Generowanie i eksportowanie certyfikatów dla połączeń typu punkt-lokacja przy użyciu narzędzia MakeCert

Połączenia typu punkt-lokacja używają certyfikatów do uwierzytelniania. W tym artykule pokazano, jak utworzyć certyfikat główny z podpisem własnym i wygenerować certyfikaty klienta przy użyciu narzędzia MakeCert. Jeśli szukasz różnych instrukcji dotyczących certyfikatów, zobacz Certyfikaty — PowerShell lub Certyfikaty — Linux.

Zalecamy użycie kroków Windows 10 lub nowszych programu PowerShell w celu utworzenia certyfikatów, ale udostępniamy te instrukcje narzędzia MakeCert jako metodę opcjonalną. Certyfikaty generowane przy użyciu dowolnej metody można zainstalować w dowolnym obsługiwanym systemie operacyjnym klienta. Jednak program MakeCert ma następujące ograniczenie:

• Aplikacja MakeCert jest przestarzała. Oznacza to, że to narzędzie można usunąć w dowolnym momencie. Wszystkie certyfikaty, które już wygenerowano przy użyciu narzędzia MakeCert, nie będą miały wpływu, gdy usługa MakeCert nie jest już dostępna. Element MakeCert jest używany tylko do generowania certyfikatów, a nie jako mechanizmu sprawdzania poprawności.

Tworzenie certyfikatu głównego z podpisem własnym

W poniższych krokach pokazano, jak utworzyć certyfikat z podpisem własnym przy użyciu narzędzia MakeCert. Te kroki nie są specyficzne dla modelu wdrażania. Są one ważne zarówno dla Resource Manager, jak i klasycznych.

1. Pobierz i zainstaluj aplikację MakeCert.

2. Po instalacji narzędzie makecert.exe można znaleźć w tej ścieżce: "C:\Program Files (x86)\Windows Kits\10\bin<arch>". Chociaż możliwe jest, że została zainstalowana w innej lokalizacji. Otwórz wiersz polecenia jako administrator i przejdź do lokalizacji narzędzia MakeCert. Możesz użyć następującego przykładu, dostosowując się do odpowiedniej lokalizacji:

   cd C:\Program Files (x86)\Windows Kits\10\bin\x64
   

3. Utwórz i zainstaluj certyfikat w magazynie certyfikatów osobistych na komputerze. Poniższy przykład tworzy odpowiedni plik cer przekazywany na platformę Azure podczas konfigurowania P2S. Zastąp ciąg "P2SRootCert" i "P2SRootCert.cer" nazwą, której chcesz użyć dla certyfikatu. Certyfikat znajduje się w folderze "Certyfikaty — bieżący użytkownik\Osobiste\Certyfikaty".

   makecert -sky exchange -r -n "CN=P2SRootCert" -pe -a sha256 -len 2048 -ss My
   

Eksportowanie klucza publicznego (cer)

Po utworzeniu certyfikatu głównego z podpisem własnym wyeksportuj plik cer certyfikatu głównego (a nie klucz prywatny). Później przekażesz niezbędne dane certyfikatu zawarte w pliku na platformę Azure. Poniższe kroki ułatwiają eksportowanie pliku cer dla certyfikatu głównego z podpisem własnym i pobieranie niezbędnych danych certyfikatu.

1. Aby uzyskać plik cer certyfikatu, otwórz pozycję Zarządzaj certyfikatami użytkowników.

   Znajdź certyfikat główny z podpisem własnym, zazwyczaj w obszarze "Certyfikaty — bieżący użytkownik\Osobiste\Certyfikaty", a następnie kliknij prawym przyciskiem myszy. Kliknij pozycję Wszystkie zadania —>eksportuj. Spowoduje to otwarcie Kreatora eksportu certyfikatów.

   Jeśli nie możesz odnaleźć certyfikatu w obszarze "Bieżący użytkownik\Osobiste\Certyfikaty", być może przypadkowo otwarto "Certyfikaty — komputer lokalny", a nie "Certyfikaty — bieżący użytkownik".

   

2. W kreatorze kliknij przycisk Dalej.

3. Wybierz pozycję Nie eksportuj klucza prywatnego, a następnie kliknij pozycję Dalej.

   

4. Na stronie Format pliku eksportu wybierz pozycję Certyfikat X.509 szyfrowany algorytmem Base-64 (.CER), a następnie kliknij pozycję Dalej.

   

5. W obszarze Plik do eksportuprzejdź do lokalizacji, do której chcesz wyeksportować certyfikat. Do pola Nazwa pliku wprowadź nazwę pliku certyfikatu. Następnie kliknij przycisk Dalej.

6. Kliknij przycisk Zakończ, aby wyeksportować certyfikat.

7. Zostanie wyświetlone potwierdzenie z informacją "Eksport zakończył się pomyślnie".

8. Przejdź do lokalizacji, w której wyeksportowano certyfikat i otwórz go przy użyciu edytora tekstów, takiego jak Notatnik. W przypadku wyeksportowania certyfikatu w wymaganym formacie Base-64 X.509 (. Format CER— zobaczysz tekst podobny do poniższego przykładu. Sekcja wyróżniona na niebiesko zawiera informacje skopiowane i przekazane na platformę Azure.

   

   Jeśli plik nie wygląda podobnie do przykładu, zazwyczaj oznacza to, że nie został wyeksportowany przy użyciu zakodowanego w formacie Base-64 X.509(). Format CER. Ponadto jeśli używasz edytora tekstów innego niż Notatnik, pamiętaj, że niektóre edytory mogą wprowadzać niezamierzone formatowanie w tle. Może to powodować problemy podczas przekazywania tekstu z tego certyfikatu na platformę Azure.

Plik wyeksportowany.cer musi zostać przekazany na platformę Azure. Aby uzyskać instrukcje, zobacz Konfigurowanie połączenia punkt-lokacja. Aby dodać dodatkowy zaufany certyfikat główny, zobacz tę sekcję artykułu.

Eksportowanie certyfikatu z podpisem własnym i klucza prywatnego w celu jego przechowywania (opcjonalnie)

Możesz wyeksportować certyfikat główny z podpisem własnym i bezpiecznie go zapisać. Można go później zainstalować na innym komputerze i wygenerować więcej certyfikatów klienta lub wyeksportować inny plik cer. Aby wyeksportować certyfikat główny z podpisem własnym jako plik PFX, wybierz certyfikat główny i wykonaj te same kroki, jak opisano w temacie Eksportowanie certyfikatu klienta.

Tworzenie i instalowanie certyfikatów klienta

Nie instalujesz certyfikatu z podpisem własnym bezpośrednio na komputerze klienckim. Certyfikat klienta należy wygenerować na podstawie certyfikatu z podpisem własnym. Następnie należy wyeksportować i zainstalować certyfikat klienta na komputerze klienckim. Poniższe kroki nie są specyficzne dla modelu wdrażania. Są one ważne zarówno dla Resource Manager, jak i klasycznych.

Generowanie certyfikatu klienta

Na każdym komputerze klienckim nawiązującym połączenie z siecią wirtualną za pomocą połączenia typu punkt-lokacja musi być zainstalowany certyfikat klienta w celu uwierzytelniania. Certyfikat klienta zostanie wygenerowany na podstawie certyfikatu głównego z podpisem własnym, a następnie wyeksportować i zainstalować certyfikat klienta. Jeśli certyfikat klienta nie jest zainstalowany, uwierzytelnianie nie powiedzie się.

W poniższych krokach przedstawiono sposób generowania certyfikatu klienta z certyfikatu głównego z podpisem własnym. Możesz wygenerować wiele certyfikatów klienta z tego samego certyfikatu głównego. Podczas generowania certyfikatów klienta przy użyciu poniższych kroków certyfikat klienta jest instalowany automatycznie na komputerze użytym do wygenerowania certyfikatu. Jeśli chcesz zainstalować certyfikat klienta na innym komputerze klienckim, możesz wyeksportować certyfikat.

1. Na tym samym komputerze, który został użyty do utworzenia certyfikatu z podpisem własnym, otwórz wiersz polecenia jako administrator.

2. Zmodyfikuj i uruchom przykład, aby wygenerować certyfikat klienta.

   • Zmień wartość "P2SRootCert" na nazwę katalogu głównego z podpisem własnym, z którego jest generowany certyfikat klienta. Upewnij się, że używasz nazwy certyfikatu głównego, co jest dowolną wartością "CN=", która została określona podczas tworzenia katalogu głównego z podpisem własnym.
   • Zmień wartość P2SChildCert na nazwę, którą chcesz wygenerować certyfikat klienta.

   Jeśli uruchomisz poniższy przykład bez modyfikowania go, wynikiem jest certyfikat klienta o nazwie P2SChildcert w osobistym magazynie certyfikatów wygenerowanym na podstawie certyfikatu głównego P2SRootCert.

   makecert.exe -n "CN=P2SChildCert" -pe -sky exchange -m 96 -ss My -in "P2SRootCert" -is my -a sha256
   

Eksportowanie certyfikatu klienta

Podczas generowania certyfikatu klienta jest on automatycznie instalowany na komputerze, który został użyty do jego wygenerowania. Jeśli chcesz zainstalować certyfikat klienta na innym komputerze klienckim, należy najpierw wyeksportować certyfikat klienta.

1. Aby wyeksportować certyfikat klienta, otwórz okno Zarządzaj certyfikatami użytkowników. Wygenerowane certyfikaty klienta są domyślnie zlokalizowane w folderze "Certyfikaty — bieżący użytkownik\Osobiste\Certyfikaty". Kliknij prawym przyciskiem myszy certyfikat klienta, który chcesz wyeksportować, kliknij wszystkie zadania, a następnie kliknij polecenie Eksportuj , aby otworzyć Kreatora eksportu certyfikatów.

   

2. W Kreatorze eksportu certyfikatów kliknij przycisk Dalej , aby kontynuować.

3. Wybierz pozycję Tak, wyeksportuj klucz prywatny, a następnie kliknij przycisk Dalej.

   

4. Na stronie Format pliku eksportu pozostaw wybrane wartości domyślne. Upewnij się, że jest zaznaczona pozycja Jeśli jest to możliwe, dołącz wszystkie certyfikaty do ścieżki certyfikacji. To ustawienie dodatkowo eksportuje informacje o certyfikacie głównym, które są wymagane do pomyślnego uwierzytelniania klienta. Bez niego uwierzytelnianie klienta kończy się niepowodzeniem, ponieważ klient nie ma zaufanego certyfikatu głównego. Następnie kliknij przycisk Dalej.

   

5. Na stronie Zabezpieczenia należy włączyć ochronę klucza prywatnego. Jeśli wybierzesz opcję użycia hasła, zapisz lub zapamiętaj hasło ustawione dla tego certyfikatu. Następnie kliknij przycisk Dalej.

   

6. W obszarze Eksport pliku wybierz pozycję Przeglądaj, aby przejść do lokalizacji, do której chcesz wyeksportować certyfikat. Do pola Nazwa pliku wprowadź nazwę pliku certyfikatu. Następnie kliknij przycisk Dalej.

7. Kliknij przycisk Zakończ, aby wyeksportować certyfikat.

Instalowanie wyeksportowanego certyfikatu klienta

Aby zainstalować certyfikat klienta, zobacz Instalowanie certyfikatu klienta.

Następne kroki

Kontynuuj konfigurację punkt-lokacja.

• Aby uzyskać instrukcje dotyczące Resource Manager modelu wdrażania, zobacz Konfigurowanie P2S przy użyciu natywnego uwierzytelniania certyfikatu platformy Azure.
• Aby zapoznać się z klasycznymi krokami modelu wdrażania, zobacz Konfigurowanie połączenia sieci VPN typu punkt-lokacja z siecią wirtualną (klasyczną).

Aby uzyskać informacje dotyczące rozwiązywania problemów z połączeniem typu punkt-lokacja, zobacz Troubleshooting Azure point-to-site connections (Rozwiązywanie problemów z połączeniami typu punkt-lokacja na platformie Azure).