Создание и экспорт сертификатов для подключений типа "точка — сеть" с помощью MakeCert
Эта статья поможет создать самозаверяющий корневой сертификат, а также сертификаты клиента с помощью MakeCert. Действия, описанные в этой статье, помогут создать PFX-файлы и .cer файлы. Если вы ищете различные инструкции по сертификату, см. статью PowerShell — PFX и .cer файлы сертификатов или Файлы сертификатов Linux- OpenSSL — pem.pem.
Для создания сертификатов рекомендуется использовать шаги PowerShell для Windows 10 или более поздней версии. Мы предоставляем эти инструкции MakeCert как необязательный метод. Сертификаты, созданные с помощью другого метода, можно установить на любой поддерживаемой клиентской операционной системе. MakeCert имеет следующее ограничение:
- Мы не рекомендуем использовать MakeCert. Это значит, что средство может быть удалено в любой момент. Сертификаты, которые вы уже создали с помощью MakeCert, не будут затронуты, если MakeCert больше недоступен. MakeCert используется только для создания сертификатов, а не как механизм проверки.
Создание самозаверяющего корневого сертификата
Ниже приведены инструкции по созданию самозаверяющего сертификата с помощью MakeCert. Эти шаги не относятся к модели развертывания. Они допустимы как для Resource Manager, так и для классической версии.
Скачайте и установите MakeCert.
После установки служебную программу makecert.exe обычно можно найти по такому пути: C:\Program Files (x86)\Windows Kits\10\bin<arch>. Однако возможно, что он был установлен в другое расположение. Откройте командную строку от имени администратора и перейдите в расположение служебной программы MakeCert. Вы можете использовать следующий пример, чтобы указать правильное расположение:
cd C:\Program Files (x86)\Windows Kits\10\bin\x64
Создайте и установите сертификат в личном хранилище сертификатов на компьютере. В следующем примере создается соответствующий CER-файл , передаваемый в Azure при настройке подключений типа "точка — сеть". Замените P2SRootCert и P2SRootCert.cer именем, которое необходимо использовать для сертификата. Сертификат расположен в хранилище сертификатов: Certificates — <текущий_пользователь>\Personal\Certificates.
makecert -sky exchange -r -n "CN=P2SRootCert" -pe -a sha256 -len 2048 -ss My
Экспорт открытого ключа (CER)
После создания самозаверяющего корневого сертификата экспортируйте его CER-файл (не закрытый ключ). Позднее вы отправите в Azure необходимые данные сертификата, сохраненные в файл. Чтобы экспортировать CER-файл для самозаверяющего корневого сертификата и получить необходимые данные сертификата, сделайте следующее.
Чтобы получить CER-файл сертификата, откройте окно Управление сертификатами пользователей.
Найдите самозаверяющий корневой сертификат, как правило, в сертификатах — current User\Personal\Certificates и щелкните правой кнопкой мыши. Выберите все задачи ->Экспорт. Откроется мастера экспорта сертификатов.
Если сертификат не удается найти в разделе "Current User\Personal\Certificates", возможно, вы случайно открыли сертификаты — локальный компьютер, а не сертификаты — текущий пользователь.
В мастере нажмите кнопку Далее.
Нажмите кнопку "Нет", не экспортируйте закрытый ключ и нажмите кнопку "Далее".
На странице "Формат файла экспорта" выберите в кодировке Base-64 X.509 (). CER)., а затем нажмите кнопку "Далее".
На странице Имя экспортируемого файла нажмите кнопку Обзор, чтобы перейти в расположение для экспорта сертификата. В поле Имя файлавведите имя для файла сертификата. Затем выберите Далее.
Нажмите кнопку "Готово ", чтобы экспортировать сертификат.
Вы увидите подтверждение о том, что экспорт выполнен успешно.
Перейдите в расположение, куда вы экспортировали сертификат, и откройте его в Блокноте или любом другом текстовом редакторе. Если вы экспортировали сертификат в требуемом кодировке Base-64 x.509 (). Формат CER) вы увидите текст, аналогичный следующему примеру. Раздел, выделенный синим цветом, содержит сведения, которые вам нужно скопировать и отправить в Azure.
Если ваш файл не похож на приведенный пример, это, скорее всего, означает, что экспорт выполнен не в формате X.509 (.CER) с кодировкой Base-64. Кроме того, при использовании другого текстового редактора вместо Блокнота следует учитывать, что в некоторых редакторах может без ведома пользователя выполняться нежелательное форматирование текста. Это может вызвать проблемы при передаче текста из этого сертификата в Azure.
Файл exported.cer необходимо отправить в Azure. Дополнительные сведения см. в разделе Подготовка CER-файла корневого сертификата к передаче. Чтобы добавить дополнительные доверенные корневые сертификаты, ознакомьтесь с разделом этой статьи.
Экспорт самозаверяющего сертификата и закрытого ключа для его сохранения (необязательно)
Возможно, вы хотите экспортировать самозаверяющий корневой сертификат и безопасно сохранить его. Позже его можно установить на другом компьютере и создать дополнительные сертификаты клиента или экспортировать другой .cer файл. Чтобы экспортировать самозаверяющий корневой сертификат в формате PFX, выберите корневой сертификат и выполните те же действия, что описаны в разделе Экспорт сертификата клиента.
Создание и установка сертификатов клиента
Не устанавливайте самозаверяющий сертификат непосредственно на клиентский компьютер. Нужно создать сертификат клиента из самозаверяющего сертификата. Затем его следует экспортировать и установить на клиентском компьютере. Следующие шаги не зависят от модели развертывания. Они допустимы как для Resource Manager, так и для классической версии.
Создание сертификата клиента
На каждом клиентском компьютере, который подключается к виртуальной сети с помощью подключения типа "точка —сеть", должен быть установлен сертификат клиента. Вы можете создать сертификат клиента из самозаверяющего корневого сертификата, а затем экспортировать и установить его. Если сертификат клиента не установлен, произойдет сбой аутентификации.
Ниже описан способ создания сертификата клиента из самозаверяющего корневого сертификата. Вы можете создать несколько сертификатов клиента из одного корневого сертификата. При создании сертификатов клиента с помощью следующих шагов сертификат клиента автоматически устанавливается на компьютере, который использовался для создания сертификата. Если вы хотите установить сертификат клиента на другой клиентский компьютер, его можно экспортировать.
На компьютере, на котором вы создали самозаверяющий сертификат, откройте командную строку от имени администратора.
Измените и запустите пример, чтобы создать сертификат клиента.
- Измените "P2SRootCert" на имя самозаверяющего корня, из которому создается сертификат клиента. Убедитесь, что вы используете имя корневого сертификата, что независимо от значения CN=, указанного при создании самозаверяющего корневого каталога.
- Замените P2SChildCert именем, которое следует использовать для создаваемого сертификата клиента.
Если выполнить приведенную ниже команду без изменений, в ваше хранилище личных сертификатов будет добавлен сертификат клиента с именем P2SChildcert, созданный из корневого сертификата P2SRootCert.
makecert.exe -n "CN=P2SChildCert" -pe -sky exchange -m 96 -ss My -in "P2SRootCert" -is my -a sha256
Экспорт сертификата клиента
Созданный сертификат клиента автоматически устанавливается на компьютере, который использовался для его создания. Если вы хотите установить созданный сертификат клиента на другой клиентский компьютер, то его сначала необходимо экспортировать.
Чтобы экспортировать сертификат клиента, откройте раздел Управление сертификатами пользователей. По умолчанию создаваемые сертификаты клиента хранятся в папке Certificates - Current User\Personal\Certificates. Щелкните правой кнопкой мыши сертификат, который нужно экспортировать, выберите Все задачи, а затем — Экспорт, чтобы открыть мастер экспорта сертификатов.
В мастере экспорта сертификатов нажмите кнопку Далее, чтобы продолжить.
Выберите Да, экспортировать закрытый ключ, а затем нажмите кнопку Далее.
На странице Формат экспортируемого файла оставьте настройки по умолчанию. Не забудьте установить флажок Включить по возможности все сертификаты в путь сертификации. При этом также будут экспортированы данные корневого сертификата, необходимые для успешной аутентификации клиента. Без этих данных аутентификация клиента завершится ошибкой, так как у клиента не будет доверенного корневого сертификата. Затем нажмите кнопку Далее.
На странице Безопасность следует защитить закрытый ключ. Если вы решите использовать пароль, обязательно запишите или запомните пароль, заданный для этого сертификата. Затем нажмите кнопку Далее.
На странице Имя экспортируемого файла нажмите кнопку Обзор, чтобы перейти в расположение для экспорта сертификата. В поле Имя файлавведите имя для файла сертификата. Затем нажмите кнопку Далее.
Нажмите кнопку Готово , чтобы экспортировать сертификат.
установить экспортированный сертификат клиента;
См. инструкции по установке сертификата клиента.
Следующие шаги
Продолжайте настраивать параметры конфигурации типа "точка-сеть".
- При использовании модели развертывания на основе Resource Manager см. инструкции по настройке подключения типа "точка — сеть" с использованием собственной аутентификации Azure на основе сертификата.
- Инструкции для классической модели развертывания см. в статье Настройка подключения типа "точка — сеть" к виртуальной сети с помощью портала Azure (классическая модель).
Дополнительные сведения см. в руководстве по устранению неполадок подключения типа "точка — сеть" в Azure.