliki sertifikat klien yang diinstal. Buat sertifikat klien dari sertifikat akar yang ditandatangani sendiri, lalu ekspor dan instal sertifikat klien. Jika sertifikat klien tidak diinstal, autentikasi gagal.

Langkah-langkah berikut ini akan memandu Anda membuat sertifikat klien dari sertifikat akar yang ditandatangani sendiri. Anda dapat membuat beberapa sertifikat klien dari sertifikat akar yang sama. Saat Anda membuat sertifikat klien menggunakan langkah-langkah berikut, sertifikat klien secara otomatis diinstal di komputer yang Anda gunakan untuk membuat sertifikat. Jika ingin menginstal sertifikat klien di komputer klien lain, Anda dapat mengekspor sertifikat tersebut.

  1. Pada komputer yang sama dengan yang Anda gunakan untuk membuat sertifikat yang ditandatangani sendiri, buka prompt perintah sebagai administrator.

  2. Ubah dan jalankan contoh berikut untuk membuat sertifikat klien.

    • Ubah "P2SRootCert" menjadi nama akar yang ditandatangani sendiri tempat Anda membuat sertifikat klien. Pastikan Anda menggunakan nama sertifikat akar, yang merupakan apa pun nilai 'CN=' yang Anda tentukan saat membuat akar yang ditandatangani sendiri.
    • Ubah P2SChildCert menjadi nama yang Anda inginkan untuk membuat sertifikat klien.

    Jika Anda menjalankan contoh berikut ini tanpa mengubahnya, hasilnya adalah sertifikat klien bernama P2SChildcert di Penyimpanan sertifikat pribadi Anda yang dihasilkan dari sertifikat akar P2SRootCert.

    makecert.exe -n "CN=P2SChildCert" -pe -sky exchange -m 96 -ss My -in "P2SRootCert" -is my -a sha256

Mengekspor sertifikat klien

Ketika membuat sertifikat klien, sertifikat tersebut secara otomatis diinstal pada komputer yang Anda gunakan untuk membuatnya. Jika Anda ingin menginstal sertifikat klien di komputer klien lain, Anda harus mengekspor sertifikat klien terlebih dahulu.

  1. Untuk mengekspor sertifikat klien, buka Kelola sertifikat pengguna. Secara default, sertifikat klien yang Anda buat dapat ditemukan di jalur 'Certificates - Current User\Personal\Certificates'. Klik kanan sertifikat klien yang ingin Anda ekspor, klik semua tugas, lalu klik Ekspor untuk membuka Panduan Ekspor Sertifikat.

    Cuplikan layar menampilkan jendela Sertifikat dengan Semua Tugas dan Ekspor dipilih.

  2. Di Panduan Ekspor Sertifikat, klik Berikutnya untuk melanjutkan.

  3. Pilih Ya, ekspor kunci privat, lalu klik Berikutnya.

    Cuplikan layar yang menunjukkan Ya ekspor kunci privat yang dipilih.

  4. Pada halaman Ekspor Format File biarkan pengaturan default dipilih. Pastikan bahwa Sertakan semua sertifikat dalam jalur sertifikasi jika memungkinkan untuk dipilih. Pengaturan ini juga mengekspor informasi sertifikat akar yang diperlukan agar autentikasi klien berhasil. Tanpa itu, autentikasi klien gagal karena klien tidak memiliki sertifikat akar yang tepercaya. Lalu, klik Berikutnya.

    Cuplikan layar untuk halaman format file ekspor.

  5. Pada halaman Keamanan, Anda harus memproteksi kunci privat. Jika memilih untuk menggunakan kata sandi, pastikan Anda telah merekam atau mengingat kata sandi yang Anda tetapkan untuk sertifikat ini. Lalu, klik Berikutnya.

    Cuplikan layar menunjukkan kata sandi yang dimasukkan dan dikonfirmasi.

  6. Pada File yang akan Diekspor,Telusuri lokasi Anda ingin mengekspor sertifikat. Untuk Nama file, beri nama file sertifikat. Lalu, klik Berikutnya.

  7. Klik Selesai untuk mengekspor sertifikat.

Menginstal sertifikat klien yang diekspor

Untuk menginstal sertifikat klien, baca Menginstal sertifikat klien.

Langkah berikutnya

Lanjutkan dengan konfigurasi Titik-ke-Situs Anda.

Untuk informasi pemecahan masalah P2S, Memecahkan masalah koneksi titik-ke-situs Azure.