Поделиться через

Создание и экспорт сертификатов для подключений типа "точка — сеть" с помощью MakeCert

  • Статья

Эта статья поможет создать самозаверяющий корневой сертификат, а также сертификаты клиента с помощью MakeCert. Действия, описанные в этой статье, помогут создать файлы .pfx и .cer. Сведения о PEM-файлах см. в разделе "Создание файлов сертификатов pem".

Примечание.

Вместо этого рекомендуется использовать шаги PowerShell для создания сертификатов. Мы предоставляем эти инструкции MakeCert как необязательный метод.

Мы не рекомендуем использовать MakeCert. Это значит, что средство может быть удалено в любой момент. Сертификаты, которые вы уже создали с помощью MakeCert, не затрагиваются, если MakeCert больше недоступен. MakeCert используется только для создания сертификатов, а не как механизм проверки.

Создание самозаверяющего корневого сертификата

Ниже приведены инструкции по созданию самозаверяющего сертификата с помощью MakeCert. Эти шаги не относятся к модели развертывания.

  1. Скачайте и установите MakeCert.

  2. После установки служебную программу makecert.exe обычно можно найти по такому пути: C:\Program Files (x86)\Windows Kits\10\bin<arch>. Возможно, однако, что оно было установлено в другое место. Откройте командную строку от имени администратора и перейдите в расположение служебной программы MakeCert. Вы можете использовать следующий пример, подстраивая его под правильное местоположение.

    cd C:\Program Files (x86)\Windows Kits\10\bin\x64

  3. Создайте и установите сертификат в личном хранилище сертификатов на компьютере. В следующем примере создается соответствующий .cer файл для загрузки в Azure при настройке P2S. Замените P2SRootCert и P2SRootCert.cer именем, которое необходимо использовать для сертификата. Сертификат расположен в разделе 'Certificates - Current User\Personal\Certificates'.

    makecert -sky exchange -r -n "CN=P2SRootCert" -pe -a sha256 -len 2048 -ss My

Экспорт открытого ключа (CER)

После создания самозаверяющего корневого сертификата экспортируйте его CER-файл (не закрытый ключ). Позднее вы отправите в Azure необходимые данные сертификата, сохраненные в файл. Чтобы экспортировать CER-файл для самозаверяющего корневого сертификата и получить необходимые данные сертификата, сделайте следующее.

  1. Чтобы получить CER-файл сертификата, откройте окно Управление сертификатами пользователей.

    Найдите самозаверяющий корневой сертификат, как правило, в сертификатах — current User\Personal\Certificates и щелкните правой кнопкой мыши. Выберите все задачи ->Экспорт. Откроется Мастер экспорта сертификатов.

    Если сертификат не удается найти в разделе "Current User\Personal\Certificates", возможно, вы случайно открыли сертификаты — локальный компьютер, а не сертификаты — текущий пользователь.

    Снимок экрана: окно

  2. В мастере нажмите кнопку Далее.

  3. Нажмите кнопку "Нет", не экспортируйте закрытый ключ и нажмите кнопку "Далее".

  4. На странице "Формат файла экспорта" выберите X.509, закодированный в Base-64 (.CER), а затем нажмите Далее.

  5. На странице Имя экспортируемого файла нажмите кнопку Обзор, чтобы перейти в расположение для экспорта сертификата. В поле Имя файлавведите имя для файла сертификата. Затем выберите Далее.

  6. Нажмите кнопку "Готово ", чтобы экспортировать сертификат.

  7. Вы увидите подтверждение о том, что экспорт выполнен успешно.

  8. Перейдите в расположение, куда вы экспортировали сертификат, и откройте его в Блокноте или любом другом текстовом редакторе. Если вы экспортировали сертификат в необходимом формате, закодированном в Base-64 X.509 (.CER), вы увидите текст, аналогичный следующему примеру. Раздел, выделенный синим цветом, содержит сведения, которые вам нужно скопировать и отправить в Azure.

    Снимок экрана: в Блокноте открыт CER-файл, в котором выделены данные сертификата.

    Если ваш файл не похож на приведенный пример, это, скорее всего, означает, что экспорт выполнен не в формате X.509 (.CER) с кодировкой Base-64. Кроме того, при использовании другого текстового редактора вместо Блокнота следует учитывать, что в некоторых редакторах может без ведома пользователя выполняться нежелательное форматирование текста. Это может вызвать проблемы при передаче текста из этого сертификата в Azure.

Файл exported.cer отправляется в Azure при настройке шлюза P2S.

Экспорт самозаверяющего сертификата и закрытого ключа для его сохранения (необязательно)

Возможно, вы хотите экспортировать самозаверяющий корневой сертификат и безопасно сохранить его. Позже его можно установить на другом компьютере и создать дополнительные сертификаты клиента или экспортировать другой .cer файл. Чтобы экспортировать самозаверяющий корневой сертификат в формате PFX, выберите корневой сертификат и выполните те же действия, что описаны в разделе Экспорт сертификата клиента.

Создание и установка сертификатов клиента

Не устанавливайте самозаверяющий сертификат непосредственно на клиентский компьютер. Нужно создать сертификат клиента из самозаверяющего сертификата. Затем нужно экспортировать и установить клиентский сертификат на клиентский компьютер. Следующие шаги не зависят от модели развертывания.

Создание сертификата клиента

Каждый клиентский компьютер, подключающийся к виртуальной сети с помощью типа "точка — сеть", должен иметь сертификат клиента. Вы можете создать сертификат клиента из самозаверяющего корневого сертификата, а затем экспортировать и установить его. Если сертификат клиента не установлен, произойдет сбой аутентификации.

Ниже описан способ создания сертификата клиента из самозаверяющего корневого сертификата. Вы можете создать несколько сертификатов клиента из одного корневого сертификата. При создании сертификатов клиента с помощью следующих шагов сертификат клиента автоматически устанавливается на компьютере, который использовался для создания сертификата. Если вы хотите установить сертификат клиента на другой клиентский компьютер, его можно экспортировать.

  1. На компьютере, на котором вы создали самозаверяющий сертификат, откройте командную строку от имени администратора.

  2. Измените и запустите пример, чтобы создать сертификат клиента.

    • Измените "P2SRootCert" на имя самозаверяющего корня, из которому создается сертификат клиента. Убедитесь, что вы используете имя корневого сертификата, которое соответствует значению 'CN=', указанному при создании самоподписанного корневого сертификата.
    • Замените P2SChildCert именем, которое следует использовать для создаваемого сертификата клиента.

    Если выполнить приведенную ниже команду без изменений, в ваше хранилище личных сертификатов будет добавлен сертификат клиента с именем P2SChildcert, созданный из корневого сертификата P2SRootCert.

    makecert.exe -n "CN=P2SChildCert" -pe -sky exchange -m 96 -ss My -in "P2SRootCert" -is my -a sha256

Экспорт сертификата клиента

Созданный сертификат клиента автоматически устанавливается на компьютере, который использовался для его создания. Если вы хотите установить созданный сертификат клиента на другой клиентский компьютер, то его сначала необходимо экспортировать.

  1. Чтобы экспортировать сертификат клиента, откройте раздел Управление сертификатами пользователей. По умолчанию создаваемые сертификаты клиента хранятся в папке Certificates - Current User\Personal\Certificates. Щелкните правой кнопкой мыши сертификат, который нужно экспортировать, выберите Все задачи, а затем — Экспорт, чтобы открыть мастер экспорта сертификатов.

    Снимок экрана: окно

  2. В мастере экспорта сертификатов нажмите кнопку Далее, чтобы продолжить.

  3. Выберите Да, экспортировать закрытый ключ, а затем нажмите кнопку Далее.

  4. На странице Формат экспортируемого файла оставьте настройки по умолчанию. Не забудьте установить флажок Включить по возможности все сертификаты в путь сертификации. При этом также будут экспортированы данные корневого сертификата, необходимые для успешной аутентификации клиента. Без этих данных аутентификация клиента завершится ошибкой, так как у клиента не будет доверенного корневого сертификата. Затем нажмите кнопку Далее.

    Снимок экрана: страница формата экспортируемого файла.

  5. На странице Безопасность следует защитить закрытый ключ. Если вы решите использовать пароль, обязательно запишите или запомните пароль, заданный для этого сертификата. Затем нажмите кнопку Далее.

  6. На странице Файл для экспорта нажмите кнопку Обзор, чтобы перейти в расположение для экспорта сертификата. В поле Имя файлавведите имя для файла сертификата. Затем нажмите кнопку Далее.

  7. Нажмите кнопку Готово , чтобы экспортировать сертификат.

установить экспортированный сертификат клиента;

См. инструкции по установке сертификата клиента.

Следующие шаги

Чтобы продолжить конфигурацию "точка-сеть", см. раздел "Настройка параметров сервера для проверки подлинности сертификата шлюза VPN типа P2S".

Для получения информации по устранению неполадок P2S см. Устранение неполадок P2S-подключений в Azure.