Gerar e exportar certificados para conexões Ponto a Site usando o MakeCert

Este artigo mostra como criar um certificado raiz autoassinado e gerar certificados de cliente usando o MakeCert. As etapas neste artigo ajudam a criar arquivos .pfx e .cer . Se você estiver procurando instruções de certificado diferentes, consulte PowerShell - arquivos de certificado .pfx e .cer ou arquivos de certificado Linux- OpenSSL - .pem.

Recomendamos usar as etapas do PowerShell do Windows 10 ou posteriores para criar seus certificados. Fornecemos estas instruções MakeCert como um método opcional. Os certificados gerados usando qualquer um dos métodos podem ser instalados em qualquer sistema operacional cliente suportado. O MakeCert tem a seguinte limitação:

• O MakeCert foi preterido. Isto significa que esta ferramenta pode ser removida a qualquer momento. Os certificados que você já gerou usando o MakeCert não serão afetados se o MakeCert não estiver mais disponível. O MakeCert é usado apenas para gerar os certificados, não como um mecanismo de validação.

Criar um certificado raiz autoassinado

As etapas a seguir mostram como criar um certificado autoassinado usando o MakeCert. Essas etapas não são específicas do modelo de implantação. Eles são válidos tanto para o Gerenciador de Recursos quanto para o clássico.

1. Transfira e instale o MakeCert.

2. Após a instalação, normalmente você pode encontrar o utilitário makecert.exe neste caminho: 'C:\Program Files (x86)\Windows Kits\10\bin<arch>'. No entanto, é possível que tenha sido instalado em outro local. Abra um prompt de comando como administrador e navegue até o local do utilitário MakeCert. Você pode usar o exemplo a seguir, ajustando para o local adequado:

   cd C:\Program Files (x86)\Windows Kits\10\bin\x64
   

3. Crie e instale um certificado no armazenamento de certificados pessoais no seu computador. O exemplo a seguir cria um arquivo .cer correspondente que você carrega no Azure ao configurar o P2S. Substitua 'P2SRootCert' e 'P2SRootCert.cer' pelo nome que você deseja usar para o certificado. O certificado está localizado em 'Certificados - Usuário Atual\Pessoal\Certificados'.

   makecert -sky exchange -r -n "CN=P2SRootCert" -pe -a sha256 -len 2048 -ss My
   

Exportar a chave pública (.cer)

Depois de criar um certificado raiz autoassinado, exporte o certificado raiz .cer arquivo (não a chave privada). Mais tarde, você carregará os dados de certificado necessários contidos no arquivo no Azure. As etapas a seguir ajudam você a exportar o arquivo de .cer para seu certificado raiz autoassinado e recuperar os dados de certificado necessários.

1. Para obter o arquivo de .cer de certificado, abra Gerenciar certificados de usuário.

   Localize o certificado raiz autoassinado, normalmente em Certificados - Usuário Atual\Pessoal\Certificados, e clique com o botão direito do mouse. Selecione Todas as tarefas ->Exportar. Esta ação abre o Assistente para Exportar Certificados.

   Se não conseguir encontrar o certificado em "Usuário Atual\Pessoal\Certificados", você pode ter aberto acidentalmente Certificados - Computador Local, em vez de Certificados - Usuário Atual.

   

2. No assistente, selecione Avançar.

3. Selecione Não, não exportar a chave privada e, em seguida, selecione Avançar.

   

4. Na página Formato de Arquivo de Exportação, selecione X.509 codificado em Base-64 (. CER)., e selecione Avançar.

   

5. Em Arquivo a Exportar, Navegue até o local para o qual deseja exportar o certificado. Em Nome do ficheiro, atribua um nome ao ficheiro de certificado. Em seguida, selecione Seguinte.

6. Selecione Concluir para exportar o certificado.

7. Você vê uma confirmação dizendo que a exportação foi bem-sucedida.

8. Vá para o local onde você exportou o certificado e abra-o usando um editor de texto, como o Bloco de Notas. Se você exportou o certificado no X.509 codificado em Base-64 necessário (. CER), você verá um texto semelhante ao exemplo a seguir. A seção realçada em azul contém as informações que você copia e carrega no Azure.

   

   Se o seu arquivo não for semelhante ao exemplo, normalmente isso significa que você não o exportou usando o X.509(. CER). Além disso, se você usar um editor de texto diferente do Bloco de Notas, entenda que alguns editores podem introduzir formatação não intencional em segundo plano. Isso pode criar problemas ao carregar o texto desse certificado no Azure.

O arquivo exported.cer deve ser carregado no Azure. Para obter instruções, consulte Configurar uma conexão ponto a site. Para adicionar um certificado raiz confiável adicional, consulte esta seção do artigo.

Exportar o certificado autoassinado e a chave privada para armazená-lo (opcional)

Talvez você queira exportar o certificado raiz autoassinado e armazená-lo com segurança. Mais tarde, você pode instalá-lo em outro computador e gerar mais certificados de cliente ou exportar outro arquivo .cer. Para exportar o certificado raiz autoassinado como .pfx, selecione o certificado raiz e use as mesmas etapas descritas em Exportar um certificado de cliente.

Criar e instalar certificados de cliente

Você não instala o certificado autoassinado diretamente no computador cliente. Você precisa gerar um certificado de cliente a partir do certificado autoassinado. Em seguida, exporte e instale o certificado do cliente para o computador cliente. As etapas a seguir não são específicas do modelo de implantação. Eles são válidos tanto para o Gerenciador de Recursos quanto para o clássico.

Gerar um certificado de cliente

Cada computador cliente que se ligue uma VNet por Ponto a Site tem de ter um certificado de cliente instalado. Você gera um certificado de cliente a partir do certificado raiz autoassinado e, em seguida, exporta e instala o certificado de cliente. Se o certificado do cliente não estiver instalado, a autenticação falhará.

As etapas a seguir orientam você na geração de um certificado de cliente a partir de um certificado raiz autoassinado. Você pode gerar vários certificados de cliente a partir do mesmo certificado raiz. Quando você gera certificados de cliente usando as etapas a seguir, o certificado de cliente é instalado automaticamente no computador que você usou para gerar o certificado. Se desejar instalar um certificado de cliente em outro computador cliente, você poderá exportá-lo.

1. No mesmo computador que você usou para criar o certificado autoassinado, abra um prompt de comando como administrador.

2. Modifique e execute o exemplo para gerar um certificado de cliente.

   • Altere "P2SRootCert" para o nome da raiz autoassinada a partir da qual você está gerando o certificado do cliente. Certifique-se de que você está usando o nome do certificado raiz, que é qualquer que seja o valor 'CN=' que você especificou quando criou a raiz autoassinada.
   • Altere P2SChildCert para o nome que você deseja gerar um certificado de cliente para ser.

   Se você executar o exemplo a seguir sem modificá-lo, o resultado será um certificado de cliente chamado P2SChildcert em seu armazenamento de certificados pessoais que foi gerado a partir do certificado raiz P2SRootCert.

   makecert.exe -n "CN=P2SChildCert" -pe -sky exchange -m 96 -ss My -in "P2SRootCert" -is my -a sha256
   

Exportar um certificado de cliente

Quando você gera um certificado de cliente, ele é instalado automaticamente no computador que você usou para gerá-lo. Se você quiser instalar o certificado de cliente em outro computador cliente, você precisa primeiro exportar o certificado de cliente.

1. Para exportar um certificado de cliente, abra Gerir Certificados de Utilizador. Os certificados de cliente que você gerou estão, por padrão, localizados em 'Certificados - Usuário Atual\Pessoal\Certificados'. Clique com o botão direito do rato no certificado de cliente que pretende exportar, clique em todas as tarefas e, em seguida, clique em Exportar para abrir o Assistente para Exportação de Certificados.

   

2. No Assistente para Exportação de Certificados, clique em Avançar para continuar.

3. Selecione Sim, exportar a chave privada e clique em Avançar.

   

4. Na página Exportar Formato de Ficheiro, deixe as predefinições selecionadas. Certifique-se de que Incluir todos os certificados no caminho de certificação, se possível está selecionado. Essa configuração também exporta as informações do certificado raiz necessárias para a autenticação bem-sucedida do cliente. Sem ele, a autenticação do cliente falha porque o cliente não tem o certificado raiz confiável. Clique depois em Seguinte.

   

5. Na página Segurança, tem de proteger a chave privada. Se optar por utilizar uma palavra-passe, certifique-se de que regista ou memoriza a palavra-passe que define para este certificado. Clique depois em Seguinte.

   

6. Em Ficheiro a Exportar, Navegue até à localização para a qual pretende exportar o certificado. Em Nome do ficheiro, atribua um nome ao ficheiro de certificado. Clique depois em Seguinte.

7. Clique em Concluir para exportar o certificado.

Instalar um certificado de cliente exportado

Para instalar um certificado de cliente, consulte Instalar um certificado de cliente.

Próximos passos

Continue com a configuração Ponto a Site.

• Para conhecer as etapas do modelo de implantação do Gerenciador de Recursos, consulte Configurar P2S usando a autenticação de certificado nativa do Azure.
• Para obter as etapas clássicas do modelo de implantação, consulte Configurar uma conexão VPN ponto a site para uma VNet (clássica).

Para obter informações de resolução de problemas P2S, consulte Resolução de problemas de ligações ponto a site do Azure.