Générer et exporter des certificats pour les connexions de point à site à l’aide de MakeCertGenerate and export certificates for Point-to-Site connections using MakeCert

Les connexions de point à site utilisent des certificats pour l’authentification.Point-to-Site connections use certificates to authenticate. Cet article vous explique comment créer un certificat racine auto-signé et générer des certificats clients à l’aide de MakeCert.This article shows you how to create a self-signed root certificate and generate client certificates using MakeCert. Pour des instructions sur d’autres certificats, voir Certificats - PowerShell ou Certificats - Linux.If you are looking for different certificate instructions, see Certificates - PowerShell or Certificates - Linux.

Bien que nous recommandions de suivre les étapes Windows 10 PowerShell pour créer vos certificats, nous fournissons ces instructions MakeCert en tant que méthode facultative.While we recommend using the Windows 10 PowerShell steps to create your certificates, we provide these MakeCert instructions as an optional method. Les certificats que vous générez à l’aide de ces deux méthodes peuvent être installés sur tout système d’exploitation client pris en charge.The certificates that you generate using either method can be installed on any supported client operating system. Toutefois, MakeCert présente la limitation suivante :However, MakeCert has the following limitation:

  • MakeCert est déconseillé.MakeCert is deprecated. Cela signifie que cet outil pourrait être supprimé à tout moment.This means that this tool could be removed at any point. Les certificats que vous avez déjà générés à l’aide de MakeCert ne sont pas affectés quand MakeCert n’est plus disponible.Any certificates that you already generated using MakeCert won't be affected when MakeCert is no longer available. MakeCert est utilisé uniquement pour générer les certificats, pas comme mécanisme de validation.MakeCert is only used to generate the certificates, not as a validating mechanism.

Créer un certificat racine auto-signéCreate a self-signed root certificate

Les étapes suivantes vous montrent comment créer un certificat auto-signé à l’aide de MakeCert.The following steps show you how to create a self-signed certificate using MakeCert. Ces étapes ne sont pas spécifiques au modèle de déploiement.These steps are not deployment-model specific. Elles sont valides pour le modèle Resource Manager et classique.They are valid for both Resource Manager and classic.

  1. Téléchargez et installez MakeCert.Download and install MakeCert.

  2. Après l’installation, vous pouvez généralement trouver l’utilitaire makecert.exe dans le chemin d’accès suivant : C:\Program Files (x86)\Windows Kits\10\bin<arch>.After installation, you can typically find the makecert.exe utility under this path: 'C:\Program Files (x86)\Windows Kits\10\bin<arch>'. Toutefois, il est possible qu’il ait été installé dans un autre emplacement.Although, it's possible that it was installed to another location. Ouvrez une invite de commandes avec des privilèges d’administrateur et accédez au dossier de l’utilitaire MakeCert.Open a command prompt as administrator and navigate to the location of the MakeCert utility. Vous pouvez utiliser l’exemple suivant, en l’ajustant pour l’emplacement approprié :You can use the following example, adjusting for the proper location:

    cd C:\Program Files (x86)\Windows Kits\10\bin\x64
    
  3. Créez et installez un certificat dans le magasin de certificats personnels sur votre ordinateur.Create and install a certificate in the Personal certificate store on your computer. L’exemple suivant crée un fichier .cer correspondant que vous chargez sur Azure au moment de la configuration P2S.The following example creates a corresponding .cer file that you upload to Azure when configuring P2S. Remplacez 'P2SRootCert' et 'P2SRootCert.cer' par le nom que vous voulez attribuer au certificat.Replace 'P2SRootCert' and 'P2SRootCert.cer' with the name that you want to use for the certificate. Le certificat se trouve dans votre dossier Certificates : Current User\Personal\Certificates.The certificate is located in your 'Certificates - Current User\Personal\Certificates'.

    makecert -sky exchange -r -n "CN=P2SRootCert" -pe -a sha256 -len 2048 -ss My
    

Exporter la clé publique (.cer)Export the public key (.cer)

Après avoir créé un certificat racine autosigné, exportez le fichier .cer de clé publique du certificat racine (et non celui de la clé privée).After creating a self-signed root certificate, export the root certificate public key .cer file (not the private key). Vous chargerez ce fichier plus tard sur Azure.You will later upload this file to Azure. Les étapes suivantes vous aideront à exporter le fichier .cer pour votre certificat racine auto-signé :The following steps help you export the .cer file for your self-signed root certificate:

  1. Pour obtenir un fichier .cer du certificat, ouvrez Gérer les certificats utilisateur.To obtain a .cer file from the certificate, open Manage user certificates. Localisez le certificat racine auto-signé, généralement dans « Certificates - Curent User\Personal\Certificates » et cliquez avec le bouton droit.Locate the self-signed root certificate, typically in 'Certificates - Current User\Personal\Certificates', and right-click. Cliquez sur Toutes les tâches, puis cliquez sur Exporter.Click All Tasks, and then click Export. Cette opération ouvre l’Assistant Exportation de certificat.This opens the Certificate Export Wizard. Si vous ne trouvez pas le certificat sous Current User\Personal\Certificates, il est possible que vous ayez ouvert par erreur « Certificats – Ordinateur local » et non « Certificats – Utilisateur actuel ».If you can't find the certificate under Current User\Personal\Certificates, you may have accidentally opened "Certificates - Local Computer", rather than "Certificates - Current User"). Si vous voulez ouvrir le Gestionnaire de certificats dans le champ d’application utilisateur actuel en utilisant PowerShell, tapez certmgr dans la fenêtre de la console.If you want to open Certificate Manager in current user scope using PowerShell, you type certmgr in the console window.

    Exporter

  2. Dans l’assistant, cliquez sur Suivant.In the Wizard, click Next.

    Exportation du certificat

  3. Sélectionnez Non, ne pas exporter la clé privée, puis cliquez sur Suivant.Select No, do not export the private key, and then click Next.

    N’exportez pas la clé privée

  4. Sur la page Format de fichier d’exportation, sélectionnez Codé à base 64 X.509 (.cer). , puis cliquez sur Suivant.On the Export File Format page, select Base-64 encoded X.509 (.CER)., and then click Next.

    Encodage en base 64

  5. Dans Fichier à exporter, cliquez sur Parcourir pour accéder à l’emplacement vers lequel vous souhaitez exporter le certificat.For File to Export, Browse to the location to which you want to export the certificate. Pour la zone Nom de fichier, nommez le fichier de certificat.For File name, name the certificate file. Cliquez ensuite sur Suivant.Then, click Next.

    ...

  6. Cliquez sur Terminer pour exporter le certificat.Click Finish to export the certificate.

    Finish

  7. Votre certificat est correctement exporté.Your certificate is successfully exported.

    Succès

  8. Le certificat exporté ressemble à ceci :The exported certificate looks similar to this:

    Exporté

  9. Si vous ouvrez le certificat exporté à l’aide du Bloc-notes, vous verrez quelque chose de similaire à cet exemple.If you open the exported certificate using Notepad, you see something similar to this example. La section en bleu contient les informations qui sont chargées sur Azure.The section in blue contains the information that is uploaded to Azure. Si vous ouvrez votre certificat avec le Bloc-notes et qu’il ne ressemble pas à celui de l’exemple, cela signifie généralement que vous ne l’avez pas exporté au format X.509 de base 64 (.cer).If you open your certificate with Notepad and it does not look similar to this, typically this means you did not export it using the Base-64 encoded X.509(.CER) format. De plus, si vous voulez utiliser un autre éditeur de texte, notez que certains éditeurs peuvent ajouter une mise en forme non souhaitée en arrière-plan.Additionally, if you want to use a different text editor, understand that some editors can introduce unintended formatting in the background. Cela peut créer des problèmes quand vous chargez le texte de ce certificat sur Azure.This can create problems when uploaded the text from this certificate to Azure.

    Ouverture du fichier avec le Bloc-notes

Le fichier exported.cer doit être chargé dans Azure.The exported.cer file must be uploaded to Azure. Pour obtenir des instructions, consultez Configurer une connexion de point à site.For instructions, see Configure a Point-to-Site connection. Pour ajouter un certificat racine approuvé, voir cette section de l’article.To add an additional trusted root certificate, see this section of the article.

Exporter le certificat auto-signé et la clé privée pour la stocker (facultatif)Export the self-signed certificate and private key to store it (optional)

Vous souhaiterez peut-être exporter le certificat racine auto-signé et le stocker en toute sécurité.You may want to export the self-signed root certificate and store it safely. Si besoin est, vous pouvez l’installer ultérieurement sur un autre ordinateur et générer davantage de certificats clients ou exporter un autre fichier .cer.If need be, you can later install it on another computer and generate more client certificates, or export another .cer file. Pour exporter le certificat racine auto-signé au format .pfx, sélectionnez le certificat racine et suivez les étapes décrites dans la section Exporter un certificat client.To export the self-signed root certificate as a .pfx, select the root certificate and use the same steps as described in Export a client certificate.

Créer et installer des certificats clientsCreate and install client certificates

Vous n’installez pas le certificat auto-signé directement sur l’ordinateur client.You don't install the self-signed certificate directly on the client computer. Vous devez générer un certificat client à partir du certificat auto-signé.You need to generate a client certificate from the self-signed certificate. Ensuite, vous exportez et installez le certificat client sur l’ordinateur client.You then export and install the client certificate to the client computer. Les étapes suivantes ne sont pas spécifiques au modèle de déploiement.The following steps are not deployment-model specific. Elles sont valides pour le modèle Resource Manager et classique.They are valid for both Resource Manager and classic.

Générer un certificat clientGenerate a client certificate

Chaque ordinateur client qui se connecte à un réseau virtuel avec une connexion de point à site doit avoir un certificat client installé.Each client computer that connects to a VNet using Point-to-Site must have a client certificate installed. Vous générez un certificat client à partir du certificat racine auto-signé, puis l’exportez et l’installez.You generate a client certificate from the self-signed root certificate, and then export and install the client certificate. Si le certificat client n’est pas installé, l’authentification échoue.If the client certificate is not installed, authentication fails.

Les étapes suivantes vous guident dans la génération d’un certificat client à partir d’un certificat racine auto-signé.The following steps walk you through generating a client certificate from a self-signed root certificate. Vous pouvez générer plusieurs certificats clients à partir d’un même certificat racine.You may generate multiple client certificates from the same root certificate. Lorsque vous générez des certificats clients suivant les étapes ci-dessous, le certificat client est automatiquement installé sur l’ordinateur que vous avez utilisé pour générer le certificat.When you generate client certificates using the steps below, the client certificate is automatically installed on the computer that you used to generate the certificate. Si vous souhaitez installer un certificat client sur un autre ordinateur client, vous pouvez exporter le certificat.If you want to install a client certificate on another client computer, you can export the certificate.

  1. Sur l’ordinateur que vous avez utilisé pour créer le certificat auto-signé, ouvrez une invite de commandes comme administrateur.On the same computer that you used to create the self-signed certificate, open a command prompt as administrator.

  2. Modifiez et exécutez l’exemple pour générer un certificat client.Modify and run the sample to generate a client certificate.

    • Remplacez "P2SRootCert" par le nom du certificat racine auto-signé à partir duquel vous générez le certificat client.Change "P2SRootCert" to the name of the self-signed root that you are generating the client certificate from. Veillez à utiliser le nom du certificat racine, c'est-à-dire la valeur « CN » que vous avez spécifiée lorsque vous avez créé le certificat racine auto-signé.Make sure you are using the name of the root certificate, which is whatever the 'CN=' value was that you specified when you created the self-signed root.
    • Remplacez P2SChildCert par le nom que vous souhaitez pour générer un certificat client.Change P2SChildCert to the name you want to generate a client certificate to be.

    Si vous exécutez l’exemple suivant en l’état, cette opération entraîne la création d’un certificat client nommé P2SChildcert dans votre magasin de certificats personnel généré à partir du certificat racine P2SChildcert.If you run the following example without modifying it, the result is a client certificate named P2SChildcert in your Personal certificate store that was generated from root certificate P2SRootCert.

    makecert.exe -n "CN=P2SChildCert" -pe -sky exchange -m 96 -ss My -in "P2SRootCert" -is my -a sha256
    

Exporter un certificat clientExport a client certificate

Lorsque vous générez un certificat client, il est automatiquement installé sur l’ordinateur que vous avez utilisé pour le générer.When you generate a client certificate, it's automatically installed on the computer that you used to generate it. Si vous souhaitez installer le certificat client sur un autre ordinateur client, il vous faut exporter le certificat client généré.If you want to install the client certificate on another client computer, you need to export the client certificate that you generated.

  1. Pour exporter un certificat client, ouvrez Gérer les certificats utilisateur.To export a client certificate, open Manage user certificates. Les certificats clients que vous avez générés se trouvent par défaut dans « Certificates - Current User\Personal\Certificates ».The client certificates that you generated are, by default, located in 'Certificates - Current User\Personal\Certificates'. Cliquez avec le bouton droit sur le certificat client à exporter, cliquez sur Toutes les tâches, puis cliquez sur Exporter pour ouvrir l’Assistant Exportation du certificat.Right-click the client certificate that you want to export, click all tasks, and then click Export to open the Certificate Export Wizard.

    Exporter

  2. Dans l’Assistant Exportation de certificat, cliquez sur Suivant pour continuer.In the Certificate Export Wizard, click Next to continue.

    Suivant

  3. Sélectionnez Oui, exporter la clé privée, puis cliquez sur Suivant.Select Yes, export the private key, and then click Next.

    Exporter la clé privée

  4. Dans la page Format de fichier d’exportation, laissez les valeurs par défaut sélectionnées.On the Export File Format page, leave the defaults selected. Assurez-vous que l’option Inclure tous les certificats dans le chemin d’accès de certification si possible est sélectionnée.Make sure that Include all certificates in the certification path if possible is selected. Ce paramètre exporte également les informations de certificat racine qui sont nécessaires à la réussite de l’authentification du client.This setting additionally exports the root certificate information that is required for successful client authentication. Sans cela, l’authentification du client échoue car le client n’a pas le certificat racine approuvé.Without it, client authentication fails because the client doesn't have the trusted root certificate. Cliquez ensuite sur Suivant.Then, click Next.

    Format de fichier d’exportation

  5. Dans la page Sécurité , vous devez protéger la clé privée.On the Security page, you must protect the private key. Si vous choisissez d’utiliser un mot de passe, veillez à enregistrer ou à mémoriser celui que vous définissez pour ce certificat.If you select to use a password, make sure to record or remember the password that you set for this certificate. Cliquez ensuite sur Suivant.Then, click Next.

    security

  6. Dans Fichier à exporter, cliquez sur Parcourir pour accéder à l’emplacement vers lequel vous souhaitez exporter le certificat.On the File to Export, Browse to the location to which you want to export the certificate. Pour la zone Nom de fichier, nommez le fichier de certificat.For File name, name the certificate file. Cliquez ensuite sur Suivant.Then, click Next.

    Fichier à exporter

  7. Cliquez sur Terminer pour exporter le certificat.Click Finish to export the certificate.

    Terminer

Installer un certificat client exportéInstall an exported client certificate

Pour installer un certificat client, consultez Installer un certificat client.To install a client certificate, see Install a client certificate.

Étapes suivantesNext steps

Poursuivez votre configuration point à site.Continue with your Point-to-Site configuration.

Pour plus d’informations sur la résolution des problèmes liés aux connexions de point à site, consultez l’article Résolution des problèmes de connexion de point à site Azure.For P2S troubleshooting information, Troubleshooting Azure point-to-site connections.