Generování a export certifikátů pro připojení typu Point-to-Site pomocí nástroje MakeCert

V tomto článku se dozvíte, jak vytvořit kořenový certifikát podepsaný svým držitelem a vygenerovat klientské certifikáty pomocí nástroje MakeCert. Kroky v tomto článku vám pomůžou vytvořit soubory .pfx a .cer . Pokud hledáte jiné pokyny k certifikátu, přečtěte si téma PowerShell – .pfx a .cer soubory certifikátů nebo soubory certifikátů Linux – OpenSSL – soubory certifikátů .pem.

K vytvoření certifikátů doporučujeme použít kroky PowerShellu pro Windows 10 nebo novější. Tyto pokyny MakeCert poskytujeme jako volitelnou metodu. Certifikáty, které vygenerujete pomocí obou metod, lze nainstalovat do libovolného podporovaného klientského operačního systému. MakeCert má následující omezení:

  • MakeCert je zastaralý. To znamená, že tento nástroj je možné kdykoli odebrat. Certifikáty, které jste už vygenerovali pomocí MakeCert, nebudou ovlivněny, pokud už není makeCert k dispozici. MakeCert se používá pouze k vygenerování certifikátů, nikoli jako ověřovací mechanismus.

Vytvoření kořenového certifikátu podepsaného svým držitelem

Následující kroky ukazují, jak vytvořit certifikát podepsaný svým držitelem pomocí makeCertu. Tyto kroky nejsou specifické pro model nasazení. Jsou platné pro Resource Manager i classic.

  1. Stáhněte a nainstalujte MakeCert.

  2. Po instalaci můžete obvykle najít nástroj makecert.exe pod touto cestou: C:\Program Files (x86)\Windows Kits\10\bin<arch>. Je však možné, že byla nainstalována do jiného umístění. Otevřete příkazový řádek jako správce a přejděte do umístění nástroje MakeCert. Můžete použít následující příklad, který upraví správné umístění:

    cd C:\Program Files (x86)\Windows Kits\10\bin\x64
    
  3. Vytvořte a nainstalujte certifikát v úložišti osobních certifikátů ve vašem počítači. Následující příklad vytvoří odpovídající .cer soubor, který nahrajete do Azure při konfiguraci P2S. Nahraďte P2SRootCert a P2SRootCert.cer názvem, který chcete pro certifikát použít. Certifikát se nachází ve složce Certifikáty – Aktuální uživatel\Osobní\Certifikáty.

    makecert -sky exchange -r -n "CN=P2SRootCert" -pe -a sha256 -len 2048 -ss My
    

Export veřejného klíče (.cer)

Po vytvoření kořenového certifikátu podepsaného svým držitelem exportujte kořenový certifikát .cer soubor (nikoli privátní klíč). Později nahrajete potřebná data certifikátu obsažená v souboru do Azure. Následující kroky vám pomůžou exportovat soubor .cer kořenového certifikátu podepsaného svým držitelem a načíst potřebná data certifikátu.

  1. Pokud chcete získat soubor .cer certifikátu, otevřete spravovat uživatelské certifikáty.

    Vyhledejte kořenový certifikát podepsaný svým držitelem, obvykle v části Certifikáty – Aktuální uživatel\Osobní\Certifikáty a klikněte pravým tlačítkem myši. Vyberte Všechny úkoly -> Exportovat. Otevře se Průvodce exportem certifikátu.

    Pokud nemůžete najít certifikát v části Aktuální uživatel\Osobní\Certifikáty, pravděpodobně jste omylem otevřeli certifikáty – místní počítač, ne certifikáty – aktuální uživatel.

    Snímek obrazovky s oknem Certifikáty a vybranou možností Exportovat všechny úkoly

  2. V průvodci vyberte Další.

  3. Vyberte Ne, neexportujte privátní klíč a pak vyberte Další.

    Snímek obrazovky ukazuje, že privátní klíč neexportujte.

  4. Na stránce Exportovat formát souboru vyberte X.509 s kódováním Base-64 (. CER) a pak vyberte Další.

    Snímek obrazovky znázorňující export kódování Base-64

  5. Chcete-li soubor exportovat, přejděte do umístění, do kterého chcete certifikát exportovat. V části Název souboru zadejte název souboru. Pak vyberte Další.

  6. Vyberte Dokončit a exportujte certifikát.

  7. Zobrazí se potvrzení o úspěšném exportu.

  8. Přejděte do umístění, kam jste certifikát exportovali, a otevřete ho pomocí textového editoru, například Poznámkového bloku. Pokud jste certifikát exportovali v požadovaném kódování X.509 s kódováním Base-64 (. Formát CER) vidíte text podobný následujícímu příkladu. Oddíl zvýrazněný modře obsahuje informace, které zkopírujete a nahrajete do Azure.

    Snímek obrazovky ukazuje soubor CER otevřený v Poznámkovém bloku se zvýrazněnými daty certifikátu.

    Pokud soubor nevypadá podobně jako v příkladu, obvykle to znamená, že jste ho neexportovali pomocí X.509 s kódováním Base-64(. FORMÁT CER. Pokud navíc používáte jiný textový editor než Poznámkový blok, mějte na paměti, že některé editory můžou na pozadí zavést nezamýšlené formátování. To může způsobit problémy při nahrání textu z tohoto certifikátu do Azure.

Soubor exported.cer se musí nahrát do Azure. Pokyny najdete v tématu Konfigurace připojení typu Point-to-Site. Pokud chcete přidat další důvěryhodný kořenový certifikát, přečtěte si tuto část článku.

Export certifikátu podepsaného svým držitelem a privátního klíče pro jeho uložení (volitelné)

Můžete chtít exportovat kořenový certifikát podepsaný svým držitelem a bezpečně ho uložit. Později ho můžete nainstalovat do jiného počítače a vygenerovat další klientské certifikáty nebo exportovat jiný soubor .cer. Pokud chcete exportovat kořenový certifikát podepsaný svým držitelem jako soubor .pfx, vyberte kořenový certifikát a použijte stejný postup, jak je popsáno v části Export klientského certifikátu.

Vytvoření a instalace klientských certifikátů

Certifikát podepsaný svým držitelem neinstalujete přímo do klientského počítače. Musíte vygenerovat klientský certifikát z certifikátu podepsaného svým držitelem. Potom klientský certifikát exportujete a nainstalujete do klientského počítače. Následující kroky nejsou specifické pro model nasazení. Jsou platné pro Resource Manager i classic.

Vygenerování klientského certifikátu

Každý klientský počítač, který se připojuje k virtuální síti pomocí připojení Point-to-Site, musí mít nainstalovaný klientský certifikát. Vygenerujete klientský certifikát z kořenového certifikátu podepsaného svým držitelem a pak certifikát klienta exportujete a nainstalujete. Pokud není klientský certifikát nainstalovaný, ověřování selže.

Následující kroky vás provedou generováním klientského certifikátu z kořenového certifikátu podepsaného svým držitelem. Ze stejného kořenového certifikátu můžete vygenerovat více klientských certifikátů. Při generování klientských certifikátů pomocí následujícího postupu se klientský certifikát automaticky nainstaluje do počítače, který jste použili k vygenerování certifikátu. Pokud chcete nainstalovat klientský certifikát do jiného klientského počítače, můžete certifikát exportovat.

  1. Na stejném počítači, který jste použili k vytvoření certifikátu podepsaného svým držitelem, otevřete příkazový řádek jako správce.

  2. Upravte a spusťte ukázku pro vygenerování klientského certifikátu.

    • Změňte P2SRootCert na název kořenového adresáře podepsaného svým držitelem, ze kterého generujete klientský certifikát. Ujistěte se, že používáte název kořenového certifikátu, což je jakákoli hodnota CN=, kterou jste zadali při vytváření kořenového adresáře podepsaného svým držitelem.
    • Změňte P2SChildCert na název, který chcete vygenerovat, aby byl klientský certifikát.

    Pokud spustíte následující příklad beze změny, výsledkem je klientský certifikát S názvem P2SChildcert v osobním úložišti certifikátů vygenerovaný z kořenového certifikátu P2SRootCert.

    makecert.exe -n "CN=P2SChildCert" -pe -sky exchange -m 96 -ss My -in "P2SRootCert" -is my -a sha256
    

Export klientského certifikátu

Když vygenerujete klientský certifikát, automaticky se nainstaluje do počítače, který jste použili k jeho vygenerování. Pokud chcete klientský certifikát nainstalovat do jiného klientského počítače, musíte nejprve exportovat klientský certifikát.

  1. Pokud chcete exportovat klientský certifikát, otevřete správu uživatelských certifikátů. Klientské certifikáty, které jste vygenerovali, jsou ve výchozím nastavení umístěné v části Certifikáty – Aktuální uživatel\Osobní\Certifikáty. Klikněte pravým tlačítkem myši na klientský certifikát, který chcete exportovat, klikněte na všechny úlohy a potom klepněte na tlačítko Exportovat a otevřete Průvodce exportem certifikátu.

    Snímek obrazovky s oknem Certifikáty s vybranou možností Všechny úkoly a Export

  2. V Průvodci exportem certifikátu pokračujte kliknutím na tlačítko Další .

  3. Vyberte Ano, vyexportujte privátní klíč a klikněte na tlačítko Další.

    Snímek obrazovky zobrazující ano export vybraného privátního klíče

  4. Na stránce Formát souboru pro export ponechte vybrané výchozí nastavení. Ujistěte se, že je vybrána možnost Zahrnout všechny certifikáty na cestě k certifikátu, pokud je to možné. Toto nastavení navíc exportuje informace o kořenovém certifikátu, které jsou vyžadovány pro úspěšné ověření klienta. Bez něj ověřování klienta selže, protože klient nemá důvěryhodný kořenový certifikát. Poté klepněte na Další.

    Snímek obrazovky se stránkou formátu exportu souboru

  5. Na stránce Zabezpečení je nutné chránit soukromý klíč. Pokud vyberete použití hesla, ujistěte se, že jste si poznamenali nebo si pamatujete heslo, které jste pro tento certifikát nastavili. Poté klepněte na Další.

    Snímek obrazovky zobrazuje zadané a potvrzené heslo.

  6. V části Soubor pro exportpřejděte do umístění, do kterého chcete certifikát vyexportovat. V části Název souboru zadejte název souboru. Poté klepněte na Další.

  7. Certifikát vyexportujte kliknutím na Dokončit.

Instalace exportovaného klientského certifikátu

Pokud chcete nainstalovat klientský certifikát, přečtěte si téma Instalace klientského certifikátu.

Další kroky

Pokračujte v konfiguraci point-to-site.

Informace o odstraňování potíží s P2S najdete v článku Poradce při potížích s připojeními Azure typu point-to-site.