Generare ed esportare certificati per connessioni da punto a sito usando MakeCert

  • Articolo

Le connessioni da punto a sito usano certificati per l'autenticazione. Questo articolo illustra come creare un certificato radice autofirmato e generare i certificati client usando MakeCert. Per istruzioni sui certificati diverse, vedere Certificati - PowerShell o Certificati - Linux.

Sebbene sia consigliabile usare i passaggi di PowerShell Windows 10 o versioni successive per creare i certificati, queste istruzioni MakeCert vengono fornite come metodo facoltativo. I certificati generati usando entrambi i metodi possono essere installati in qualsiasi sistema operativo client supportato. MakeCert presenta tuttavia la limitazione seguente:

  • MakeCert è deprecato. Questo strumento potrebbe quindi essere rimosso in qualsiasi momento. I certificati già generati con MakeCert non saranno interessati quando MakeCert non sarà più disponibile. MakeCert viene usato solo per generare i certificati, non come meccanismo di convalida.

Creare un certificato radice autofirmato

La procedura seguente illustra come creare un certificato autofirmato usando MakeCert. Questi passaggi non sono specifici del modello di distribuzione. Sono validi sia per Resource Manager che per quello classico.

  1. Scaricare e installare MakeCert.

  2. Dopo l'installazione, è in genere possibile trovare l'utilità makecert.exe in questo percorso: 'C:\Programmi (x86)\Windows Kits\10\bin<arch>'. È tuttavia possibile che sia stato installato in un altro percorso. Aprire un prompt dei comandi come amministratore e passare al percorso dell'utilità MakeCert. È possibile usare l'esempio seguente, apportando le modifiche necessarie per il percorso corretto:

    cd C:\Program Files (x86)\Windows Kits\10\bin\x64

  3. Creare e installare quindi un certificato nell'archivio Certificati personali nel computer in uso. Nell'esempio seguente viene creato un file .cer corrispondente da caricare in Azure quando si configura una connessione da punto a sito. Sostituire 'P2SRootCert' e 'P2SRootCert.cer' con il nome da assegnare al certificato. Il certificato si trova in 'Certificati -Utente corrente\Personale\Certificati'.

    makecert -sky exchange -r -n "CN=P2SRootCert" -pe -a sha256 -len 2048 -ss My

Esportare la chiave pubblica (.cer)

Dopo aver creato un certificato radice autofirmato, esportare il file cer del certificato radice (non la chiave privata). In seguito verranno caricati i dati del certificato necessari contenuti nel file in Azure. La procedura seguente consente di esportare il file cer per il certificato radice autofirmato e recuperare i dati del certificato necessari.

  1. Per ottenere il file cer del certificato, aprire Gestisci certificati utente.

    Individuare il certificato radice autofirmato, in genere in "Certificati - Utente corrente\Personale\Certificati" e fare clic con il pulsante destro del mouse. Fare clic su Tutte le attività ->Esporta. Si avvia la procedura di Esportazione guidata certificati.

    Se non è possibile trovare il certificato in "Utente corrente\Personale\Certificati", è possibile che sia stato aperto accidentalmente "Certificati - Computer locale", anziché "Certificati - Utente corrente".

    Screenshot che mostra la finestra Certificati con Tutte le attività e quindi Esporta selezionata.

  2. Nella procedura guidata fare clic su Avanti.

  3. Selezionare No, non esportare la chiave privata e quindi fare clic su Avanti.

    Screenshot che mostra Non esportare la chiave privata.

  4. Nella pagina Formato file di esportazione selezionare Codificato Base 64 X.509 (.CER) e quindi fare clic su Avanti.

    Screenshot che mostra l'esportazione con codifica Base 64.

  5. In File da esportare fare clic su Sfoglia e passare alla posizione in cui si vuole esportare il certificato. Per Nome file, assegnare un nome al file del certificato. Quindi fare clic su Next.

  6. Fare clic su Fine per esportare il certificato.

  7. Verrà visualizzata una conferma che indica che l'esportazione è riuscita.

  8. Passare al percorso in cui è stato esportato il certificato e aprirlo usando un editor di testo, ad esempio Blocco note. Se il certificato è stato esportato nel file X.509 con codifica Base 64 (). Formato CER, verrà visualizzato testo simile all'esempio seguente. La sezione evidenziata in blu contiene le informazioni copiate e caricate in Azure.

    Screenshot che mostra il file CER aperto nel Blocco note con i dati del certificato evidenziati.

    Se il file non è simile all'esempio, in genere significa che non è stato esportato usando la X.509 con codifica Base 64(. Formato CER. Inoltre, se si usa un editor di testo diverso dal Blocco note, è possibile che alcuni editor possano introdurre una formattazione imprevista in background. Ciò può creare problemi quando il testo viene caricato da questo certificato in Azure.

Il file exported.cer deve essere caricato in Azure. Per istruzioni, vedere Configurare una connessione da punto a sito. Per aggiungere un certificato radice attendibile aggiuntivo, vedere questa sezione dell'articolo.

Esportare il certificato autofirmato e la chiave privata per archiviarli (facoltativo)

Si consiglia di esportare il certificato radice autofirmato e archiviarlo in un percorso sicuro. In un secondo momento è possibile installarlo in un altro computer e generare più certificati client oppure esportare un altro file cer. Per esportare il certificato radice autofirmato come file .pfx, selezionare il certificato radice ed eseguire la stessa procedura descritta in Esportazione di un certificato client.

Creare e installare i certificati client

Il certificato autofirmato non deve essere installato direttamente nel computer client. È necessario generare un certificato client da un certificato autofirmato. Quindi, esportare e installare il certificato client nel computer client. I passaggi seguenti non sono specifici del modello di distribuzione. Sono validi sia per Resource Manager che per quello classico.

Generare un certificato client

Ogni computer client che si connette a una rete virtuale usando la soluzione Da punto a sito deve avere un certificato client installato. È possibile generare un certificato client da un certificato radice autofirmato, quindi esportare e installare il certificato client. Se il certificato client non è installato, l'autenticazione non riesce.

I passaggi seguenti illustrano come generare un certificato client da un certificato radice autofirmato. È possibile generare più certificati client dallo stesso certificato radice. Quando si generano certificati client usando la procedura seguente, il certificato client viene installato automaticamente nel computer usato per generare il certificato. Se si vuole installare un certificato client in un altro computer client, è possibile esportare il certificato.

  1. Nello stesso computer usato per creare il certificato autofirmato aprire un prompt dei comandi come amministratore.

  2. Modificare ed eseguire l'esempio per generare un certificato client.

    • Modificare "P2SRootCert" con il nome della radice autofirmato da cui si sta generando il certificato client. Assicurarsi di usare il nome del certificato radice, ovvero il valore "CN=" specificato al momento della creazione della radice autofirmata.
    • Modificare P2SChildCert nel nome che si desidera assegnare al certificato client generato.

    Se si esegue l'esempio riportato di seguito senza modificarlo, si otterrà un certificato client denominato P2SChildcert nell'archivio dei certificati personale generato dal certificato radice P2SRootCert.

    makecert.exe -n "CN=P2SChildCert" -pe -sky exchange -m 96 -ss My -in "P2SRootCert" -is my -a sha256

Esportare un certificato client

Quando viene generato un certificato client, viene automaticamente installato nel computer che è stato usato per generarlo. Se si vuole installare il certificato client in un altro computer client, è necessario prima esportare il certificato client.

  1. Per esportare un certificato client, aprire Gestire i certificati utente. Per impostazione predefinita, i certificati client generati si trovano in "Certificati-Utente corrente\Personale\Certificati". Fare clic con il pulsante destro del mouse sul certificato client da esportare, scegliere tutte le attività e quindi fare clic su Esporta per aprire l'Esportazione guidata certificati.

    Screenshot che mostra la finestra Certificati con Tutte le attività ed Esporta selezionato.

  2. In Esportazione guidata certificati fare clic su Avanti per continuare.

  3. Selezionare Sì, esporta la chiave privata e quindi fare clic su Avanti.

    Screenshot che mostra Sì esportare la chiave privata selezionata.

  4. Nella pagina Formato file di esportazione lasciare selezionate le impostazioni predefinite. Verificare che l'opzione Se possibile, includi tutti i certificati nel percorso certificazione sia selezionata. Questa opzione consente anche l'esportazione delle informazioni del certificato radice necessarie per la corretta autenticazione del client. Senza tali informazioni, l'autenticazione del client ha esito negativo perché il client non ha il certificato radice attendibile. Quindi fare clic su Next.

    Screenshot per la pagina del formato di file di esportazione.

  5. Nella pagina Sicurezza è necessario proteggere la chiave privata. Se si sceglie di usare una password, assicurarsi di registrare o ricordare quella impostata per questo certificato. Quindi fare clic su Next.

    Screenshot che mostra la password immessa e confermata.

  6. In File da esportare fare clic su Sfoglia e passare alla posizione in cui si vuole esportare il certificato. Per Nome file, assegnare un nome al file del certificato. Quindi fare clic su Next.

  7. Fare clic su Fine per esportare il certificato.

Installare un certificato client esportato

Per installare un certificato client, vedere Installare un certificato client.

Passaggi successivi

Continuare con la configurazione da punto a sito.

Per informazioni sulla risoluzione dei problemi della connessione da punto a sito, vedere Risoluzione dei problemi di connessione da punto a sito di Azure.