إنشاء وتصدير شهادات لاتصال من نقطة إلى موقع باستخدام PowerShell

  • مقالة
  • قراءة خلال 7 دقائق

تستخدم اتصالات من نقطة إلى موقع الشهادات للمصادقة. توضح لك هذه المقالة كيفية إنشاء شهادة جذر موقعة ذاتياً، وإنشاء شهادات عميل باستخدام PowerShell على Windows 10 أو Windows Server 2016. إذا كنت تبحث عن تعليمات مختلفة للشهادات، فراجع الشهادات - Linux أو الشهادات - MakeCert.

تنطبق الخطوات الواردة في هذه المقالة على Windows 10 أو Windows Server 2016. تعد أوامر cmdlets PowerShell التي تستخدمها لإنشاء الشهادات جزءاً من نظام التشغيل، ولا تعمل على إصدارات أخرى من Windows. يتطلب الكمبيوتر الذي يعمل بنظام Windows 10 أو Windows Server 2016 فقط لإنشاء الشهادات. بمجرد إنشاء الشهادات، يمكنك تحميلها أو تثبيتها على أي نظام تشغيل عميل مدعوم.

إذا لم يكن لديك حق الوصول إلى جهاز كمبيوتر Windows 10 أو Windows Server 2016، يمكنك استخدام MakeCert لإنشاء شهادات. يمكن تثبيت الشهادات التي تقوم بإنشائها باستخدام أي من الطريقتين على أي نظام تشغيل عميل مدعوم.

إنشاء شهادة جذرية موقعة ذاتيًا

استخدم cmdlet المسمى New-SelfSignedCertificate لإنشاء شهادة جذر موقعة ذاتيًا. للحصول على معلومات إضافية حول المعلمات، راجع New-SelfSignedCertificate.

  1. من كمبيوتر يعمل بنظام التشغيل Windows 10 أو Windows Server 2016، افتح وحدة تحكم Windows PowerShell ذات امتيازات متطورة. لا تعمل هذه الأمثلة في Azure Cloud Shell "جربها". يجب تشغيل هذه الأمثلة محليًا.

  2. استخدم المثال التالي لإنشاء شهادة الجذر الموقعة ذاتيًا. ينشئ المثال التالي شهادة جذر موقعة ذاتيًا باسم "P2SRootCert" يتم تثبيتها تلقائيًا في 'Certificates-Current User\Personal\Certificates'. يمكنك عرض الشهادة عن طريق فتح certmgr.msc أو إدارة شهادات المستخدم.

    قم بتشغيل المثال التالي مع أي تعديلات ضرورية.

    $cert = New-SelfSignedCertificate -Type Custom -KeySpec Signature `
-Subject "CN=P2SRootCert" -KeyExportPolicy Exportable `
-HashAlgorithm sha256 -KeyLength 2048 `
-CertStoreLocation "Cert:\CurrentUser\My" -KeyUsageProperty Sign -KeyUsage CertSign

  3. اترك وحدة تحكم PowerShell مفتوحة، وتابع الخطوات التالية لإنشاء شهادة عميل.

إنشاء شهادة عميل

يجب أن يكون لدى كل جهاز كمبيوتر تابع للعميل يتصل بشبكة ظاهرية باستخدام «الاتصال من نقطة إلى موقع» شهادة عميل مثبتة. تقوم بإنشاء شهادة عميل من شهادة الجذر الموقعة ذاتيًا، ثم تصدير شهادة العميل وتثبيتها. إذا لم يتم تثبيت شهادة العميل، تفشل المصادقة.

توضح لك الخطوات التالية كيفية إنشاء شهادة العميل من شهادة جذر موقعة ذاتيًا. يمكنك إنشاء شهادات عميل متعددة من نفس شهادة الجذر. عند إنشاء شهادات العميل باستخدام الخطوات أدناه، يتم تثبيت شهادة العميل تلقائيًا على الكمبيوتر الذي استخدمته لإنشاء الشهادة. إذا كنت ترغب في تثبيت شهادة العميل على جهاز كمبيوتر عميل آخر، يمكنك تصدير الشهادة.

تستخدم الأمثلة cmdlet المسمى New-SelfSignedCertificate لإنشاء شهادة عميل تنتهي صلاحيتها في عام واحد. للحصول على معلومات معلمة إضافية، مثل تعيين قيمة انتهاء صلاحية مختلفة لشهادة العميل، راجع New-SelfSignedCertificate.

مثال 1 - جلسة عمل وحدة تحكم PowerShell لا تزال مفتوحة

استخدم هذا المثال إذا لم تقم بإغلاق وحدة تحكم PowerShell بعد إنشاء الشهادة الجذر الموقعة ذاتيًا. يستمر هذا المثال من القسم السابق، ويستخدم متغير "$cert" المعلن عنه. إذا قمت بإغلاق وحدة تحكم PowerShell بعد إنشاء الشهادة الجذر الموقعة ذاتيًا، أو كنت تقوم بإنشاء شهادات عميل إضافية في جلسة عمل وحدة تحكم PowerShell جديدة، فاتبع الخطوات الواردة في المثال 2.

قم بتعديل وتشغيل المثال لإنشاء شهادة العميل. إذا قمت بتشغيل المثال التالي دون تعديله، فإن النتيجة هي شهادة عميل تسمى "P2SChildCert". إذا كنت تريد تسمية الشهادة الفرعية بشيء آخر، فقم بتعديل قيمة CN. لا تقم بتغيير TextExtension عند تشغيل هذا المثال. يتم تثبيت شهادة العميل التي تقوم بإنشائها تلقائيًا في 'Certificates - Current User\Personal\Certificates' على جهاز الكمبيوتر لديك.

New-SelfSignedCertificate -Type Custom -DnsName P2SChildCert -KeySpec Signature `
-Subject "CN=P2SChildCert" -KeyExportPolicy Exportable `
-HashAlgorithm sha256 -KeyLength 2048 `
-CertStoreLocation "Cert:\CurrentUser\My" `
-Signer $cert -TextExtension @("2.5.29.37={text}1.3.6.1.5.5.7.3.2")

مثال 2 - جلسة عمل وحدة تحكم PowerShell الجديدة

إذا كنت تقوم بإنشاء شهادات عميل إضافية، أو كنت لا تستخدم نفس جلسة عمل PowerShell التي استخدمتها لإنشاء الشهادة الجذر الموقعة ذاتيًا، فاتبع الخطوات التالية:

  1. تحديد شهادة الجذر الموقعة ذاتيًا المثبتة على الكمبيوتر. ترجع أوامر cmdlet هذه قائمة بالشهادات المثبتة على جهاز الكمبيوتر لديك.

    Get-ChildItem -Path "Cert:\CurrentUser\My"

  2. حدد موقع اسم الموضوع من القائمة التي تم إرجاعها، ثم انسخ بصمة الإبهام الموجودة بجانبه إلى ملف نصي. في المثال التالي، توجد شهادتان. اسم CN هو اسم الشهادة الجذر الموقعة ذاتيًا، والتي تريد إنشاء شهادة تابعة منها. في هذه الحالة، "P2SRootCert".

    Thumbprint                                Subject
----------                                -------
AED812AD883826FF76B4D1D5A77B3C08EFA79F3F  CN=P2SChildCert4
7181AA8C1B4D34EEDB2F3D3BEC5839F3FE52D655  CN=P2SRootCert

  3. قم بالإعلان عن متغير للشهادة الجذر باستخدام بصمة الإبهام من الخطوة السابقة. استبدل بصمة الإبهام ببصمة إبهام الشهادة الجذر التي تريد إنشاء شهادة تابعة منها.

    $cert = Get-ChildItem -Path "Cert:\CurrentUser\My\<THUMBPRINT>"

    على سبيل المثال، باستخدام بصمة الإبهام لـ P2SRootCert في الخطوة السابقة، يبدو المتغير كما يلي:

    $cert = Get-ChildItem -Path "Cert:\CurrentUser\My\7181AA8C1B4D34EEDB2F3D3BEC5839F3FE52D655"

  4. قم بتعديل وتشغيل المثال لإنشاء شهادة العميل. إذا قمت بتشغيل المثال التالي دون تعديله، فإن النتيجة هي شهادة عميل تسمى "P2SChildCert". إذا كنت تريد تسمية الشهادة الفرعية بشيء آخر، فقم بتعديل قيمة CN. لا تقم بتغيير TextExtension عند تشغيل هذا المثال. يتم تثبيت شهادة العميل التي تقوم بإنشائها تلقائيًا في 'Certificates - Current User\Personal\Certificates' على جهاز الكمبيوتر لديك.

    New-SelfSignedCertificate -Type Custom -DnsName P2SChildCert -KeySpec Signature `
-Subject "CN=P2SChildCert" -KeyExportPolicy Exportable `
-HashAlgorithm sha256 -KeyLength 2048 `
-CertStoreLocation "Cert:\CurrentUser\My" `
-Signer $cert -TextExtension @("2.5.29.37={text}1.3.6.1.5.5.7.3.2")

تصدير المفتاح العام للشهادة الجذر (‎.cer)

بعد إنشاء شهادة جذر موقعة ذاتيًا، قم بتصدير ملف المفتاح العام لشهادة الجذر ‎.cer (وليس المفتاح الخاص). سترفع هذا الملف لاحقًا إلى Azure. تساعدك الخطوات التالية على في ملف ‎.cer للحصول على شهادة الجذر الموقعة ذاتيًا:

  1. للحصول على ملف .cer من الشهادة ، افتح إدارة شهادات المستخدم. حدد موقع شهادة الجذر الموقعة ذاتيًا، عادةً في 'Certificates - Current User\Personal\Certificates'، وانقر بزر الماوس الأيمن. انقر فوق كافة المهام، ثم انقر فوق تصدير. يؤدي هذا إلى فتح معالج تصدير الشهادات. إذا لم تتمكن من العثور على الشهادة ضمن المستخدم الحالي\ الشخصية \ الشهادات، فربما تكون قد فتحت عن طريق الخطأ "الشهادات - الكمبيوتر المحلي"، بدلاً من "الشهادات - المستخدم الحالي"). إذا كنت تريد فتح Certificate Manager في نطاق المستخدم الحالي باستخدام PowerShell، فاكتب certmgr في نافذة وحدة التحكم.

    Screenshot shows the Certificates window for the current user with Certificates selected and a contextual menu with Export selected from All Tasks.

  2. في المعالج، انقر على التالي.

    Export certificate

  3. حدد لا، لا تقم بتصدير المفتاح الخاص، ثم انقر فوق التالي.

    Do not export the private key

  4. في صفحة تصدير تنسيق الملف، حدد Base-64 بتشفير X.509 (.CER). ، ثم انقر فوق التالي.

    Base-64 encoded

  5. بالنسبة إلى ملف للتصدير، تصفح إلى الموقع الذي تريد تصدير الشهادة إليه. بالنسبة إلى اسم الملف، قم بتسمية ملف الشهادة. ثم انقر فوق Next.

    Screenshot shows the Certificate Export Wizard with a File Name text box and a Browse option.

  6. انقر فوق إنهاء لتصدير الشهادة.

    Screenshot shows the Certificate Export Wizard with the selected settings.

  7. تم تصدير شهادتك بنجاح.

    Screenshot shows a message that the export was successful.

  8. الشهادة التي تم تصديرها تبدو مشابهة لما يلي:

    Screenshot shows a certificate icon and file name with the c e r file name extension.

  9. إذا قمت بفتح الشهادة المصدرة باستخدام المفكرة، سترى شيئا مشابها لهذا المثال. يحتوي القسم باللون الأزرق على المعلومات التي يتم تحميلها إلى Azure. إذا فتحت شهادتك باستخدام مفكرة ولا تبدو مشابهة لهذا النسق، فهذا يعني عادةً أنك لم تقم بتصديرها باستخدام تنسيق X.509(.CER) المشفر لـ Base-64. بالإضافة إلى ذلك، إذا كنت ترغب في استخدام محرر نصوص مختلف، فافهم أن بعض المحررين يمكنهم تقديم تنسيق غير مقصود في الخلفية. يمكن أن يؤدي ذلك إلى حدوث مشاكل عند تحميل النص من هذه الشهادة إلى Azure.

    Open with Notepad

تصدير شهادة الجذر الموقعة ذاتيًا والمفتاح الخاص لتخزينها (اختياري)

قد ترغب في تصدير شهادة الجذر الموقعة ذاتيًا وتخزينها بأمان كنسخة احتياطية. إذا لزم الأمر، يمكنك تثبيتها لاحقاً على كمبيوتر آخر وإنشاء المزيد من شهادات العميل. لتصدير شهادة الجذر الموقعة ذاتيًا كـ ‎.pfx، حدد شهادة الجذر واستخدم نفس الخطوات الموضحة في تصدير شهادة العميل.

تصدير شهادة العميل

عند إنشاء شهادة عميل، يتم تثبيتها تلقائيًا على الكمبيوتر الذي استخدمته لإنشائها. إذا كنت ترغب في تثبيت شهادة العميل على جهاز كمبيوتر عميل آخر، فأنت بحاجة إلى تصدير شهادة العميل التي قمت بإنشائها.

  1. لتصدير شهادة العميل، افتح إدارة شهادات المستخدم. تقع شهادات العميل التي قمت بإنشائها، افتراضياً، في 'Certificates - Current User\Personal\Certificates'. انقر بزر الماوس الأيمن فوق شهادة العميل التي تريد تصديرها، ثم انقر فوق جميع المهام، ثم انقر فوق تصدير لفتح معالج تصدير الشهادات.

    Screenshot shows the Certificates window for the current user with Certificates selected and Export selected from All Tasks.

  2. في معالج تصدير الشهادة، انقر فوق التالي للمتابعة.

    Screenshot shows the Certificate Export Wizard Welcome message.

  3. حدد نعم، قم بتصدير المفتاح الخاص، ثم انقر فوق التالي.

    export private key

  4. في صفحة تصدير تنسيق الملف، اترك الإعدادات الافتراضية المحددة. تأكد من تحديد تضمين جميع الشهادات في مسار الشهادة إن أمكن. بالإضافة إلى ذلك، يقوم هذا الإعداد بتصدير معلومات الشهادة الأصلية المطلوبة لمصادقة العميل بنجاح. بدونه، تفشل مصادقة العميل لأن العميل ليس لديه شهادة الجذر الموثوق بها. ثم انقر فوق Next.

    export file format

  5. في صفحة الأمان، يجب عليك حماية المفتاح الخاص. إذا اخترت استخدام كلمة مرور، فتأكد من تسجيل أو تذكر كلمة المرور التي قمت بتعيينها لهذه الشهادة. ثم انقر فوق Next.

    Screenshot shows the Certificate Export Wizard Security page with the password entered and confirmed and Next highlighted.

  6. في الملف المطلوب تصديره، استعرض وصولاً إلى الموقع الذي تريد تصدير الشهادة إليه. بالنسبة إلى اسم الملف، قم بتسمية ملف الشهادة. ثم انقر فوق Next.

    file to export

  7. انقر فوق إنهاء لتصدير الشهادة.

    Screenshot shows the Certificate Export Wizard with the entered settings.

تثبيت شهادة العميل المصدرة

يتطلب كل عميل يتصل بشبكة ظاهرية عبر اتصال P2S شهادة عميل ليتم تثبيتها محلياً.

لتثبيت شهادة عميل، راجع تثبيت شهادة عميل للاتصالات من نقطة إلى موقع.

الخطوات التالية

تابع التكوين "من نقطة إلى موقع".