Generera och exportera certifikat för punkt-till-plats-anslutningar med MakeCert

  • Artikel

Punkt-till-plats-anslutningar använder certifikat för att autentisera. Den här artikeln visar hur du skapar ett självsignerat rotcertifikat och genererar klientcertifikat med hjälp av MakeCert. Om du letar efter olika certifikatinstruktioner kan du läsa Certifikat – PowerShell eller certifikat – Linux.

Vi rekommenderar att du använder Windows 10 eller senare PowerShell-steg för att skapa dina certifikat, men vi tillhandahåller dessa MakeCert-instruktioner som en valfri metod. De certifikat som du genererar med någon av metoderna kan installeras på alla klientoperativsystem som stöds. MakeCert har dock följande begränsning:

  • MakeCert är inaktuell. Det innebär att det här verktyget kan tas bort när som helst. Certifikat som du redan har genererat med MakeCert påverkas inte när MakeCert inte längre är tillgängligt. MakeCert används bara för att generera certifikaten, inte som en valideringsmekanism.

Skapa ett självsignerat rotcertifikat

Följande steg visar hur du skapar ett självsignerat certifikat med hjälp av MakeCert. De här stegen är inte distributionsmodellspecifika. De är giltiga för både Resource Manager och klassisk.

  1. Ladda ned och installera MakeCert.

  2. Efter installationen hittar du vanligtvis verktyget makecert.exe under den här sökvägen: "C:\Program Files (x86)\Windows Kits\10\bin<arch>". Även om det är möjligt att det har installerats på en annan plats. Öppna en kommandotolk som administratör och navigera till platsen för verktyget MakeCert. Du kan använda följande exempel och justera för rätt plats:

    cd C:\Program Files (x86)\Windows Kits\10\bin\x64

  3. Skapa och installera ett certifikat i det personliga certifikatarkivet på datorn. I följande exempel skapas en motsvarande .cer-fil som du laddar upp till Azure när du konfigurerar P2S. Ersätt "P2SRootCert" och "P2SRootCert.cer" med det namn som du vill använda för certifikatet. Certifikatet finns i "Certifikat – Aktuell användare\Personligt\Certifikat".

    makecert -sky exchange -r -n "CN=P2SRootCert" -pe -a sha256 -len 2048 -ss My

Exportera den offentliga nyckeln (.cer)

När du har skapat ett självsignerat rotcertifikat exporterar du .cer-rotcertifikatfilen (inte den privata nyckeln). Senare laddar du upp nödvändiga certifikatdata i filen till Azure. Följande steg hjälper dig att exportera CER-filen för ditt självsignerade rotcertifikat och hämta nödvändiga certifikatdata.

  1. Om du vill hämta certifikatets CER-fil öppnar du Hantera användarcertifikat.

    Leta upp det självsignerade rotcertifikatet, vanligtvis i "Certificates - Current User\Personal\Certificates", och högerklicka. Klicka på Alla aktiviteter –>Exportera. Guiden Exportera certifikat öppnas.

    Om du inte hittar certifikatet under "Aktuell användare\Personliga\Certifikat" kan du av misstag ha öppnat "Certifikat – lokal dator", i stället för "Certifikat – Aktuell användare".

    Skärmbild som visar fönstret Certifikat med Alla uppgifter och sedan Exportera markerat.

  2. Klicka på Nästa i guiden.

  3. Välj Nej, exportera inte den privata nyckeln och klicka sedan på Nästa.

    Skärmbild som visar Exportera inte den privata nyckeln.

  4. På sidan Filformat för export väljer du Base 64-kodad X.509 (. CER). och klickar sedan på Nästa.

    Skärmbild som visar export av Base-64-kodad.

  5. För Fil att exporterabläddrar du till den plats som du vill exportera certifikatet till. För Filnamn anger du ett namn för certifikatfilen. Klicka sedan på Nästa.

  6. Klicka på Slutför för att exportera certifikatet.

  7. Du ser en bekräftelse på att exporten lyckades.

  8. Gå till den plats där du exporterade certifikatet och öppna det med hjälp av en textredigerare, till exempel Anteckningar. Om du exporterade certifikatet i nödvändig Base-64-kodad X.509 (. CER-format ser du text som liknar följande exempel. Avsnittet som är markerat i blått innehåller den information som du kopierar och laddar upp till Azure.

    Skärmbild som visar CER-filen öppen i Anteckningar med certifikatdata markerade.

    Om filen inte ser ut som i exemplet innebär det vanligtvis att du inte exporterade den med base-64-kodad X.509(. CER-format. Om du använder en annan textredigerare än Anteckningar förstår du dessutom att vissa redigerare kan introducera oavsiktlig formatering i bakgrunden. Detta kan skapa problem när du laddar upp texten från det här certifikatet till Azure.

Filen exported.cer måste laddas upp till Azure. Anvisningar finns i Konfigurera en punkt-till-plats-anslutning. Om du vill lägga till ytterligare ett betrott rotcertifikat kan du läsa det här avsnittet i artikeln.

Exportera det självsignerade certifikatet och den privata nyckeln för att lagra det (valfritt)

Du kanske vill exportera det självsignerade rotcertifikatet och lagra det på ett säkert sätt. Du kan senare installera den på en annan dator och generera fler klientcertifikat, eller exportera en annan .cer-fil. Om du vill exportera det självsignerade rotcertifikatet som en .pfx väljer du rotcertifikatet och använder samma steg som beskrivs i Exportera ett klientcertifikat.

Skapa och installera klientcertifikat

Du installerar inte det självsignerade certifikatet direkt på klientdatorn. Du måste generera ett klientcertifikat från det självsignerade certifikatet. Sedan exporterar och installerar du klientcertifikatet på klientdatorn. Följande steg är inte specifika för distributionsmodellen. De är giltiga för både Resource Manager och klassisk.

Generera ett klientcertifikat

Varje klientdator som ansluter till ett virtuellt nätverk med punkt-till-plats måste ha ett klientcertifikat installerat. Du genererar ett klientcertifikat från det självsignerade rotcertifikatet och exporterar och installerar sedan klientcertifikatet. Om klientcertifikatet inte är installerat misslyckas autentiseringen.

Följande steg beskriver hur du genererar ett klientcertifikat från ett självsignerat rotcertifikat. Du kan generera flera klientcertifikat från samma rotcertifikat. När du genererar klientcertifikat med hjälp av följande steg installeras klientcertifikatet automatiskt på den dator som du använde för att generera certifikatet. Om du vill installera ett klientcertifikat på en annan klientdator kan du exportera certifikatet.

  1. Öppna en kommandotolk som administratör på samma dator som du använde för att skapa det självsignerade certifikatet.

  2. Ändra och kör exemplet för att generera ett klientcertifikat.

    • Ändra "P2SRootCert" till namnet på den självsignerade rot som du genererar klientcertifikatet från. Kontrollera att du använder namnet på rotcertifikatet, vilket är det "CN="-värde som du angav när du skapade den självsignerade roten.
    • Ändra P2SChildCert till det namn som du vill generera ett klientcertifikat till.

    Om du kör följande exempel utan att ändra det är resultatet ett klientcertifikat med namnet P2SChildcert i ditt personliga certifikatarkiv som genererades från rotcertifikatet P2SRootCert.

    makecert.exe -n "CN=P2SChildCert" -pe -sky exchange -m 96 -ss My -in "P2SRootCert" -is my -a sha256

Exportera ett klientcertifikat

När du genererar ett klientcertifikat installeras det automatiskt på den dator som du använde för att generera det. Om du vill installera klientcertifikatet på en annan klientdator måste du först exportera klientcertifikatet.

  1. Öppna Hantera användarcertifikat om du vill exportera ett certifikat. Klientcertifikaten som du genererade finns som standard i "Certifikat – Aktuell användare\Personliga\Certifikat". Högerklicka på det klientcertifikat som du vill exportera, klicka på alla aktiviteter och klicka sedan på Exportera för att öppna guiden Exportera certifikat.

    Skärmbild som visar fönstret Certifikat med Alla uppgifter och Exportera markerat.

  2. I guiden Exportera certifikat klickar du på Nästa för att fortsätta.

  3. Välj Ja, exportera den privata nyckeln och klicka sedan på Nästa.

    Skärmbild som visar Ja, exportera den privata nyckeln som valts.

  4. På sidan Filformat för export låter du standardalternativen vara markerade. Se till att Ta med om möjligt alla certifikat i certifieringssökvägen har valts. Den här inställningen exporterar dessutom den rotcertifikatinformation som krävs för lyckad klientautentisering. Utan den misslyckas klientautentiseringen eftersom klienten inte har det betrodda rotcertifikatet. Klicka sedan på Nästa.

    Skärmbild för sidan exportera filformat.

  5. Du måste skydda den privata nyckeln på sidan Säkerhet. Om du väljer att använda ett lösenord måste du vara noga med att skriva ned eller komma ihåg lösenordet som du anger för det här certifikatet. Klicka sedan på Nästa.

    Skärmbild som visar lösenordet som angetts och bekräftats.

  6. På sidan Fil som ska exporterasbläddrar du till den plats som du vill exportera certifikatet till. För Filnamn anger du ett namn för certifikatfilen. Klicka sedan på Nästa.

  7. Klicka på Slutför för att exportera certifikatet.

Installera ett exporterat klientcertifikat

Information om hur du installerar ett klientcertifikat finns i Installera ett klientcertifikat.

Nästa steg

Fortsätt med punkt-till-plats-konfigurationen.

Information om P2S-felsökning finns i Felsöka punkt-till-plats-anslutningar i Azure.