إنشاء وتصدير شهادات للاتصالات من نقطة إلى موقع باستخدام MakeCert

  • مقالة
  • قراءة خلال 5 دقائق

تستخدم اتصالات من نقطة إلى موقع الشهادات للمصادقة. تُبين لك هذه المقالة كيفية إنشاء شهادة جذر موقعة ذاتيًا وإنشاء شهادات العميل باستخدام MakeCert. إذا كنت تبحث عن تعليمات مختلفة للشهادة، راجع الشهادات - PowerShell أو الشهادات - Linux.

بينما نوصي باستخدام خطوات Windows 10 PowerShell لإنشاء الشهادات خاصتك، فإننا نقدم إرشادات MakeCert هذه كطريقة اختيارية. يمكن تثبيت الشهادات التي تقوم بإنشائها باستخدام أي من الطريقتين على أي نظام تشغيل عميل معتمد . ومع ذلك، فإن MakeCert لديها القيود التالية:

  • تم إهمال MakeCert. هذا يعني أنه يمكن إزالة هذه الأداة في أي وقت. لن تتأثر أي شهادات قمت بإنشائها بالفعل باستخدام MakeCert عندما لا يكون MakeCert متاحًا. يتم استخدام MakeCert فقط لإنشاء الشهادات، وليس كآلية تحقق.

إنشاء شهادة جذرية موقعة ذاتيًا

توضح لك الخطوات التالية كيفية إنشاء شهادة موقعة ذاتيًا باستخدام MakeCert. وهذه الخطوات ليست محددة لنموذج النشر. وهي صالحة لكل من Azure Resource Manager و الكلاسيكية.

  1. تنزيل وتثبيت MakeCert.

  2. بعد التثبيت، يمكنك عادة العثور على الأداة المساعدة makecert.exe تحت هذا المسار: 'C:\Program Files (x 86)\ Windows Kits\10\ bin<arch>'. على الرغم من أنه من المحتمل أنه تم تثبيته في موقع آخر. افتح موجه الأوامر كمسؤول وانتقل إلى موقع الأداة المساعدة MakeCert. يمكنك استخدام المثال التالي، مع ضبط الموقع المناسب:

    cd C:\Program Files (x86)\Windows Kits\10\bin\x64

  3. إنشاء وتثبيت شهادة في متجر الشهادات الشخصية على جهاز الكمبيوتر خاصتك. ينشئ المثال التالي ملف .cer مطابق تقوم بتحميله إلى Azure عند تكوين P 2 S. استبدل "P2SRootCert" و "P 2 SRootCert.cer" بالاسم الذي تريد استخدامه للشهادة. توجد الشهادة في "الشهادات - المستخدم الحالي\الشخصي\الشهادات ".

    makecert -sky exchange -r -n "CN=P2SRootCert" -pe -a sha256 -len 2048 -ss My

تصدير المفتاح العام (.cer)

بعد إنشاء شهادة جذر موقعة ذاتيًا، قم بتصدير ملف المفتاح العام لشهادة الجذر .cer (وليس المفتاح الخاص). سترفع هذا الملف لاحقًا إلى Azure. تساعدك الخطوات التالية على تصدير ملف .cer للحصول على شهادة الجذر الموقعة ذاتيًا:

  1. للحصول على ملف .cer من الشهادة ، افتح إدارة شهادات المستخدم. حدد موقع شهادة الجذر الموقعة ذاتيًا، عادةً في "الشهادات - المستخدم الحالي\شخصي\الشهادات"، وانقر بزر الماوس الأيمن. انقر فوق كافة المهام، ثم انقر فوق تصدير. يؤدي هذا إلى فتح معالج تصدير الشهادات. إذا لم تتمكن من العثور على الشهادة ضمن المستخدم الحالي\ الشخصية \ الشهادات، فربما تكون قد فتحت عن طريق الخطأ "الشهادات - الكمبيوتر المحلي"، بدلاً من "الشهادات - المستخدم الحالي"). إذا كنت تريد فتح Certificate Manager في نطاق المستخدم الحالي باستخدام PowerShell، فاكتب certmgr في نافذة وحدة التحكم.

    Screenshot shows the Certificates window for the current user with Certificates selected and a contextual menu with Export selected from All Tasks.

  2. في المعالج، انقر على التالي.

    Export certificate

  3. حدد لا، لا تقم بتصدير المفتاح الخاص، ثم انقر فوق التالي.

    Do not export the private key

  4. في صفحة تصدير تنسيق الملف، حدد Base-64 بتشفير X.509 (.CER). ، ثم انقر فوق التالي.

    Base-64 encoded

  5. بالنسبة إلى ملف للتصدير، تصفح إلى الموقع الذي تريد تصدير الشهادة إليه. بالنسبة إلى اسم الملف، قم بتسمية ملف الشهادة. ثم انقر فوق Next.

    Screenshot shows the Certificate Export Wizard with a File Name text box and a Browse option.

  6. انقر فوق إنهاء لتصدير الشهادة.

    Screenshot shows the Certificate Export Wizard with the selected settings.

  7. تم تصدير شهادتك بنجاح.

    Screenshot shows a message that the export was successful.

  8. الشهادة التي تم تصديرها تبدو مشابهة لما يلي:

    Screenshot shows a certificate icon and file name with the c e r file name extension.

  9. إذا قمت بفتح الشهادة المصدرة باستخدام المفكرة، سترى شيئا مشابها لهذا المثال. يحتوي القسم باللون الأزرق على المعلومات التي يتم تحميلها إلى Azure. إذا فتحت شهادتك باستخدام مفكرة ولا تبدو مشابهة لهذا، فهذا يعني عادةً أنك لم تقم بتصديرها باستخدام تنسيق X.509(.CER) المشفر لـ Base -64. بالإضافة إلى ذلك، إذا كنت ترغب في استخدام محرر نصوص مختلف، فافهم أن بعض المحررين يمكنهم تقديم تنسيق غير مقصود في الخلفية. يمكن أن يؤدي ذلك إلى حدوث مشاكل عند تحميل النص من هذه الشهادة إلى Azure.

    Open with Notepad

يجب تحميل ملف exported.cer إلى Azure. للحصول على إرشادات، راجع تكوين اتصال من نقطة إلى موقع . لإضافة شهادة جذر إضافية موثوقة، راجع هذا القسم من المقالة.

تصدير الشهادة الموقعة ذاتيًا والمفتاح الخاص لتخزينها (اختياري)

قد ترغب في تصدير شهادة الجذر الموقعة ذاتيًا وتخزينها بأمان. إذا لزم الأم ، يمكنك تثبيته لاحقًا على جهاز كمبيوتر آخر وإنشاء المزيد من شهادات العميل، أو تصدير ملف .cer آخر. لتصدير شهادة الجذر الموقعة ذاتيًا كـ .pfx، حدد شهادة الجذر واستخدم نفس الخطوات الموضحة في تصدير شهادة العميل .

إنشاء وتثبيت شهادات العميل

لا تقوم بتثبيت الشهادة الموقعة ذاتيًا مباشرةً على جهاز الكمبيوتر العميل. تحتاج إلى إنشاء شهادة العميل من الشهادة الموقعة ذاتيًا. ثم تقوم بتصدير شهادة العميل وتثبيتها على جهاز الكمبيوتر العميل. الخطوات التالية ليست خاصة بنموذج النشر. وهي صالحة لكل من Azure Resource Manager و الكلاسيكية.

إنشاء شهادة عميل

يجب أن يكون لدى كل جهاز كمبيوتر تابع للعميل يتصل بشبكة VNet باستخدام نقطة إلى الموقع شهادة عميل مثبتة. تقوم بإنشاء شهادة عميل من شهادة الجذر الموقعة ذاتيًا، ثم تصدير شهادة العميل وتثبيتها. إذا لم يتم تثبيت شهادة العميل، تفشل المصادقة.

توضح لك الخطوات التالية كيفية إنشاء شهادة العميل من شهادة جذر موقعة ذاتيًا. يمكنك إنشاء شهادات عميل متعددة من نفس شهادة الجذر. عند إنشاء شهادات العميل باستخدام الخطوات أدناه، يتم تثبيت شهادة العميل تلقائيًا على الكمبيوتر الذي استخدمته لإنشاء الشهادة. إذا كنت ترغب في تثبيت شهادة العميل على جهاز كمبيوتر عميل آخر، فيمكنك تصدير الشهادة.

  1. على نفس الكمبيوتر الذي استخدمته لإنشاء الشهادة الموقعة ذاتيًا، افتح موجه أوامر كمسؤول.

  2. قم بتعديل وتشغيل العينة لإنشاء شهادة العميل.

    • قم بتغيير "P2SRootCert "إلى اسم الجذر الموقع ذاتيًا الذي تقوم بإنشاء شهادة العميل منه. تأكد من أنك تستخدم اسم شهادة الجذر، وهي أيًا كانت قيمة 'CN=' التي حددتها عند إنشاء الجذر الموقع ذاتيًا.
    • قم بتغيير P 2 SChildCert إلى الاسم الذي تريد إنشاء شهادة عميل له.

    إذا قمت بتشغيل المثال التالي دون تعديله، فإن النتيجة هي شهادة عميل تسمى P 2 SChildcert في متجر الشهادات الشخصية خاصتك والتي تم إنشاؤها من شهادة root P 2 SRootCert.

    makecert.exe -n "CN=P2SChildCert" -pe -sky exchange -m 96 -ss My -in "P2SRootCert" -is my -a sha256

تصدير شهادة عميل

عند إنشاء شهادة عميل، يتم تثبيتها تلقائيا على الكمبيوتر الذي استخدمته لإنشائها. إذا كنت ترغب في تثبيت شهادة العميل على جهاز كمبيوتر عميل آخر، فأنت بحاجة إلى تصدير شهادة العميل التي قمت بإنشائها.

  1. لتصدير شهادة العميل، افتح إدارة شهادات المستخدم . تقع شهادات العميل التي قمت بإنشائها، افتراضياً، في "الشهادات - المستخدم الحالي\شخصي\الشهادات ". انقر بزر الماوس الأيمن فوق شهادة العميل التي تريد تصديرها، ثم انقر فوق جميع المهام ، ثم انقر فوق تصدير لفتح معالج تصدير الشهادات.

    Screenshot shows the Certificates window for the current user with Certificates selected and Export selected from All Tasks.

  2. في معالج تصدير الشهادة، انقر فوق التالي للمتابعة.

    Screenshot shows the Certificate Export Wizard Welcome message.

  3. حدد نعم، قم بتصدير المفتاح الخاص ، ثم انقر فوق التالي.

    export private key

  4. في صفحة تصدير تنسيق الملف ، اترك الإعدادات الافتراضية المحددة. تأكد من تحديد تضمين جميع الشهادات في مسار الشهادة إن أمكن. بالإضافة إلى ذلك، يقوم هذا الإعداد بتصدير معلومات الشهادة الأصلية المطلوبة لمصادقة العميل بنجاح. بدونه، تفشل مصادقة العميل لأن العميل ليس لديه شهادة الجذر الموثوق بها. ثم انقر فوق Next.

    export file format

  5. في صفحة الأمان، يجب عليك حماية المفتاح الخاص. إذا اخترت استخدام كلمة مرور، فتأكد من تسجيل أو تذكر كلمة المرور التي قمت بتعيينها لهذه الشهادة. ثم انقر فوق Next.

    Screenshot shows the Certificate Export Wizard Security page with the password entered and confirmed and Next highlighted.

  6. في ملف التصدير، تصفح إلى الموقع الذي تريد تصدير الشهادة إليه. بالنسبة إلى اسم الملف، قم بتسمية ملف الشهادة. ثم انقر فوق Next.

    file to export

  7. انقر فوق إنهاء لتصدير الشهادة.

    Screenshot shows the Certificate Export Wizard with the entered settings.

تثبيت شهادة العميل المصدرة

لتثبيت شهادة العميل، راجع تثبيت شهادة العميل .

الخطوات التالية

تابع تكوين "من نقطة إلى موقع".

للحصول على معلومات حول استكشاف أخطاء P 2 S وإصلاحها، استكشاف أخطاء اتصالات Azure من نقطة إلى موقع وإصلاحها.