Generare ed esportare certificati per connessioni da punto a sito usando MakeCert
Questo articolo illustra come creare un certificato radice autofirmato e generare i certificati client usando MakeCert. I passaggi in questo articolo consentono di creare file .pfx e .cer. Se si stanno cercando istruzioni del certificato diverse, vedere PowerShell - File di certificato .pfx e .cer o Linux- OpenSSL - File di certificato .pem.
Per creare i certificati, si consiglia di usare la procedura della PowerShell Windows 10 o versioni successive. Come metodo facoltativo, si forniscono istruzioni MakeCert. I certificati generati con uno dei due metodi possono essere installati in qualsiasi sistema operativo client supportato. MakeCert presenta la limitazione seguente:
- MakeCert è deprecato. Questo strumento potrebbe quindi essere rimosso in qualsiasi momento. I certificati già generati con MakeCert non saranno interessati se MakeCert non è più disponibile. MakeCert viene usato solo per generare i certificati, non come meccanismo di convalida.
Creare un certificato radice autofirmato
La procedura seguente illustra come creare un certificato autofirmato usando MakeCert. Questi passaggi non sono specifici del modello di distribuzione. Sono validi sia per Resource Manager che per la versione classica.
Scaricare e installare MakeCert.
Dopo l'installazione, in genere è possibile trovare l'utilità makecert.exe in questo percorso: 'C:\Programmi (x86)\Windows Kits\10\bin<arch>'. È tuttavia possibile che sia stato installato in un altro percorso. Aprire un prompt dei comandi come amministratore e passare al percorso dell'utilità MakeCert. È possibile usare l'esempio seguente, apportando le modifiche necessarie per il percorso corretto:
cd C:\Program Files (x86)\Windows Kits\10\bin\x64
Creare e installare quindi un certificato nell'archivio Certificati personali nel computer in uso. Nell'esempio seguente viene creato un file .cer corrispondente da caricare in Azure quando si configura una connessione da punto a sito. Sostituire 'P2SRootCert' e 'P2SRootCert.cer' con il nome da assegnare al certificato. Il certificato si trova in 'Certificati -Utente corrente\Personale\Certificati'.
makecert -sky exchange -r -n "CN=P2SRootCert" -pe -a sha256 -len 2048 -ss My
Esportare la chiave pubblica (.cer)
Dopo aver creato un certificato radice autofirmato, esportare il certificato radice .cer file (non la chiave privata). In seguito verranno caricati i dati del certificato necessari contenuti nel file in Azure. La procedura seguente consente di esportare il file .cer per il certificato radice autofirmato e recuperare i dati del certificato necessari.
Per ottenere il certificato del file .cer, aprire Gestire i certificati utente.
Individuare il certificato radice autofirmato, in genere in Certificati - Utente corrente\Personale\Certificati e fare clic con il pulsante destro del mouse. Selezionare Tutte le attività ->Esporta. Si avvia la procedura di Esportazione guidata certificati.
Se non è possibile trovare il certificato in "Utente corrente\Personale\Certificati", è possibile aver accidentalmente aperto Certificati - Computer locale invece di Certificati - Utente corrente.
Nella procedura guidata selezionare Avanti.
Selezionare No, non esportare la chiave privata e quindi selezionare Avanti.
Nella pagina Formato file di esportazione selezionare Codificato Base-64 X.509 (.CER) e quindi selezionare Avanti.
In File da esportare fare clic su Sfoglia e passare alla posizione in cui si vuole esportare il certificato. Per Nome file, assegnare un nome al file del certificato. Quindi seleziona Avanti.
Selezionare Fine per esportare il certificato.
Verrà visualizzata una conferma che indica che l'esportazione ha avuto esito positivo.
Passare al percorso in cui è stato esportato il certificato e aprirlo usando un editor di testo, ad esempio Blocco note. Se il certificato è stato esportato nel formato codificato Base-64 X. 509 (.CER) richiesto, il testo sarà simile all'esempio seguente. La sezione evidenziata in blu contiene le informazioni copiate e caricate in Azure.
Se il file non è simile all'esempio, in genere significa che non è stato esportato usando il formato codificato Base-64 X. 509 (.CER). Inoltre, se si usa un editor di testo diverso dal Blocco note, si tenga presente che alcuni editor possono introdurre formattazioni indesiderate in background. Ciò può creare problemi quando il testo viene caricato da questo certificato in Azure.
Il file exported.cer deve essere caricato in Azure. Per istruzioni, vedere Configurare una connessione da punto a sito. Per aggiungere un certificato radice attendibile aggiuntivo, vedere questa sezione dell'articolo.
Esportare il certificato autofirmato e la chiave privata per archiviarli (facoltativo)
Si consiglia di esportare il certificato radice autofirmato e archiviarlo in un percorso sicuro. In seguito è possibile installarlo in un altro computer e generare più certificati client oppure esportare un altro file .cer. Per esportare il certificato radice autofirmato come file .pfx, selezionare il certificato radice ed eseguire la stessa procedura descritta in Esportazione di un certificato client.
Creare e installare i certificati client
Il certificato autofirmato non deve essere installato direttamente nel computer client. È necessario generare un certificato client da un certificato autofirmato. Quindi, esportare e installare il certificato client nel computer client. I passaggi seguenti non sono specifici del modello di distribuzione. Sono validi sia per Resource Manager che per la versione classica.
Generare un certificato client
Ogni computer client che si connette a una rete virtuale usando la soluzione Da punto a sito deve avere un certificato client installato. È possibile generare un certificato client da un certificato radice autofirmato, quindi esportare e installare il certificato client. Se il certificato client non è installato, l'autenticazione ha esito negativo.
I passaggi seguenti illustrano come generare un certificato client da un certificato radice autofirmato. È possibile generare più certificati client dallo stesso certificato radice. Quando si generano certificati client con la procedura seguente, il certificato client viene installato automaticamente nel computer usato per generare il certificato. Se si vuole installare un certificato client in un altro computer client, è possibile esportare il certificato.
Nello stesso computer usato per creare il certificato autofirmato aprire un prompt dei comandi come amministratore.
Modificare ed eseguire l'esempio per generare un certificato client.
- Modificare "P2SRootCert" al nome della radice autofirmato da cui si sta generando il certificato client. Assicurarsi di usare il nome del certificato radice, ovvero il valore "CN=" specificato al momento della creazione della radice autofirmata.
- Modificare P2SChildCert nel nome che si desidera assegnare al certificato client generato.
Se si esegue l'esempio riportato di seguito senza modificarlo, si otterrà un certificato client denominato P2SChildcert nell'archivio dei certificati personale generato dal certificato radice P2SRootCert.
makecert.exe -n "CN=P2SChildCert" -pe -sky exchange -m 96 -ss My -in "P2SRootCert" -is my -a sha256
Esportare un certificato client
Quando viene generato un certificato client, viene automaticamente installato nel computer che è stato usato per generarlo. Se si vuole installare il certificato client in un altro computer client, è necessario prima esportare il certificato client.
Per esportare un certificato client, aprire Gestire i certificati utente. Per impostazione predefinita, i certificati client generati si trovano in "Certificati-Utente corrente\Personale\Certificati". Fare clic con il pulsante destro del mouse sul certificato client da esportare, scegliere Tutte le attività, quindi fare clic su Esporta per aprire Esportazione guidata certificati.
In Esportazione guidata certificati fare clic su Avanti per continuare.
Selezionare Sì, esporta la chiave privata e quindi fare clic su Avanti.
Nella pagina Formato file di esportazione lasciare selezionate le impostazioni predefinite. Verificare che l'opzione Se possibile, includi tutti i certificati nel percorso certificazione sia selezionata. Questa opzione consente anche l'esportazione delle informazioni del certificato radice necessarie per la corretta autenticazione del client. Senza tali informazioni, l'autenticazione del client ha esito negativo perché il client non ha il certificato radice attendibile. Quindi fare clic su Next.
Nella pagina Sicurezza è necessario proteggere la chiave privata. Se si sceglie di usare una password, assicurarsi di registrare o ricordare quella impostata per questo certificato. Quindi fare clic su Next.
In File da esportare fare clic su Sfoglia e passare alla posizione in cui si vuole esportare il certificato. Per Nome file, assegnare un nome al file del certificato. Quindi fare clic su Next.
Fare clic su Fine per esportare il certificato.
Installare un certificato client esportato
Per installare un certificato client, vedere Installare un certificato client.
Passaggi successivi
Continuare con la configurazione da punto a sito.
- Per i passaggi del modello di distribuzione di Resource Manager, vedere Configurare una connessione da punto a sito con l'autenticazione del certificato nativa di Azure.
- Per i passaggi del modello di distribuzione classico, vedere Configurare una connessione VPN da punto a sito a una rete virtuale (classico).
Per informazioni sulla risoluzione dei problemi della connessione da punto a sito, vedere Risoluzione dei problemi di connessione da punto a sito di Azure.