Generieren und Exportieren von Zertifikaten für Point-to-Site-Verbindungen mithilfe von MakeCert

  • Artikel

Punkt-zu-Standort-Verbindungen verwenden Zertifikate zur Authentifizierung. In diesem Artikel erfahren Sie, wie Sie mithilfe von MakeCert ein selbstsigniertes Stammzertifikat erstellen und Clientzertifikate generieren. Anleitungen für andere Zertifikate finden Sie unter Zertifikate – PowerShell oder Zertifikate – Linux.

Es wird empfohlen, Zertifikate unter Verwendung der Windows 10-PowerShell-Schritte (oder höhere Windows-Version) zu erstellen. Diese MakeCert-Anweisungen werden lediglich als optionale Methode bereitgestellt. Die Zertifikate können jedoch unabhängig von der verwendeten Generierungsmethode unter jedem unterstützten Clientbetriebssystem installiert werden. Für MakeCert gelten allerdings folgende Einschränkungen:

  • MakeCert ist veraltet. Das bedeutet, dass dieses Tool jederzeit entfernt werden kann. Auf Zertifikate, die Sie bereits mithilfe von MakeCert generiert haben, hat die Entfernung von MakeCert keine Auswirkungen. MakeCert wird nur zum Generieren der Zertifikate verwendet, nicht als Überprüfungsmechanismus.

Erstellen eines selbstsignierten Stammzertifikats

In den folgenden Schritten wird das Erstellen eines selbstsignierten Zertifikats mit MakeCert beschrieben. Diese Schritte gelten nicht spezifisch für ein Bereitstellungsmodell. Sie sind für das Ressourcen-Manager-Modell und das klassische Modell gültig.

  1. Laden Sie MakeCert herunter, und installieren Sie es.

  2. Nach der Installation befindet sich das Hilfsprogramm „makecert.exe“ üblicherweise im Verzeichnis „C:\Programme (x86)\Windows Kits\10\bin<arch>“. Es kann jedoch auch an einem anderen Speicherort installiert worden sein. Öffnen Sie eine Eingabeaufforderung als Administrator, und navigieren Sie zum Speicherort des Hilfsprogramms MakeCert. Sie können das folgende Beispiel verwenden (muss an den korrekten Speicherort angepasst werden):

    cd C:\Program Files (x86)\Windows Kits\10\bin\x64

  3. Erstellen und installieren Sie ein Zertifikat im Speicher für persönliche Zertifikate auf dem Computer. Das folgende Beispiel erstellt eine entsprechende CER -Datei, die Sie beim Konfigurieren der Punkt-zu-Standort-Verbindung in Azure hochladen. Ersetzen Sie „P2SRootCert“ und „P2SRootCert.cer“ durch den Namen, den Sie für das Zertifikat verwenden möchten. Das Zertifikat befindet sich unter „Zertifikate - Aktueller Benutzer\Eigene Zertifikate\Zertifikate“.

    makecert -sky exchange -r -n "CN=P2SRootCert" -pe -a sha256 -len 2048 -ss My

Exportieren des öffentlichen Schlüssels (CER-Datei)

Nachdem Sie ein selbstsigniertes Stammzertifikat erstellt haben, exportieren Sie die CER-Datei des Stammzertifikats (nicht den privaten Schlüssel). Später laden Sie die in der Datei enthaltenen erforderlichen Zertifikatdaten in Azure hoch. Mit den folgenden Schritten können Sie die CER-Datei für Ihr selbstsigniertes Stammzertifikat exportieren und die erforderlichen Zertifikatdaten abrufen.

  1. Um die CER-Datei des Zertifikats abzurufen, öffnen Sie Benutzerzertifikate verwalten.

    Suchen Sie das selbstsignierte Stammzertifikat (normalerweise befindet es sich unter „Zertifikate – Aktueller Benutzer\Eigene Zertifikate\Zertifikate“), und klicken Sie mit der rechten Maustaste darauf. Klicken Sie auf Alle Aufgaben>Exportieren. Dadurch wird der Zertifikatexport-Assistentgeöffnet.

    Wenn Sie das Zertifikat unter „Aktueller Benutzer\Eigene Zertifikate\Zertifikate“ nicht finden, haben Sie unter Umständen versehentlich „Zertifikate – Lokaler Benutzer“ anstelle von „Zertifikate – Aktueller Benutzer“ geöffnet.

    Screenshot: Fenster „Zertifikate“ mit ausgewählten Optionen „Alle Aufgaben“ und „Exportieren“

  2. Klicken Sie im Assistenten auf Weiter.

  3. Wählen Sie Nein, privaten Schlüssel nicht exportieren aus, und klicken Sie dann auf Weiter.

    Screenshot: Option „Nein, privaten Schlüssel nicht exportieren“

  4. Wählen Sie auf der Seite Dateiformat für den Export die Option Base-64-codiert X.509 (.CER) aus, und klicken Sie dann auf Weiter.

    Screenshot: Export mit Base64-Verschlüsselung

  5. Wählen Sie unter Zu exportierende Datei die Option Durchsuchen aus, um zu dem Speicherort zu wechseln, an den das Zertifikat exportiert werden soll. Geben Sie unter Dateinameeinen Namen für die Zertifikatdatei ein. Klicken Sie auf Weiter.

  6. Klicken Sie auf Fertig stellen , um das Zertifikat zu exportieren.

  7. Sie erhalten eine Bestätigung, dass der Export erfolgreich war.

  8. Wechseln Sie zu dem Speicherort, an den Sie das Zertifikat exportiert haben, und öffnen Sie es mit einem Text-Editor (z. B. in Editor). Wenn Sie das Zertifikat im erforderlichen Format „Base-64-codiert X.509 (.CER)“ exportiert haben, sehen Sie einen Text ähnlich dem folgenden Beispiel. Der in Blau hervorgehobene Abschnitt enthält die Informationen, die Sie kopieren und in Azure hochladen.

    Screenshot: In Editor geöffnete CER-Datei mit hervorgehobenen Zertifikatdaten

    Wenn Ihre Datei dem Beispiel nicht ähnelt, bedeutet dies in der Regel, dass Sie die Datei nicht mit dem Format „Base-64-codiert X.509 (.CER)“ exportiert haben. Wenn Sie darüber hinaus einen anderen Text-Editor als Editor verwenden, sollten Sie beachten, dass einige Editoren unbeabsichtigte Formatierung im Hintergrund einführen können. Dies kann Probleme beim Hochladen des Texts aus diesem Zertifikat in Azure verursachen.

Die exportierte CER-Datei muss in Azure hochgeladen werden. Entsprechende Anweisungen finden Sie unter Konfigurieren einer Punkt-zu-Standort-Verbindung. Informationen zum Hinzufügen eines zusätzlichen vertrauenswürdigen Stammzertifikats finden Sie in diesem Abschnitt des Artikels.

Exportieren des selbstsignierten Zertifikats und des privaten Schlüssels zum Speichern (optional)

Möglicherweise möchten Sie das selbstsignierte Stammzertifikat exportieren und sicher speichern. Bei Bedarf können Sie sie später auf einem anderen Computer installieren und weitere Clientzertifikate generieren oder eine andere CER-Datei exportieren. Um das selbstsignierte Stammzertifikat als PFX-Datei zu exportieren, wählen Sie das Stammzertifikat aus, und verwenden Sie die gleichen Schritte wie zum Exportieren eines Clientzertifikats.

Erstellen und Installieren von Clientzertifikaten

Das selbstsignierte Zertifikat wird nicht direkt auf dem Clientcomputer installiert. Sie müssen aus einem selbstsignierten Zertifikat ein Clientzertifikat generieren. Dieses Clientzertifikat exportieren und installieren Sie auf den Clientcomputern. Die folgenden Schritte gelten nicht für ein spezifisches Bereitstellungsmodell. Sie sind für das Ressourcen-Manager-Modell und das klassische Modell gültig.

Generieren eines Clientzertifikats

Auf jedem Clientcomputer, der per Punkt-zu-Standort eine Verbindung mit einem VNet herstellt, muss ein Clientzertifikat installiert sein. Sie generieren ein Clientzertifikat aus dem selbstsignierten Stammzertifikat und exportieren und installieren es anschließend. Wenn das Clientzertifikat nicht installiert ist, tritt bei der Authentifizierung ein Fehler auf.

Die folgenden Schritte führen Sie durch das Generieren eines Clientzertifikats aus einem selbstsignierten Stammzertifikat. Sie können mehrere Clientzertifikate aus demselben Stammzertifikat generieren. Wenn Sie mithilfe der folgenden Schritte Clientzertifikate generieren, wird das Clientzertifikat automatisch auf dem Computer installiert, mit dem Sie das Zertifikat generiert haben. Falls Sie ein Clientzertifikat auf einem anderen Clientcomputer installieren möchten, können Sie es exportieren.

  1. Öffnen Sie auf dem Computer, den Sie zum Erstellen des selbstsignierten Zertifikats verwendet haben, eine Eingabeaufforderung als Administrator.

  2. Ändern Sie das Beispiel, und führen Sie es aus, um ein Clientzertifikat zu generieren.

    • Ändern Sie P2SRootCert in den Namen des selbstsignierten Stammzertifikats, anhand dessen Sie das Clientzertifikat generieren. Stellen Sie sicher, dass Sie den Namen des Stammzertifikats verwenden. Dieses entspricht Ihrer Angabe für den Wert „CN=“ beim Erstellen des selbstsignierten Stammzertifikats.
    • Ändern Sie P2SChildCert in den Namen, den das Clientzertifikat bekommen soll, das Sie generieren möchten.

    Wenn Sie das folgende Beispiel ausführen, ohne es zu ändern, wird in Ihrem persönlichen Zertifikatspeicher ein Clientzertifikat mit dem Namen „P2SChildcert“ anhand des Stammzertifikats „P2SRootCert“ generiert.

    makecert.exe -n "CN=P2SChildCert" -pe -sky exchange -m 96 -ss My -in "P2SRootCert" -is my -a sha256

Exportieren eines Clientzertifikats

Wenn Sie ein Clientzertifikat generieren, wird es automatisch auf dem Computer installiert, mit dem Sie es generiert haben. Wenn Sie das Clientzertifikat auf einem anderen Clientcomputer installieren möchten, müssen Sie das Clientzertifikat zunächst exportieren.

  1. Wählen Sie zum Exportieren eines Clientzertifikats die Option Benutzerzertifikate verwalten aus. Die Clientzertifikate, die Sie generiert haben, befinden sich standardmäßig in „Certificates - Current User\Personal\Certificates“. Klicken Sie mit der rechten Maustaste auf das Clientzertifikat, das Sie exportieren möchten, und klicken Sie dann auf Alle Aufgaben und anschließend auf Exportieren, um den Zertifikatexport-Assistenten zu öffnen.

    Screenshot: Fenster „Zertifikate“ mit ausgewählten Optionen „Alle Aufgaben“ und „Exportieren“

  2. Klicken Sie im Zertifikatexport-Assistenten auf Weiter, um den Vorgang fortzusetzen.

  3. Wählen Sie Ja, privaten Schlüssel exportieren aus, und klicken Sie dann auf Weiter.

    Screenshot: Ausgewählte Option „Ja, privaten Schlüssel exportieren“

  4. Übernehmen Sie auf der Seite Format der zu exportierenden Datei die Standardwerte. Stellen Sie sicher, dass die Option Wenn möglich, alle Zertifikate im Zertifizierungspfad einbeziehen aktiviert ist. Mit dieser Einstellung werden auch die Stammzertifikatinformationen exportiert, die für eine erfolgreiche Clientauthentifizierung erforderlich sind. Andernfalls tritt bei der Clientauthentifizierung ein Fehler auf, da der Client nicht über das vertrauenswürdige Stammzertifikat verfügt. Klicken Sie auf Weiter.

    Screenshot: Seite zur Auswahl des Formats der Exportdatei

  5. Auf der Seite Sicherheit müssen Sie den privaten Schlüssel schützen. Wenn Sie ein Kennwort verwenden möchten, müssen Sie sich das für dieses Zertifikat festgelegte Kennwort unbedingt merken oder notieren. Klicken Sie auf Weiter.

    Screenshot: Eingabe und Bestätigung des Kennworts

  6. Wählen Sie unter Zu exportierende Datei die Option Durchsuchen aus, um zu dem Speicherort zu wechseln, an den das Zertifikat exportiert werden soll. Geben Sie unter Dateinameeinen Namen für die Zertifikatdatei ein. Klicken Sie auf Weiter.

  7. Klicken Sie auf Fertig stellen , um das Zertifikat zu exportieren.

Installieren eines exportierten Clientzertifikats

Informationen zum Installieren eines Clientzertifikats finden Sie unter Installieren eines Clientzertifikats für Point-to-Site-Verbindungen mit Azure-Zertifikatauthentifizierung.

Nächste Schritte

Setzen Sie die Punkt-zu-Standort-Konfiguration fort.

Informationen zur P2S-Problembehandlung finden Sie unter Problembehandlung: Probleme mit Azure P2S-Verbindungen (Point-to-Site).