Generera och exportera certifikat för punkt-till-plats-anslutningar med Hjälp av MakeCert
Den här artikeln visar hur du skapar ett självsignerat rotcertifikat och genererar klientcertifikat med hjälp av MakeCert. Stegen i den här artikeln hjälper dig att skapa .pfx - och .cer-filer . Om du letar efter olika certifikatinstruktioner kan du läsa PowerShell – .pfx och .cer certifikatfiler eller Linux– OpenSSL – .pem-certifikatfiler.
Vi rekommenderar att du använder PowerShell-stegen i Windows 10 eller senare för att skapa dina certifikat. Vi tillhandahåller dessa MakeCert-instruktioner som en valfri metod. De certifikat som du genererar med någon av metoderna kan installeras på alla klientoperativsystem som stöds. MakeCert har följande begränsning:
- MakeCert är inaktuell. Det innebär att det här verktyget kan tas bort när som helst. Certifikat som du redan har genererat med Hjälp av MakeCert påverkas inte om MakeCert inte längre är tillgängligt. MakeCert används bara för att generera certifikaten, inte som en valideringsmekanism.
Skapa ett självsignerat rotcertifikat
Följande steg visar hur du skapar ett självsignerat certifikat med hjälp av MakeCert. De här stegen är inte distributionsmodellspecifika. De är giltiga för både Resource Manager och klassiska.
Ladda ned och installera MakeCert.
Efter installationen hittar du vanligtvis verktyget makecert.exe under den här sökvägen: 'C:\Program Files (x86)\Windows Kits\10\bin<arch>'. Det är dock möjligt att den har installerats på en annan plats. Öppna en kommandotolk som administratör och navigera till platsen för verktyget MakeCert. Du kan använda följande exempel och justera för rätt plats:
cd C:\Program Files (x86)\Windows Kits\10\bin\x64
Skapa och installera ett certifikat i det personliga certifikatarkivet på datorn. I följande exempel skapas en motsvarande .cer fil som du laddar upp till Azure när du konfigurerar P2S. Ersätt "P2SRootCert" och "P2SRootCert.cer" med det namn som du vill använda för certifikatet. Certifikatet finns i "Certifikat – aktuell användare\Personligt\Certifikat".
makecert -sky exchange -r -n "CN=P2SRootCert" -pe -a sha256 -len 2048 -ss My
Exportera den offentliga nyckeln (.cer)
När du har skapat ett självsignerat rotcertifikat exporterar du rotcertifikatet .cer -filen (inte den privata nyckeln). Du laddar senare upp nödvändiga certifikatdata som finns i filen till Azure. Följande steg hjälper dig att exportera .cer-filen för ditt självsignerade rotcertifikat och hämta nödvändiga certifikatdata.
Om du vill hämta certifikatet .cer-filen öppnar du Hantera användarcertifikat.
Leta upp det självsignerade rotcertifikatet, vanligtvis i Certifikat – Aktuell användare\Personliga\Certifikat, och högerklicka. Välj Alla aktiviteter –> Exportera. Guiden Exportera certifikat öppnas.
Om du inte hittar certifikatet under "Current User\Personal\Certificates" kan du av misstag ha öppnat certifikat – lokal dator i stället för certifikat – aktuell användare.
I guiden väljer du Nästa.
Välj Nej, exportera inte den privata nyckeln och välj sedan Nästa.
På sidan Exportera filformat väljer du Base-64-kodad X.509 (. CER)., och välj sedan Nästa.
För Fil att exportera bläddrar du till den plats där du vill exportera certifikatet. För Filnamn anger du ett namn för certifikatfilen. Välj sedan Nästa.
Välj Slutför för att exportera certifikatet.
Du ser en bekräftelse som säger att exporten lyckades.
Gå till den plats där du exporterade certifikatet och öppna det med hjälp av en textredigerare, till exempel Anteckningar. Om du exporterade certifikatet i den nödvändiga Base-64-kodade X.509 (. CER)-format, du ser text som liknar följande exempel. Avsnittet som är markerat i blått innehåller den information som du kopierar och laddar upp till Azure.
Om filen inte liknar exemplet innebär det vanligtvis att du inte exporterade den med hjälp av Base-64-kodade X.509(. CER-format. Om du använder en annan textredigerare än Anteckningar kan du dessutom förstå att vissa redigerare kan introducera oavsiktlig formatering i bakgrunden. Detta kan skapa problem när texten laddas upp från det här certifikatet till Azure.
Filen exported.cer måste laddas upp till Azure. Anvisningar finns i Konfigurera en punkt-till-plats-anslutning. Mer information om hur du lägger till ytterligare ett betrott rotcertifikat finns i det här avsnittet i artikeln.
Exportera det självsignerade certifikatet och den privata nyckeln för att lagra det (valfritt)
Du kanske vill exportera det självsignerade rotcertifikatet och lagra det på ett säkert sätt. Du kan senare installera den på en annan dator och generera fler klientcertifikat, eller exportera en annan .cer fil. Om du vill exportera det självsignerade rotcertifikatet som en .pfx väljer du rotcertifikatet och använder samma steg som beskrivs i Exportera ett klientcertifikat.
Skapa och installera klientcertifikat
Du installerar inte det självsignerade certifikatet direkt på klientdatorn. Du måste generera ett klientcertifikat från det självsignerade certifikatet. Sedan exporterar och installerar du klientcertifikatet på klientdatorn. Följande steg är inte distributionsmodellspecifika. De är giltiga för både Resource Manager och klassiska.
Generera ett klientcertifikat
Varje klientdator som ansluter till ett virtuellt nätverk med punkt-till-plats måste ha ett klientcertifikat installerat. Du genererar ett klientcertifikat från det självsignerade rotcertifikatet och exporterar och installerar sedan klientcertifikatet. Om klientcertifikatet inte är installerat misslyckas autentiseringen.
Följande steg beskriver hur du genererar ett klientcertifikat från ett självsignerat rotcertifikat. Du kan generera flera klientcertifikat från samma rotcertifikat. När du genererar klientcertifikat med hjälp av följande steg installeras klientcertifikatet automatiskt på den dator som du använde för att generera certifikatet. Om du vill installera ett klientcertifikat på en annan klientdator kan du exportera certifikatet.
Öppna en kommandotolk som administratör på samma dator som du använde för att skapa det självsignerade certifikatet.
Ändra och kör exemplet för att generera ett klientcertifikat.
- Ändra "P2SRootCert" till namnet på den självsignerade rot som du genererar klientcertifikatet från. Kontrollera att du använder namnet på rotcertifikatet, vilket är det cn=-värde som du angav när du skapade den självsignerade roten.
- Ändra P2SChildCert till det namn som du vill generera ett klientcertifikat till.
Om du kör följande exempel utan att ändra det blir resultatet ett klientcertifikat med namnet P2SChildcert i ditt personliga certifikatarkiv som genererades från rotcertifikatet P2SRootCert.
makecert.exe -n "CN=P2SChildCert" -pe -sky exchange -m 96 -ss My -in "P2SRootCert" -is my -a sha256
Exportera ett klientcertifikat
När du genererar ett klientcertifikat installeras det automatiskt på den dator som du använde för att generera det. Om du vill installera klientcertifikatet på en annan klientdator måste du först exportera klientcertifikatet.
Öppna Hantera användarcertifikat om du vill exportera ett certifikat. De klientcertifikat som du genererade finns som standard i "Certifikat – Aktuell användare\Personliga\Certifikat". Högerklicka på det klientcertifikat som du vill exportera, klicka på alla aktiviteter och klicka sedan på Exportera för att öppna guiden Exportera certifikat.
I guiden Certifikatexport klickar du på Nästa för att fortsätta.
Välj Ja, exportera den privata nyckeln och klicka sedan på Nästa.
På sidan Filformat för export låter du standardalternativen vara markerade. Se till att Ta med om möjligt alla certifikat i certifieringssökvägen har valts. Den här inställningen exporterar dessutom den rotcertifikatinformation som krävs för lyckad klientautentisering. Utan den misslyckas klientautentiseringen eftersom klienten inte har det betrodda rotcertifikatet. Klicka sedan på Nästa.
Du måste skydda den privata nyckeln på sidan Säkerhet. Om du väljer att använda ett lösenord måste du vara noga med att skriva ned eller komma ihåg lösenordet som du anger för det här certifikatet. Klicka sedan på Nästa.
På sidan Fil som ska exporterasbläddrar du till den plats som du vill exportera certifikatet till. För Filnamn anger du ett namn för certifikatfilen. Klicka sedan på Nästa.
Klicka på Slutför för att exportera certifikatet.
Installera ett exporterat klientcertifikat
Information om hur du installerar ett klientcertifikat finns i Installera ett klientcertifikat.
Nästa steg
Fortsätt med din punkt-till-plats-konfiguration.
- Anvisningar för Resource Manager-distributionsmodell finns i Konfigurera P2S med inbyggd Azure-certifikatautentisering.
- Steg för klassisk distributionsmodell finns i Konfigurera en punkt-till-plats-VPN-anslutning till ett virtuellt nätverk (klassiskt).
Information om P2S-felsökning finns i Felsöka punkt-till-plats-anslutningar i Azure.