Delen via


Certificaten genereren en exporteren voor punt-naar-site-verbindingen met MakeCert

In dit artikel leest u hoe u een zelfondertekend basiscertificaat maakt en clientcertificaten genereert met MakeCert. Met de stappen in dit artikel kunt u PFX- en .cer-bestanden maken. Als u op zoek bent naar verschillende certificaatinstructies, raadpleegt u PowerShell - PFX en .cer certificaatbestanden of Linux- OpenSSL - PEM-certificaatbestanden.

U wordt aangeraden de PowerShell-stappen voor Windows 10 of hoger te gebruiken om uw certificaten te maken. We bieden deze MakeCert-instructies als een optionele methode. De certificaten die u genereert met behulp van beide methoden, kunnen worden geïnstalleerd op elk ondersteund clientbesturingssysteem. MakeCert heeft de volgende beperking:

  • MakeCert is afgeschaft. Dit betekent dat dit hulpprogramma op elk gewenst moment kan worden verwijderd. Certificaten die u al hebt gegenereerd met MakeCert, worden niet beïnvloed als MakeCert niet meer beschikbaar is. MakeCert wordt alleen gebruikt om de certificaten te genereren, niet als een validatiemechanisme.

Een zelfondertekend basiscertificaat maken

In de volgende stappen ziet u hoe u een zelfondertekend certificaat maakt met MakeCert. Deze stappen zijn niet specifiek voor het implementatiemodel. Ze zijn geldig voor zowel Resource Manager als klassiek.

  1. Download en installeer MakeCert.

  2. Na de installatie vindt u meestal het makecert.exe hulpprogramma onder dit pad: 'C:\Program Files (x86)\Windows Kits\10\bin<arch>'. Het is echter mogelijk dat het is geïnstalleerd op een andere locatie. Open een opdrachtprompt als beheerder en navigeer naar de locatie van het MakeCert-hulpprogramma. U kunt het volgende voorbeeld gebruiken om de juiste locatie aan te passen:

    cd C:\Program Files (x86)\Windows Kits\10\bin\x64
    
  3. Maak en installeer een certificaat in het persoonlijke certificaatarchief op uw computer. In het volgende voorbeeld wordt een bijbehorend .cer bestand gemaakt dat u uploadt naar Azure bij het configureren van P2S. Vervang P2SRootCert en P2SRootCert.cer door de naam die u voor het certificaat wilt gebruiken. Het certificaat bevindt zich in uw 'Certificaten - Huidige gebruiker\Persoonlijk\Certificaten'.

    makecert -sky exchange -r -n "CN=P2SRootCert" -pe -a sha256 -len 2048 -ss My
    

De openbare sleutel exporteren (.cer)

Nadat u een zelfondertekend basiscertificaat hebt gemaakt, exporteert u het basiscertificaat .cer bestand (niet de persoonlijke sleutel). Later uploadt u de benodigde certificaatgegevens in het bestand naar Azure. Met de volgende stappen kunt u het .cer-bestand voor uw zelfondertekende basiscertificaat exporteren en de benodigde certificaatgegevens ophalen.

  1. Als u het certificaat .cer-bestand wilt ophalen, opent u Gebruikerscertificaten beheren.

    Zoek het zelfondertekende basiscertificaat, meestal in Certificaten - Huidige gebruiker\Persoonlijk\Certificaten en klik met de rechtermuisknop. Selecteer Alle taken -> Exporteren. Hiermee opent u de Wizard Certificaat exporteren.

    Als u het certificaat niet kunt vinden onder 'Huidige gebruiker\persoonlijk\certificaten', hebt u mogelijk per ongeluk certificaten geopend - lokale computer, in plaats van certificaten - huidige gebruiker.

    Schermopname van het venster Certificaten met Alle taken en vervolgens Exporteren geselecteerd.

  2. Selecteer Volgende in de wizard.

  3. Selecteer Nee, exporteer de persoonlijke sleutel niet en selecteer vervolgens Volgende.

    Schermopname met De persoonlijke sleutel niet exporteren.

  4. Selecteer op de pagina Bestandsindeling exporteren base-64 gecodeerde X.509 (. CER). en selecteer vervolgens Volgende.

    Schermopname van het exporteren van Base-64 gecodeerd.

  5. Blader naar de locatie waarnaar u het certificaat wilt exporteren om het bestand te exporteren. Geef bij Bestandsnaam de naam van het certificaatbestand op. Selecteer vervolgens Volgende.

  6. Selecteer Voltooien om het certificaat te exporteren.

  7. U ziet een bevestiging dat de export is geslaagd.

  8. Ga naar de locatie waar u het certificaat hebt geëxporteerd en open het met behulp van een teksteditor, zoals Kladblok. Als u het certificaat hebt geëxporteerd in de vereiste Met Base-64 gecodeerde X.509 (. CER)-indeling ziet u tekst die lijkt op het volgende voorbeeld. De sectie die blauw is gemarkeerd, bevat de informatie die u naar Azure kopieert en uploadt.

    Schermopname van het CER-bestand dat is geopend in Kladblok, met de certificaatgegevens gemarkeerd.

    Als uw bestand er niet uitziet zoals in het voorbeeld, betekent dit meestal dat u het niet hebt geëxporteerd met behulp van de met Base-64 gecodeerde X.509(. CER)-indeling. Als u een andere teksteditor dan Kladblok gebruikt, moet u er bovendien rekening mee houden dat sommige editors onbedoelde opmaak op de achtergrond kunnen introduceren. Dit kan problemen veroorzaken bij het uploaden van de tekst van dit certificaat naar Azure.

Het exported.cer-bestand moet worden geüpload naar Azure. Zie Een punt-naar-site-verbinding configureren voor instructies. Als u een extra vertrouwd basiscertificaat wilt toevoegen, raadpleegt u deze sectie van het artikel.

Het zelfondertekende certificaat en de persoonlijke sleutel exporteren om het op te slaan (optioneel)

Mogelijk wilt u het zelfondertekende basiscertificaat exporteren en veilig opslaan. U kunt deze later installeren op een andere computer en meer clientcertificaten genereren of een ander .cer bestand exporteren. Als u het zelfondertekende basiscertificaat als pfx wilt exporteren, selecteert u het basiscertificaat en gebruikt u dezelfde stappen als beschreven in Een clientcertificaat exporteren.

Clientcertificaten maken en installeren

U installeert het zelfondertekende certificaat niet rechtstreeks op de clientcomputer. U moet een clientcertificaat genereren op basis van het zelfondertekende certificaat. Vervolgens exporteert en installeert u het clientcertificaat op de clientcomputer. De volgende stappen zijn niet specifiek voor het implementatiemodel. Ze zijn geldig voor zowel Resource Manager als klassiek.

Een clientcertificaat genereren

Op elke clientcomputer die via punt-naar-site verbinding maakt met een VNet, moet een clientcertificaat zijn geïnstalleerd. U genereert een clientcertificaat op basis van het zelfondertekende basiscertificaat en exporteert en installeert vervolgens het clientcertificaat. Als het clientcertificaat niet is geïnstalleerd, mislukt de verificatie.

De volgende stappen helpen u bij het genereren van een clientcertificaat van een zelfondertekend basiscertificaat. U kunt meerdere clientcertificaten genereren op basis van hetzelfde basiscertificaat. Wanneer u clientcertificaten genereert met behulp van de volgende stappen, wordt het clientcertificaat automatisch geïnstalleerd op de computer die u hebt gebruikt om het certificaat te genereren. Als u een clientcertificaat op een andere clientcomputer wilt installeren, kunt u het certificaat exporteren.

  1. Open op dezelfde computer die u hebt gebruikt om het zelfondertekende certificaat te maken een opdrachtprompt als beheerder.

  2. Wijzig en voer het voorbeeld uit om een clientcertificaat te genereren.

    • Wijzig 'P2SRootCert' in de naam van de zelfondertekende basis waarvan u het clientcertificaat genereert. Zorg ervoor dat u de naam van het basiscertificaat gebruikt. Dit is wat de cn=-waarde is die u hebt opgegeven toen u de zelfondertekende basis hebt gemaakt.
    • Wijzig P2SChildCert in de naam die u wilt genereren van een clientcertificaat.

    Als u het volgende voorbeeld uitvoert zonder dit te wijzigen, is het resultaat een clientcertificaat met de naam P2SChildcert in uw persoonlijke certificaatarchief dat is gegenereerd op basis van basiscertificaat P2SRootCert.

    makecert.exe -n "CN=P2SChildCert" -pe -sky exchange -m 96 -ss My -in "P2SRootCert" -is my -a sha256
    

Een clientcertificaat exporteren

Wanneer u een clientcertificaat genereert, wordt het automatisch geïnstalleerd op de computer die u hebt gebruikt om het te genereren. Als u het clientcertificaat op een andere clientcomputer wilt installeren, moet u eerst het clientcertificaat exporteren.

  1. Als u een clientcertificaat wilt exporteren, opent u Gebruikerscertificaten beheren. De clientcertificaten die u hebt gegenereerd, bevinden zich standaard in Certificaten - Huidige gebruiker\Persoonlijk\Certificaten. Klik met de rechtermuisknop op het clientcertificaat dat u wilt exporteren, klik op alle taken en klik vervolgens op Exporteren om de wizard Certificaat exporteren te openen.

    Schermopname van het venster Certificaten met Alle taken en Exporteren geselecteerd.

  2. Klik in de wizard Certificaat exporteren op Volgende om door te gaan.

  3. Selecteer Ja, exporteer de persoonlijke sleutel en klik op Volgende.

    Schermopname met Ja exporteren van de persoonlijke sleutel geselecteerd.

  4. Laat op de pagina Bestandsindeling voor export de standaardinstellingen geselecteerd. Zorg ervoor dat en mogelijk alle certificaten in het certificeringspad opnemen is geselecteerd. Met deze instelling worden ook de basiscertificaatgegevens geëxporteerd die vereist zijn voor geslaagde clientverificatie. Zonder dit mislukt clientverificatie omdat de client niet beschikt over het vertrouwde basiscertificaat. Klik vervolgens op Volgende.

    Schermopname van de pagina Bestandsindeling exporteren.

  5. Op de pagina Beveiliging moet u de persoonlijke sleutel beveiligen. Als u ervoor kiest om een wachtwoord te gebruiken, is het belangrijk dat u het wachtwoord voor dit certificaat ergens noteert of onthoudt. Klik vervolgens op Volgende.

    Schermopname van het ingevoerde wachtwoord en bevestigd.

  6. Op de pagina Te exporteren bestandbladert u naar de locatie waar u het certificaat wilt exporteren. Geef bij Bestandsnaam de naam van het certificaatbestand op. Klik vervolgens op Volgende.

  7. Klik op Voltooien om het certificaat te exporteren.

Een geëxporteerd clientcertificaat installeren

Zie Een clientcertificaat installeren om een clientcertificaat te installeren.

Volgende stappen

Ga door met de punt-naar-site-configuratie.

Voor informatie over probleemoplossing voor P2S bekijkt u Troubleshooting Azure point-to-site connections (Problemen met punt-naar-site-verbindingen in Azure oplossen).