Export řetězu certifikátů důvěryhodné certifikační autority klienta pro použití s ověřováním klientů

  • Článek

Aby bylo možné nakonfigurovat vzájemné ověřování s klientem nebo ověřováním klientů, služba Application Gateway vyžaduje, aby se do brány nahrál řetěz certifikátů důvěryhodné certifikační autority klienta. Pokud máte více řetězů certifikátů, musíte řetězy vytvořit samostatně a nahrát je jako různé soubory ve službě Application Gateway. V tomto článku se dozvíte, jak exportovat řetěz certifikátů důvěryhodné klientské certifikační autority, který můžete použít v konfiguraci ověřování klienta ve vaší bráně.

Předpoklady

K vygenerování řetězu certifikátů důvěryhodné certifikační autority klienta se vyžaduje existující klientský certifikát.

Export certifikátu důvěryhodné certifikační autority klienta

K povolení ověřování klientů ve službě Application Gateway se vyžaduje certifikát důvěryhodné klientské certifikační autority. V tomto příkladu použijeme pro klientský certifikát certifikát TLS/SSL, exportujeme jeho veřejný klíč a pak exportujeme certifikáty certifikační autority z veřejného klíče, abychom získali certifikáty důvěryhodné klientské certifikační autority. Pak zřetězení všech certifikátů certifikační autority klienta do jednoho řetězu certifikátů důvěryhodné certifikační autority klienta.

Následující kroky vám pomůžou exportovat soubor .pem nebo .cer pro certifikát:

Export veřejného certifikátu

  1. Chcete-li získat soubor .cer z certifikátu, otevřete správu uživatelských certifikátů. Vyhledejte certifikát, obvykle v části Certifikáty – Aktuální uživatel\Osobní\Certifikáty a klikněte pravým tlačítkem myši. Klikněte na Všechny úlohy a potom klikněte na Exportovat. Otevře se Průvodce exportem certifikátu. Pokud nemůžete najít certifikát v části Aktuální uživatel\Osobní\Certifikáty, pravděpodobně jste nechtěně otevřeli Certifikáty – místní počítač, ne Certifikáty – Aktuální uživatel. Pokud chcete otevřít Správce certifikátů v aktuálním oboru uživatele pomocí PowerShellu, zadejte do okna konzoly nástroj certmgr .

    Screenshot shows the Certificate Manager with Certificates selected and a contextual menu with All tasks, then Export selected.

  2. V průvodci klikněte na Další.

    Screenshot of export certificate.

  3. Vyberte Ne, neexportovat privátní klíč a klikněte na Další.

    Screenshot of do not export the private key.

  4. Na stránce Formát souboru pro export vyberte X.509, kódování Base-64 (CER) a klikněte na Další.

    Screenshot of Base-64 encoded.

  5. Chcete-li soubor exportovat, přejděte do umístění, do kterého chcete certifikát exportovat. V části Název souboru zadejte název souboru. Pak klikněte na Další.

    Screenshot shows the Certificate Export Wizard where you specify a file to export.

  6. Certifikát vyexportujte kliknutím na Dokončit.

    Screenshot shows the Certificate Export Wizard after you complete the file export.

  7. Certifikát se úspěšně exportuje.

    Screenshot shows the Certificate Export Wizard with a success message.

    Exportovaný certifikát vypadá nějak takto:

    Screenshot shows a certificate symbol.

Export certifikátů certifikační autority z veřejného certifikátu

Teď, když jste exportovali veřejný certifikát, teď exportujete certifikáty certifikační autority z veřejného certifikátu. Pokud máte jenom kořenovou certifikační autoritu, budete ho muset exportovat jenom. Pokud ale máte 1+ přechodné certifikační autority, musíte také exportovat každou z těchto certifikačních autorit.

  1. Po exportu veřejného klíče otevřete soubor.

    Screenshot of Open authorization certificate.

    Screenshot of about certificate.

  2. Vyberte kartu Cesta k certifikaci a zobrazte certifikační autoritu.

    Screenshot of certificate details.

  3. Vyberte kořenový certifikát a klikněte na Zobrazit certifikát.

    Screenshot of certificate path.

    Měly by se zobrazit podrobnosti o kořenovém certifikátu.

    Screenshot of certificate info.

  4. Vyberte kartu Podrobnosti a klikněte na Kopírovat do souboru...

    Screenshot of copy root certificate.

  5. V tuto chvíli jste extrahovali podrobnosti o kořenovém certifikátu certifikační autority z veřejného certifikátu. Zobrazí se Průvodce exportem certifikátu. Podle kroků 2 až 7 z předchozí části (export veřejného certifikátu) dokončete Průvodce exportem certifikátu.

  6. Teď zopakujte kroky 2 až 6 z této aktuální části (export certifikátů certifikační autority z veřejného certifikátu) pro všechny zprostředkující certifikační autority a exportujte všechny zprostředkující certifikáty certifikační autority v X.509 s kódováním Base-64.509(. FORMÁT CER.

    Screenshot of intermediate certificate.

    Kroky 2–6 z této části byste například zopakovaly zprostředkující certifikační autority MSIT CAZ2 a extrahovali ho jako svůj vlastní certifikát.

Zřetězení všech certifikátů certifikační autority do jednoho souboru

  1. Spusťte následující příkaz se všemi certifikáty certifikační autority, které jste extrahovali dříve.

    Windows:

    type intermediateCA.cer rootCA.cer > combined.cer

    Linux:

    cat intermediateCA.cer rootCA.cer >> combined.cer

    Výsledný kombinovaný certifikát by měl vypadat přibližně takto:

    Screenshot of combined certificate.

Další kroky

Teď máte řetěz certifikátů důvěryhodné certifikační autority klienta. Můžete ho přidat do konfigurace ověřování klienta ve službě Application Gateway, abyste umožnili vzájemné ověřování s vaší bránou. Viz konfigurace vzájemného ověřování pomocí služby Application Gateway s portálem nebo konfigurace vzájemného ověřování pomocí služby Application Gateway pomocí PowerShellu.