Udostępnij za pośrednictwem


Eksportowanie łańcucha certyfikatów zaufanego urzędu certyfikacji klienta do użycia z uwierzytelnianiem klienta

Aby skonfigurować wzajemne uwierzytelnianie z klientem lub uwierzytelnianie klienta, usługa Application Gateway wymaga przesłania zaufanego łańcucha certyfikatów klienta CA do bramy. Jeśli masz wiele łańcuchów certyfikatów, musisz utworzyć łańcuchy oddzielnie i przekazać je jako różne pliki w usłudze Application Gateway. Z tego artykułu dowiesz się, jak wyeksportować łańcuch certyfikatów zaufanego urzędu certyfikacji klienta, którego można użyć w konfiguracji uwierzytelniania klientów na Twojej bramie.

Wymagania wstępne

Istniejący certyfikat klienta jest wymagany do wygenerowania łańcucha certyfikatów klienta zaufanego urzędu certyfikacji (CA).

Eksport zaufanego certyfikatu klienta CA

Do uwierzytelniania klienta na bramie aplikacyjnej wymagany jest zaufany certyfikat CA klienta. W tym przykładzie używamy certyfikatu TLS/SSL dla certyfikatu klienta, wyeksportujemy jego klucz publiczny, a następnie wyeksportujemy certyfikaty urzędu certyfikacji z klucza publicznego, aby uzyskać certyfikaty zaufanego urzędu certyfikacji klienta. Następnie połączymy wszystkie certyfikaty urzędu certyfikacji klienta z jednym zaufanym łańcuchem certyfikatów urzędu certyfikacji klienta.

Poniższe kroki ułatwiają eksportowanie pliku pem lub .cer dla certyfikatu:

Eksportowanie certyfikatu publicznego

  1. Aby uzyskać plik .cer z certyfikatu, otwórz pozycję Zarządzaj certyfikatami użytkowników. Znajdź certyfikat, zazwyczaj w folderze "Certyfikaty — bieżący użytkownik\Osobisty\Certyfikaty", a następnie kliknij prawym przyciskiem myszy. Kliknij pozycję Wszystkie zadania, a następnie kliknij przycisk Eksportuj. Spowoduje to otwarcie Kreatora eksportu certyfikatów. Jeśli nie możesz znaleźć certyfikatu w obszarze Bieżący użytkownik\Osobiste\Certyfikaty, być może przypadkowo otwarto "Certyfikaty — komputer lokalny", a nie "Certyfikaty — bieżący użytkownik"). Jeśli chcesz otworzyć Menedżera certyfikatów w bieżącym zakresie użytkownika przy użyciu programu PowerShell, wpisz certmgr w oknie konsoli.

    Zrzut ekranu przedstawiający Menedżera certyfikatów z wybraną pozycją Certyfikaty i menu kontekstowe z pozycją Wszystkie zadania, a następnie wybierz pozycję Eksportuj.

  2. W Kreatorze kliknij Dalej.

    Zrzut ekranu przedstawiający certyfikat eksportu.

  3. Wybierz pozycję Nie, nie eksportuj klucza prywatnego, a następnie kliknij przycisk Dalej.

    Zrzut ekranu przedstawiający opcję braku eksportu klucza prywatnego.

  4. Na stronie Eksportuj format pliku wybierz pozycję X.509 zakodowany w formacie Base-64 (. CER)., a następnie kliknij przycisk Dalej.

    Zrzut ekranu przedstawiający kodowanie Base-64.

  5. Dla Plik do eksportu, przejdź do lokalizacji, do której chcesz wyeksportować certyfikat. Do pola Nazwa pliku wprowadź nazwę pliku certyfikatu. Następnie kliknij przycisk Dalej.

    Zrzut ekranu przedstawia Kreatora eksportu certyfikatów, w którym określasz plik do wyeksportowania.

  6. Kliknij przycisk Zakończ, aby wyeksportować certyfikat.

    Zrzut ekranu przedstawia Kreatora eksportu certyfikatów po zakończeniu eksportowania pliku.

  7. Certyfikat został pomyślnie wyeksportowany.

    Zrzut ekranu pokazuje Kreatora eksportu certyfikatów oraz komunikat pomyślnego wykonania.

    Wyeksportowany certyfikat wygląda podobnie do następującego:

    Zrzut ekranu przedstawia symbol certyfikatu.

Eksportowanie certyfikatów urzędu certyfikacji z certyfikatu publicznego

Po wyeksportowaniu certyfikatu publicznego, musisz teraz wyeksportować certyfikat(y) urzędu certyfikacji z tego certyfikatu publicznego. Jeśli masz tylko główny urząd certyfikacji, musisz wyeksportować tylko ten certyfikat. Jeśli jednak masz więcej niż jeden pośredni urząd certyfikacji, musisz wyeksportować każdy z nich.

  1. Po wyeksportowaniu klucza publicznego otwórz plik.

    Zrzut ekranu przedstawiający otwieranie certyfikatu autoryzacji.

    Zrzut ekranu przedstawiający informacje o certyfikacie.

  2. Wybierz kartę Ścieżka certyfikacji, aby wyświetlić urząd certyfikacji.

    Zrzut ekranu przedstawiający szczegóły certyfikatu.

  3. Wybierz certyfikat główny i kliknij pozycję Wyświetl certyfikat.

    Zrzut ekranu przedstawiający ścieżkę certyfikatu.

    Powinny zostać wyświetlone szczegóły certyfikatu głównego.

    Zrzut ekranu przedstawiający informacje o certyfikacie.

  4. Wybierz kartę Szczegóły i kliknij przycisk Kopiuj do pliku...

    Zrzut ekranu przedstawiający kopiowanie certyfikatu głównego.

  5. W tym momencie wyodrębniono szczegóły certyfikatu głównego urzędu certyfikacji z certyfikatu publicznego. Widzisz Kreatora eksportu certyfikatów. Wykonaj kroki 2–7 z poprzedniej sekcji (Eksportuj certyfikat publiczny), aby ukończyć pracę Kreatora eksportu certyfikatów.

  6. Teraz powtórz kroki od 2 do 6 z tej bieżącej sekcji (Eksportuj certyfikaty urzędu certyfikacji z certyfikatu publicznego) dla wszystkich pośrednich urzędów certyfikacji, aby wyeksportować wszystkie certyfikaty pośredniego urzędu certyfikacji w zakodowanym formacie Base-64 X.509(. Format CER).

    Zrzut ekranu przedstawiający certyfikat pośredni.

    Na przykład powtórz kroki 2–6 z tej sekcji w pośrednim urzędzie certyfikacji MSIT CAZ2 , aby wyodrębnić go jako własny certyfikat.

Łączenie wszystkich certyfikatów urzędu certyfikacji w jeden plik

  1. Uruchom następujące polecenie z wszystkimi wyodrębnionymi wcześniej certyfikatami urzędu certyfikacji.

    Windows:

    type intermediateCA.cer rootCA.cer > combined.cer
    

    Linux:

    cat intermediateCA.cer rootCA.cer >> combined.cer
    

    Twój końcowy połączony certyfikat powinien wyglądać podobnie do następującego:

    Zrzut ekranu przedstawiający połączony certyfikat.

Następne kroki

Teraz masz łańcuch certyfikatów zaufanego urzędu certyfikacji klienta. Możesz dodać tę opcję do konfiguracji uwierzytelniania klienta w usłudze Application Gateway, aby umożliwić wzajemne uwierzytelnianie z bramą. Zobacz Konfigurowanie wzajemnego uwierzytelniania przy użyciu usługi Application Gateway z portalem lub konfigurowanie wzajemnego uwierzytelniania przy użyciu usługi Application Gateway przy użyciu programu PowerShell.