Gerar e exportar certificados para conexões Ponto a Site usando o MakeCert

  • Artigo

Conexões ponto a site usam certificados para se autenticar. Este artigo mostra como criar um certificado raiz autoassinado e gerar certificados do cliente usando o MakeCert. Se você estiver procurando por instruções de certificado diferentes, confira Certificados – PowerShell ou Certificados – Linux.

Enquanto é recomendável usar as etapas do PowerShell para Windows 10 ou posterior para criar seus certificados, fornecemos essas instruções MakeCert como um método opcional. Os certificados que você gerar utilizando qualquer um dos métodos podem ser instalados em qualquer sistema operacional cliente com suporte. No entanto, o MakeCert tem a seguinte limitação:

  • O MakeCert foi preterido. Isso significa que essa ferramenta pode ser removida a qualquer momento. Todos os certificados que você já tiver gerado usando MakeCert não serão afetados quando o MakeCert não estiver mais disponível. MakeCert só é usado para gerar os certificados, não como um mecanismo de validação.

Criar um certificado raiz autoassinado

As etapas a seguir mostram como criar um certificado autoassinado usando o MakeCert. Essas etapas não são específicas do modelo de implantação. Elas são válidas tanto para o Resource Manager quanto para o clássico.

  1. Baixe e instale o MakeCert.

  2. Após a instalação, você pode normalmente localizar o utilitário makecert.exe neste caminho: 'C:\Program Files (x86)\Windows Kits\10\bin<arch>'. Embora, é possível que ele tenha sido instalado em outro local. Abra um prompt de comando como administrador e navegue até o local do utilitário MakeCert. Você pode usar o exemplo a seguir, ajustando para o local apropriado:

    cd C:\Program Files (x86)\Windows Kits\10\bin\x64

  3. Em seguida, crie e instale um certificado no repositório de certificados Pessoal em seu computador. O exemplo a seguir cria um arquivo .cer correspondente que você carrega no Azure ao configurar P2S. Substitua “P2SRootCert” e “P2SRootCert.cer” pelo nome que você deseja usar para o certificado. O certificado está localizado em seus 'Certificados – Current User\Personal\Certificates'.

    makecert -sky exchange -r -n "CN=P2SRootCert" -pe -a sha256 -len 2048 -ss My

Exportar a chave pública (.cer)

Após criar um certificado raiz autoassinado, exporte o arquivo .cer do certificado raiz (não a chave privada). Posteriormente, você carregará no Azure os dados de certificado necessários contidos no arquivo. As etapas a seguir ajudam você a exportar o arquivo .cer de seu certificado raiz autoassinado e a recuperar os dados de certificado necessários.

  1. Para obter o arquivo .cer do certificado, abra Gerenciar certificados de usuário.

    Localize o certificado raiz autoassinado, normalmente em "Certificados – Usuário Atual\Pessoal\Certificados", e clique nele com o botão direito do mouse. Clique em Todas as Tarefas ->Exportar. Isso abre o Assistente para Exportação de Certificados.

    Se você não encontrar o certificado em "Usuário\Pessoal\Certificados", pode ser que você tenha aberto acidentalmente "Certificados – Computador Local" em vez de "Certificados – Usuário Atual".

    A captura de tela mostra a janela Certificados com Todas as Tarefas e Exportar selecionados.

  2. No assistente, clique em Próximo.

  3. Selecione Não exportar a chave privada e clique em Avançar.

    A captura de tela mostra Não exportar a chave privada.

  4. Na página Exportar Formato de Arquivo, selecione X.509 codificado em Base 64 (.CER). e clique em Avançar.

    A captura de tela mostra Exportar codificado em Base 64.

  5. Para o Arquivo a ser Exportado, use Procurar para encontrar a localização para a qual você deseja exportar o certificado. Em Nome do arquivo, dê um nome ao arquivo de certificado. Em seguida, clique em Avançar.

  6. Clique em Concluir para exportar o certificado.

  7. Você verá a confirmação de que "A exportação foi bem-sucedida".

  8. Vá para o local em que você exportou o certificado e abra-o usando um editor de texto como o Bloco de Notas. Se você exportou o certificado no formato X.509 codificado em Base 64 necessário (.CER), verá um texto semelhante ao exemplo a seguir. A seção realçada em azul contém as informações que você copia e carrega no Azure.

    A captura de tela mostra o arquivo CER aberto no Bloco de Notas com os dados do certificado realçados.

    Se o arquivo não for semelhante ao exemplo, isso normalmente significa que o certificado não foi exportado usando o formato X.509 codificado em Base 64 (.CER). Além disso, se você usa um editor de texto diferente do Bloco de Notas, é importante saber que alguns editores podem introduzir formatação não intencional em segundo plano. Isso pode criar problemas ao fazer upload do texto desse certificado para o Azure.

O arquivo exported.cer deve ser carregado no Azure. Para obter instruções, consulte Configurar uma conexão ponto a site. Para adicionar um certificado raiz confiável adicional, consulte esta seção do artigo.

Exportar o certificado autoassinado e a chave privada para armazená-lo (opcional)

Convém exportar o certificado raiz autoassinado e armazená-lo com segurança. Você pode instalá-la depois em outro computador e gerar mais certificados de cliente, ou exportar outro arquivo .cer. Para exportar o certificado raiz autoassinado como um .pfx, selecione o certificado raiz e use as mesmas etapas, conforme descrito em Exportar um certificado do cliente para exportar.

Criar e instalar certificados de cliente

Não instale o certificado autoassinado diretamente no computador cliente. Você precisa gerar um certificado de cliente do certificado autoassinado. Em seguida, você exporta e instala o certificado de cliente no computador cliente. Essas etapas não são específicas ao modelo de implantação. Elas são válidas tanto para o Resource Manager quanto para o clássico.

Gerar um certificado do cliente

Cada computador cliente que se conecta a uma rede virtual usando ponto a site deve ter um certificado do cliente instalado. Você gera um certificado do cliente com base no certificado raiz autoassinado e, em seguida, a exporta e instala o certificado do cliente. Se o certificado do cliente não estiver instalado, a autenticação não vai funcionar.

As etapas abaixo lhe guiarão pela geração de um certificado do cliente por meio de um certificado raiz autoassinado. Você pode gerar vários certificados de cliente a partir do mesmo certificado raiz. Quando você gerar certificados do cliente usando as etapas a seguir, o certificado do cliente será instalado automaticamente no computador que você tiver usado para gerar o certificado. Se você quiser instalar um certificado do cliente em outro computador cliente, você poderá exportar o certificado.

  1. No mesmo computador usado para criar o certificado autoassinado, abra um prompt de comando como administrador.

  2. Modifique e execute o exemplo para gerar um certificado de cliente.

    • Altere “P2SRootCert” para o nome da raiz autoassinada com base na qual você está gerando o certificado do cliente. Verifique se você está usando o nome do certificado raiz, que é equivalente ao valor 'CN=' que você especificou quando criou a raiz autoassinada.
    • Altere P2SChildCert para o nome que você deseja fornecer a um certificado do cliente gerado.

    Se você executar o exemplo a seguir sem modificá-lo, o resultado será um certificado do cliente chamado P2SChildcert em seu repositório de certificados Personal que foi gerado com base no certificado raiz P2SRootCert.

    makecert.exe -n "CN=P2SChildCert" -pe -sky exchange -m 96 -ss My -in "P2SRootCert" -is my -a sha256

Exportar um certificado do cliente

Quando você gerar um certificado do cliente, ele será instalado automaticamente no computador que você usou para gerá-lo. Se você quiser instalar um certificado do cliente em outro computador cliente, primeiro precisará exportar o certificado do cliente.

  1. Para exportar um certificado de cliente, abra Gerenciar certificados de usuário. Os certificados do cliente que você gerou são, por padrão, localizados em 'Certificates - Current User\Personal\Certificates'. Clique com o botão direito do mouse no certificado do cliente que você deseja exportar, clique em todas as tarefas e clique em exportar para abrir o Assistente para Exportação de Certificados.

    A captura de tela mostra a janela Certificados com Todas as Tarefas e Exportar selecionados.

  2. No Assistente para Exportação de Certificados, clique em Avançar para continuar.

  3. Selecione Sim, exportar a chave privada e, em seguida, clique em Avançar.

    Captura de tela mostrando Sim, exportar a chave privada selecionado.

  4. Na página Formato do Arquivo de Exportação, deixe os padrões selecionados. Verifique se a opção Incluir todos os certificados no caminho de certificação, se possível está selecionada. Adicionalmente, essa exporta as informações sobre o certificado raiz necessárias para uma autenticação de cliente bem-sucedida. Sem isso, a autenticação de cliente irá falhar porque o cliente não possui o certificado raiz confiável. Em seguida, clique em Avançar.

    Captura de tela da página de formato de arquivo de exportação.

  5. Na página Segurança , você deve proteger a chave privada. Se você optar por usar uma senha, não deixe de anotar ou lembrar da senha definida para esse certificado. Em seguida, clique em Avançar.

    A captura de tela mostra a senha inserida e confirmada.

  6. Em Arquivo a ser Exportado, use Procurar para encontrar a localização para a qual você deseja exportar o certificado. Em Nome do arquivo, dê um nome ao arquivo de certificado. Em seguida, clique em Avançar.

  7. Clique em Concluir para exportar o certificado.

Instalar um certificado do cliente exportado

Para instalar um certificado de cliente, confira Instalar um certificado de cliente.

Próximas etapas

Continue com a configuração de Ponto a Site.

Para obter informações sobre solução de problemas de P2S, consulte Solução de problemas de conexões de ponto a site do Azure.