إنشاء وتصدير الشهادات لاتصالات VPN للمستخدم

  • مقالة
  • قراءة خلال 6 دقائق

تستخدم اتصالات VPN للمستخدم (من نقطة إلى موقع) الشهادات للمصادقة. توضح لك هذه المقالة كيفية إنشاء شهادة جذر موقعة ذاتيا وإنشاء شهادات عميل باستخدام PowerShell على Windows 10 أو Windows Server 2016.

يجب تنفيذ الخطوات الواردة في هذه المقالة على جهاز كمبيوتر يعمل بنظام التشغيل Windows 10 أو Windows Server 2016. تعد أوامر cmdlets PowerShell التي تستخدمها لإنشاء الشهادات جزءا من نظام التشغيل ولا تعمل على إصدارات أخرى من Windows. الكمبيوتر Windows 10 أو Windows Server 2016 مطلوب فقط لإنشاء الشهادات. بمجرد إنشاء الشهادات، يمكنك تحميلها أو تثبيتها على أي نظام تشغيل عميل مدعوم.

إنشاء شهادة جذر موقعة ذاتيا

استخدم New-SelfSignedCertificate cmdlet لإنشاء شهادة جذر موقعة ذاتيا. للحصول على معلومات إضافية حول المعلمات ، راجع شهادة جديدة ذاتية التوقيع.

  1. من كمبيوتر يعمل بنظام التشغيل Windows 10 أو Windows Server 2016، افتح وحدة تحكم Windows PowerShell ذات امتيازات مرتفعة. لا تعمل هذه الأمثلة في Azure Cloud Shell "جربها". يجب تشغيل هذه الأمثلة محليا.

  2. استخدم المثال التالي لإنشاء الشهادة الجذرية الموقعة ذاتيا. ينشئ المثال التالي شهادة جذر موقعة ذاتيا باسم "P2SRootCert" يتم تثبيتها تلقائيا في "الشهادات-المستخدم الحالي\الشخصي\الشهادات". يمكنك عرض الشهادة عن طريق فتح certmgr.msc أو إدارة شهادات المستخدم.

    قم بتشغيل المثال التالي مع أي تعديلات ضرورية.

    $cert = New-SelfSignedCertificate -Type Custom -KeySpec Signature `
-Subject "CN=P2SRootCert" -KeyExportPolicy Exportable `
-HashAlgorithm sha256 -KeyLength 2048 `
-CertStoreLocation "Cert:\CurrentUser\My" -KeyUsageProperty Sign -KeyUsage CertSign

  3. اترك وحدة تحكم PowerShell مفتوحة وتابع الخطوات التالية لإنشاء شهادة عميل.

إنشاء شهادة عميل

يجب أن يكون لكل كمبيوتر عميل يتصل ب VNet باستخدام "نقطة إلى موقع" شهادة عميل مثبتة. إنشاء شهادة عميل من الشهادة الجذر الموقعة ذاتيا ثم قم بتصدير وتثبيت شهادة العميل. إذا لم يتم تثبيت شهادة العميل، تفشل المصادقة.

ترشدك الخطوات التالية خلال إنشاء شهادة عميل من شهادة جذر موقعة ذاتيا. يمكنك إنشاء شهادات عميل متعددة من نفس الشهادة الجذر. عند إنشاء شهادات عميل باستخدام الخطوات أدناه، يتم تثبيت شهادة العميل تلقائيا على الكمبيوتر الذي استخدمته لإنشاء الشهادة. إذا كنت تريد تثبيت شهادة عميل على كمبيوتر عميل آخر، فيمكنك تصدير الشهادة.

تستخدم الأمثلة New-SelfSignedCertificate cmdlet لإنشاء شهادة عميل تنتهي صلاحيتها في عام واحد. للحصول على معلومات معلمة إضافية، مثل تعيين قيمة انتهاء صلاحية مختلفة لشهادة العميل، راجع New SelfSignCertificate.

مثال 1 - جلسة عمل وحدة تحكم PowerShell لا تزال مفتوحة

استخدم هذا المثال إذا لم تقم بإغلاق وحدة تحكم PowerShell بعد إنشاء الشهادة الجذر الموقعة ذاتيا. يستمر هذا المثال من القسم السابق ويستخدم متغير "$cert" المعلن عنه. إذا قمت بإغلاق وحدة تحكم PowerShell بعد إنشاء الشهادة الجذر الموقعة ذاتيا، أو كنت تقوم بإنشاء شهادات عميل إضافية في جلسة عمل وحدة تحكم PowerShell جديدة، فاتبع الخطوات الواردة في المثال 2.

تعديل المثال وتشغيله لإنشاء شهادة عميل. إذا قمت بتشغيل المثال التالي دون تعديله، فإن النتيجة هي شهادة عميل تسمى "P2SChildCert". إذا كنت تريد تسمية الشهادة الفرعية بشيء آخر، فقم بتعديل قيمة CN. لا تقم بتغيير TextExtension عند تشغيل هذا المثال. يتم تثبيت شهادة العميل التي تقوم بإنشائها تلقائيا في "الشهادات - المستخدم الحالي \ شخصي \ شهادات" على جهاز الكمبيوتر الخاص بك.

New-SelfSignedCertificate -Type Custom -DnsName P2SChildCert -KeySpec Signature `
-Subject "CN=P2SChildCert" -KeyExportPolicy Exportable `
-HashAlgorithm sha256 -KeyLength 2048 `
-CertStoreLocation "Cert:\CurrentUser\My" `
-Signer $cert -TextExtension @("2.5.29.37={text}1.3.6.1.5.5.7.3.2")

مثال 2 - جلسة عمل وحدة تحكم PowerShell الجديدة

إذا كنت تقوم بإنشاء شهادات عميل إضافية، أو كنت لا تستخدم نفس جلسة عمل PowerShell التي استخدمتها لإنشاء الشهادة الجذر الموقعة ذاتيا، فاتبع الخطوات التالية:

  1. تحديد شهادة الجذر الموقعة ذاتيا المثبتة على الكمبيوتر. ترجع هذه cmdlet قائمة بالشهادات المثبتة على جهاز الكمبيوتر الخاص بك.

    Get-ChildItem -Path "Cert:\CurrentUser\My"

  2. حدد موقع اسم الموضوع من القائمة التي تم إرجاعها، ثم انسخ بصمة الإبهام الموجودة بجانبه إلى ملف نصي. في المثال التالي، هناك شهادتان. اسم CN هو اسم الشهادة الجذر الموقعة ذاتيا والتي تريد إنشاء شهادة تابعة منها. في هذه الحالة ، "P2SRootCert".

    Thumbprint                                Subject
----------                                -------
AED812AD883826FF76B4D1D5A77B3C08EFA79F3F  CN=P2SChildCert4
7181AA8C1B4D34EEDB2F3D3BEC5839F3FE52D655  CN=P2SRootCert

  3. قم بالإعلان عن متغير للشهادة الجذر باستخدام بصمة الإبهام من الخطوة السابقة. استبدل بصمة الإبهام ببصمة إبهام الشهادة الجذر التي تريد إنشاء شهادة تابعة منها.

    $cert = Get-ChildItem -Path "Cert:\CurrentUser\My\<THUMBPRINT>"

    على سبيل المثال ، باستخدام بصمة الإبهام ل P2SRootCert في الخطوة السابقة ، يبدو المتغير كما يلي:

    $cert = Get-ChildItem -Path "Cert:\CurrentUser\My\7181AA8C1B4D34EEDB2F3D3BEC5839F3FE52D655"

  4. تعديل المثال وتشغيله لإنشاء شهادة عميل. إذا قمت بتشغيل المثال التالي دون تعديله، فإن النتيجة هي شهادة عميل تسمى "P2SChildCert". إذا كنت تريد تسمية الشهادة الفرعية بشيء آخر، فقم بتعديل قيمة CN. لا تقم بتغيير TextExtension عند تشغيل هذا المثال. يتم تثبيت شهادة العميل التي تقوم بإنشائها تلقائيا في "الشهادات - المستخدم الحالي \ شخصي \ شهادات" على جهاز الكمبيوتر الخاص بك.

    New-SelfSignedCertificate -Type Custom -DnsName P2SChildCert -KeySpec Signature `
-Subject "CN=P2SChildCert" -KeyExportPolicy Exportable `
-HashAlgorithm sha256 -KeyLength 2048 `
-CertStoreLocation "Cert:\CurrentUser\My" `
-Signer $cert -TextExtension @("2.5.29.37={text}1.3.6.1.5.5.7.3.2")

تصدير المفتاح العمومي للشهادة الجذر (.cer)

بعد إنشاء شهادة جذر موقعة ذاتيا، قم بتصدير ملف المفتاح العام للشهادة الجذر .cer (وليس المفتاح الخاص). ستقوم لاحقا بتحميل هذا الملف إلى Azure. تساعدك الخطوات التالية على تصدير ملف .cer للشهادة الجذرية الموقعة ذاتيا:

  1. للحصول على ملف .cer من الشهادة ، افتح إدارة شهادات المستخدم. حدد موقع الشهادة الجذرية الموقعة ذاتيا، عادة في "الشهادات - المستخدم الحالي\الشخصي\الشهادات"، وانقر بزر الماوس الأيمن. انقر فوق كافة المهام، ثم انقر فوق تصدير. يؤدي هذا إلى فتح معالج تصدير الشهادات. إذا لم تتمكن من العثور على الشهادة ضمن المستخدم الحالي\ الشخصية \ الشهادات، فربما تكون قد فتحت عن طريق الخطأ "الشهادات - الكمبيوتر المحلي"، بدلاً من "الشهادات - المستخدم الحالي"). إذا كنت تريد فتح Certificate Manager في نطاق المستخدم الحالي باستخدام PowerShell، فاكتب certmgr في نافذة وحدة التحكم.

    Screenshot shows the Certificates window for the current user with Certificates selected and a contextual menu with Export selected from All Tasks.

  2. في المعالج، انقر على التالي.

    Export certificate

  3. حدد لا، لا تقم بتصدير المفتاح الخاص، ثم انقر فوق التالي.

    Do not export the private key

  4. في صفحة تصدير تنسيق الملف، حدد Base-64 بتشفير X.509 (.CER). ، ثم انقر فوق التالي.

    Base-64 encoded

  5. بالنسبة إلى ملف للتصدير، تصفح إلى الموقع الذي تريد تصدير الشهادة إليه. بالنسبة إلى اسم الملف، قم بتسمية ملف الشهادة. ثم انقر فوق Next.

    Screenshot shows the Certificate Export Wizard with a File Name text box and a Browse option.

  6. انقر فوق إنهاء لتصدير الشهادة.

    Screenshot shows the Certificate Export Wizard with the selected settings.

  7. تم تصدير شهادتك بنجاح.

    Screenshot shows a message that the export was successful.

  8. الشهادة التي تم تصديرها تبدو مشابهة لما يلي:

    Screenshot shows a certificate icon and file name with the c e r file name extension.

  9. إذا قمت بفتح الشهادة المصدرة باستخدام المفكرة، سترى شيئا مشابها لهذا المثال. يحتوي القسم باللون الأزرق على المعلومات التي تم تحميلها إلى Azure. إذا فتحت شهادتك باستخدام المفكرة ولا تبدو مشابهة لذلك، فهذا يعني عادة أنك لم تقم بتصديرها باستخدام X.509 () المشفر Base-64 (. CER) تنسيق. بالإضافة إلى ذلك، إذا كنت ترغب في استخدام محرر نصوص مختلف، فافهم أن بعض المحررين يمكنهم تقديم تنسيق غير مقصود في الخلفية. يمكن أن يؤدي ذلك إلى حدوث مشاكل عند تحميل النص من هذه الشهادة إلى Azure.

    Open with Notepad

تصدير شهادة الجذر الموقعة ذاتيا والمفتاح الخاص لتخزينها (اختياري)

قد ترغب في تصدير شهادة الجذر الموقعة ذاتيا وتخزينها بأمان كنسخة احتياطية. إذا لزم الأمر ، يمكنك تثبيته لاحقا على كمبيوتر آخر وإنشاء المزيد من شهادات العميل. لتصدير الشهادة الجذر الموقعة ذاتيا كشهادة .pfx، حدد الشهادة الجذر واستخدم نفس الخطوات الموضحة في تصدير شهادة عميل.

تصدير شهادة العميل

عند إنشاء شهادة عميل، يتم تثبيتها تلقائيا على الكمبيوتر الذي استخدمته لإنشائها. إذا كنت ترغب في تثبيت شهادة العميل على كمبيوتر عميل آخر، تحتاج إلى تصدير شهادة العميل التي قمت بإنشائها.

  1. لتصدير شهادة عميل، افتح إدارة شهادات المستخدم. توجد شهادات العميل التي قمت بإنشائها ، افتراضيا ، في "الشهادات - المستخدم الحالي \ شخصي \ الشهادات". انقر بزر الماوس الأيمن فوق شهادة العميل التي تريد تصديرها، وانقر فوق كافة المهام، ثم انقر فوق تصدير لفتح معالج تصدير الشهادات.

    Screenshot shows the Certificates window for the current user with Certificates selected and Export selected from All Tasks.

  2. في "معالج تصدير الشهادات"، انقر فوق التالي للمتابعة.

    Screenshot shows the Certificate Export Wizard Welcome message.

  3. حدد نعم، وتصدير المفتاح الخاص، ثم انقر فوق التالي.

    export private key

  4. في الصفحة تصدير تنسيق الملف، اترك الإعدادات الافتراضية محددة. تأكد من تحديد تضمين كافة الشهادات في مسار الشهادة إن أمكن . بالإضافة إلى ذلك ، يقوم هذا الإعداد بتصدير معلومات الشهادة الجذر المطلوبة لمصادقة العميل الناجحة. بدونها ، تفشل مصادقة العميل لأن العميل ليس لديه الشهادة الجذرية الموثوق بها. ثم انقر فوق Next.

    export file format

  5. في صفحة الأمان ، يجب حماية المفتاح الخاص. إذا اخترت استخدام كلمة مرور، فتأكد من تسجيل كلمة المرور التي قمت بتعيينها لهذه الشهادة أو تذكرها. ثم انقر فوق Next.

    Screenshot shows the Certificate Export Wizard Security page with the password entered and confirmed and Next highlighted.

  6. على الملف المراد تصديره، استعرض وصولا إلى الموقع الذي تريد تصدير الشهادة إليه. بالنسبة إلى اسم الملف، قم بتسمية ملف الشهادة. ثم انقر فوق Next.

    file to export

  7. انقر فوق إنهاء لتصدير الشهادة.

    Screenshot shows the Certificate Export Wizard with the entered settings.

الخطوات التالية

تابع خطوات شبكة WAN الافتراضية لاتصال VPN للمستخدم