Certificaten voor punt-naar-site-verbindingen genereren en exporteren met MakeCert

  • Artikel

Punt-naar-site-verbindingen gebruiken certificaten om te verifiëren. In dit artikel wordt beschreven hoe u een zelfondertekend basiscertificaat maakt en clientcertificaten genereert met Behulp van MakeCert. Als u op zoek bent naar andere certificaatinstructies, raadpleegt u Certificaten - PowerShell of Certificaten - Linux.

Hoewel u wordt aangeraden de powershell-stappen Windows 10 of hoger te gebruiken om uw certificaten te maken, bieden we deze MakeCert-instructies als een optionele methode. De certificaten die u met beide methoden genereert, kunnen worden geïnstalleerd op elk ondersteund clientbesturingssysteem. MakeCert heeft echter de volgende beperking:

  • MakeCert is afgeschaft. Dit betekent dat dit hulpprogramma op elk gewenst moment kan worden verwijderd. Certificaten die u al hebt gegenereerd met MakeCert, worden niet beïnvloed wanneer MakeCert niet meer beschikbaar is. MakeCert wordt alleen gebruikt om de certificaten te genereren, niet als een validatiemechanisme.

Een zelfondertekend basiscertificaat maken

In de volgende stappen ziet u hoe u een zelfondertekend certificaat maakt met MakeCert. Deze stappen zijn niet specifiek voor het implementatiemodel. Ze zijn geldig voor zowel Resource Manager als klassiek.

  1. Download en installeer MakeCert.

  2. Na de installatie vindt u meestal het hulpprogramma makecert.exe onder dit pad: 'C:\Program Files (x86)\Windows Kits\10\bin<arch>'. Het is echter mogelijk dat deze op een andere locatie is geïnstalleerd. Open een opdrachtprompt als beheerder en navigeer naar de locatie van het hulpprogramma MakeCert. U kunt het volgende voorbeeld gebruiken om de juiste locatie aan te passen:

    cd C:\Program Files (x86)\Windows Kits\10\bin\x64

  3. Maak en installeer een certificaat in het persoonlijke certificaatarchief op uw computer. In het volgende voorbeeld wordt een bijbehorend CER-bestand gemaakt dat u uploadt naar Azure bij het configureren van P2S. Vervang 'P2SRootCert' en 'P2SRootCert.cer' door de naam die u wilt gebruiken voor het certificaat. Het certificaat bevindt zich in uw 'Certificaten - Huidige gebruiker\Persoonlijk\Certificaten'.

    makecert -sky exchange -r -n "CN=P2SRootCert" -pe -a sha256 -len 2048 -ss My

De openbare sleutel (.cer) exporteren

Nadat u een zelfondertekend basiscertificaat hebt gemaakt, exporteert u het CER-bestand van het basiscertificaat (niet de persoonlijke sleutel). Later uploadt u de benodigde certificaatgegevens in het bestand naar Azure. Met de volgende stappen kunt u het CER-bestand voor uw zelfondertekende basiscertificaat exporteren en de benodigde certificaatgegevens ophalen.

  1. Open Gebruikerscertificaten beheren om het CER-bestand van het certificaat op te halen.

    Zoek het zelfondertekende basiscertificaat, meestal in 'Certificaten - Huidige gebruiker\Persoonlijk\Certificaten' en klik met de rechtermuisknop. Klik op Alle taken ->Exporteren. Hiermee opent u de Wizard Certificaat exporteren.

    Als u het certificaat niet kunt vinden onder 'Huidige gebruiker\Persoonlijk\Certificaten', hebt u mogelijk per ongeluk 'Certificaten - lokale computer' geopend in plaats van 'Certificaten - huidige gebruiker'.

    Schermopname van het venster Certificaten met Alle taken en exporteren geselecteerd.

  2. Klik in de wizard op Volgende.

  3. Selecteer Nee, de persoonlijke sleutel niet exporteren en klik vervolgens op Volgende.

    Schermopname van De persoonlijke sleutel niet exporteren.

  4. Selecteer op de pagina Bestandsindeling voor export de optie Met Base64 gecodeerde X.509 (*.CER) en klik op Volgende.

    Schermopname van export Base-64 gecodeerd.

  5. Blader voor Te exporteren bestand naar de locatie waarnaar u het certificaat wilt exporteren. Geef bij Bestandsnaam de naam van het certificaatbestand op. Klik op Volgende.

  6. Klik op Voltooien om het certificaat te exporteren.

  7. U ziet een bevestiging met de tekst 'De export is geslaagd'.

  8. Ga naar de locatie waar u het certificaat hebt geëxporteerd en open het met een teksteditor, zoals Kladblok. Als u het certificaat hebt geëxporteerd in de vereiste Base-64 gecodeerde X.509 (. CER)-indeling, ziet u tekst die lijkt op het volgende voorbeeld. De blauw gemarkeerde sectie bevat de informatie die u kopieert en uploadt naar Azure.

    Schermopname van het CER-bestand dat is geopend in Kladblok, met de certificaatgegevens gemarkeerd.

    Als uw bestand er niet uitziet zoals in het voorbeeld, betekent dit meestal dat u het niet hebt geëxporteerd met de met Base-64 gecodeerde X.509(. CER)-indeling. Als u een andere teksteditor dan Kladblok gebruikt, moet u er bovendien rekening mee houden dat sommige editors onbedoelde opmaak op de achtergrond kunnen introduceren. Dit kan problemen veroorzaken bij het uploaden van de tekst van dit certificaat naar Azure.

Het bestand exported.cer moet worden geüpload naar Azure. Zie Een punt-naar-site-verbinding configureren voor instructies. Als u een extra vertrouwd basiscertificaat wilt toevoegen, raadpleegt u deze sectie van het artikel.

Het zelfondertekende certificaat en de persoonlijke sleutel exporteren om het op te slaan (optioneel)

U kunt het zelfondertekende basiscertificaat exporteren en veilig opslaan. U kunt deze later installeren op een andere computer en meer clientcertificaten genereren of een ander CER-bestand exporteren. Als u het zelfondertekende basiscertificaat wilt exporteren als pfx, selecteert u het basiscertificaat en gebruikt u dezelfde stappen als beschreven in Een clientcertificaat exporteren.

Clientcertificaten maken en installeren

U installeert het zelfondertekende certificaat niet rechtstreeks op de clientcomputer. U moet een clientcertificaat genereren op basis van het zelfondertekende certificaat. Vervolgens exporteert en installeert u het clientcertificaat op de clientcomputer. De volgende stappen zijn niet specifiek voor het implementatiemodel. Ze zijn geldig voor zowel Resource Manager als klassiek.

Een clientcertificaat genereren

Op elke clientcomputer die via punt-naar-site verbinding maakt met een VNet, moet een clientcertificaat zijn geïnstalleerd. U genereert een clientcertificaat op basis van het zelfondertekende basiscertificaat en exporteert en installeert vervolgens het clientcertificaat. Als het clientcertificaat niet is geïnstalleerd, mislukt de verificatie.

De volgende stappen helpen u bij het genereren van een clientcertificaat op basis van een zelfondertekend basiscertificaat. U kunt meerdere clientcertificaten genereren op basis van hetzelfde basiscertificaat. Wanneer u clientcertificaten genereert met behulp van de volgende stappen, wordt het clientcertificaat automatisch geïnstalleerd op de computer die u hebt gebruikt om het certificaat te genereren. Als u een clientcertificaat op een andere clientcomputer wilt installeren, kunt u het certificaat exporteren.

  1. Open een opdrachtprompt als beheerder op dezelfde computer die u hebt gebruikt om het zelfondertekende certificaat te maken.

  2. Wijzig het voorbeeld en voer het uit om een clientcertificaat te genereren.

    • Wijzig 'P2SRootCert' in de naam van de zelfondertekende hoofdmap waaruit u het clientcertificaat genereert. Zorg ervoor dat u de naam van het basiscertificaat gebruikt. Dit is de waarde 'CN=' die u hebt opgegeven toen u de zelfondertekende hoofdmap maakte.
    • Wijzig P2SChildCert in de naam die u een clientcertificaat wilt genereren.

    Als u het volgende voorbeeld uitvoert zonder dit te wijzigen, is het resultaat een clientcertificaat met de naam P2SChildcert in uw persoonlijke certificaatarchief dat is gegenereerd op basis van het basiscertificaat P2SRootCert.

    makecert.exe -n "CN=P2SChildCert" -pe -sky exchange -m 96 -ss My -in "P2SRootCert" -is my -a sha256

Een clientcertificaat exporteren

Wanneer u een clientcertificaat genereert, wordt dit automatisch geïnstalleerd op de computer die u hebt gebruikt om het te genereren. Als u het clientcertificaat op een andere clientcomputer wilt installeren, moet u eerst het clientcertificaat exporteren.

  1. Als u een clientcertificaat wilt exporteren, opent u Gebruikerscertificaten beheren. De clientcertificaten die u hebt gegenereerd, bevinden zich standaard in 'Certificaten - Huidige gebruiker\Persoonlijk\Certificaten'. Klik met de rechtermuisknop op het clientcertificaat dat u wilt exporteren, klik op alle taken en klik vervolgens op Exporteren om de wizard Certificaat exporteren te openen.

    Schermopname van het venster Certificaten met Alle taken en Exporteren geselecteerd.

  2. Klik in de wizard Certificaat exporteren op Volgende om door te gaan.

  3. Selecteer Ja, de persoonlijke sleutel exporteren en klik vervolgens op Volgende.

    Schermopname met Ja, de persoonlijke sleutel exporteren geselecteerd.

  4. Laat op de pagina Bestandsindeling voor export de standaardinstellingen geselecteerd. Zorg ervoor dat en mogelijk alle certificaten in het certificeringspad opnemen is geselecteerd. Met deze instelling exporteert u bovendien de basiscertificaatgegevens die vereist zijn voor een geslaagde clientverificatie. Zonder dit certificaat mislukt de clientverificatie omdat de client niet over het vertrouwde basiscertificaat beschikt. Klik op Volgende.

    Schermopname van de pagina Bestandsindeling exporteren.

  5. Op de pagina Beveiliging moet u de persoonlijke sleutel beveiligen. Als u ervoor kiest om een wachtwoord te gebruiken, is het belangrijk dat u het wachtwoord voor dit certificaat ergens noteert of onthoudt. Klik op Volgende.

    Schermopname van het wachtwoord dat is ingevoerd en bevestigd.

  6. Op de pagina Te exporteren bestandbladert u naar de locatie waar u het certificaat wilt exporteren. Geef bij Bestandsnaam de naam van het certificaatbestand op. Klik op Volgende.

  7. Klik op Voltooien om het certificaat te exporteren.

Een geëxporteerd clientcertificaat installeren

Zie Een clientcertificaat installeren als u een clientcertificaat wilt installeren.

Volgende stappen

Ga verder met de punt-naar-site-configuratie.

Voor informatie over probleemoplossing voor P2S bekijkt u Troubleshooting Azure point-to-site connections (Problemen met punt-naar-site-verbindingen in Azure oplossen).