Generare ed esportare certificati per connessioni da punto a sito usando MakeCert

Le connessioni da punto a sito usano certificati per l'autenticazione. Questo articolo illustra come creare un certificato radice autofirmato e generare i certificati client usando MakeCert. Per le procedure di configurazione da punto a sito, ad esempio come caricare i certificati radice, selezionare uno degli articoli dell'elenco seguente:

Anche se è consigliabile usare la procedura con PowerShell per Windows 10 per creare i certificati, queste istruzioni relative a MakeCert vengono fornite come metodo facoltativo. I certificati generati con uno dei due metodi possono essere installati in qualsiasi sistema operativo client supportato. MakeCert presenta tuttavia la limitazione seguente:

  • MakeCert è deprecato. Questo strumento potrebbe quindi essere rimosso in qualsiasi momento. I certificati già generati con MakeCert non saranno interessati quando MakeCert non sarà più disponibile. MakeCert viene usato solo per generare i certificati, non come meccanismo di convalida.

Creare un certificato radice autofirmato

La procedura seguente illustra come creare un certificato autofirmato usando MakeCert. Questi passaggi non sono specifici di un modello di distribuzione. Sono validi sia per Gestione risorse che per il modello classico.

  1. Scaricare e installare MakeCert.
  2. Dopo l'installazione, in genere è possibile trovare l'utilità makecert.exe nel percorso seguente: "C:\Programmi (x86)\Windows Kits\10\bin<arch>". È tuttavia possibile che sia stato installato in un altro percorso. Aprire un prompt dei comandi come amministratore e passare al percorso dell'utilità MakeCert. È possibile usare l'esempio seguente, apportando le modifiche necessarie per il percorso corretto:

    cd C:\Program Files (x86)\Windows Kits\10\bin\x64
    
  3. Creare e installare quindi un certificato nell'archivio Certificati personali nel computer in uso. Nell'esempio seguente viene creato un file .cer corrispondente da caricare in Azure quando si configura una connessione da punto a sito. Sostituire 'P2SRootCert' e 'P2SRootCert.cer' con il nome da assegnare al certificato. Il certificato si trova in 'Certificati -Utente corrente\Personale\Certificati'.

    makecert -sky exchange -r -n "CN=P2SRootCert" -pe -a sha256 -len 2048 -ss My
    

Esportare la chiave pubblica (.cer)

Le connessioni da punto a sito richiedono il caricamento in Azure del file con estensione cer della chiave pubblica del certificato, non della chiave privata. La procedura seguente consente di esportare il file con estensione .cer per il certificato radice autofirmato:

  1. Per ottenere un file con estensione cer dal certificato, aprire Gestire i certificati utente. Individuare il certificato radice autofirmato, in genere in "Certificati - Utente corrente\Personale\Certificati" e fare clic con il pulsante destro del mouse. Fare clic su Tutte le attività e quindi su Esporta. Si avvia la procedura di Esportazione guidata certificati.
  2. Nella procedura guidata fare clic su Avanti. Selezionare No, non esportare la chiave privata e quindi fare clic su Avanti.
  3. Nella pagina Formato file di esportazione selezionare Codificato Base 64 X.509 (.CER) e quindi fare clic su Avanti.
  4. In File da esportare fare clic su Sfoglia e passare alla posizione in cui si vuole esportare il certificato. Per Nome file, assegnare un nome al file del certificato. Quindi fare clic su Next.
  5. Fare clic su Fine per esportare il certificato. Verrà visualizzato il messaggio Esportazione completata. Fare clic su OK per chiudere la procedura guidata.

Il file exported.cer deve essere caricato in Azure. Per istruzioni, vedere Configurare una connessione da punto a sito. Per aggiungere un certificato radice attendibile aggiuntivo, vedere questa sezione dell'articolo.

Esportare il certificato autofirmato e la chiave privata per archiviarli (facoltativo)

Si consiglia di esportare il certificato radice autofirmato e archiviarlo in un percorso sicuro. Se necessario, in seguito è possibile installarlo su un altro computer e generare altri certificati client oppure esportare un altro file.cer. Per esportare il certificato radice autofirmato come file .pfx, selezionare il certificato radice ed eseguire la stessa procedura descritta in Esportazione di un certificato client.

Creare e installare i certificati client

Il certificato autofirmato non deve essere installato direttamente nel computer client. È necessario generare un certificato client da un certificato autofirmato. Quindi, esportare e installare il certificato client nel computer client. I seguenti passaggi non si applicano specificatamente a un modello di distribuzione. Sono validi sia per Gestione risorse che per il modello classico.

Generazione di un certificato client

Ogni computer client che si connette a una rete virtuale usando la soluzione Da punto a sito deve avere un certificato client installato. È possibile generare un certificato client da un certificato radice autofirmato, quindi esportare e installare il certificato client. Se il certificato client non è installato, l'autenticazione ha esito negativo.

I passaggi seguenti illustrano come generare un certificato client da un certificato radice autofirmato. È possibile generare più certificati client dallo stesso certificato radice. Quando si generano certificati client con la procedura seguente, il certificato client viene installato automaticamente nel computer che è stato usato per generare il certificato. Se si vuole installare un certificato client in un altro computer client, è possibile esportare il certificato.

  1. Nello stesso computer usato per creare il certificato autofirmato aprire un prompt dei comandi come amministratore.
  2. Modificare ed eseguire l'esempio per generare un certificato client.

    • Modificare "P2SRootCert" nel nome della radice autofirmata dalla quale si intende generare il certificato client. Assicurarsi di usare il nome del certificato radice, ovvero il valore "CN =" che è stato specificato al momento della creazione della radice autofirmata.
    • Modificare P2SChildCert nel nome che si desidera assegnare al certificato client generato.

    Se si esegue l'esempio riportato di seguito senza modificarlo, si otterrà un certificato client denominato P2SChildcert nell'archivio dei certificati personale generato dal certificato radice P2SRootCert.

    makecert.exe -n "CN=P2SChildCert" -pe -sky exchange -m 96 -ss My -in "P2SRootCert" -is my -a sha256
    

Esportare un certificato client

Quando viene generato un certificato client, viene automaticamente installato nel computer che è stato usato per generarlo. Se si vuole installare un certificato client in un altro computer client, è necessario esportare il certificato client generato.

  1. Per esportare un certificato client, aprire Gestire i certificati utente. Per impostazione predefinita, i certificati client generati si trovano in "Certificati-Utente corrente\Personale\Certificati". Fare clic con il pulsante destro del mouse sul certificato client da esportare, scegliere Tutte le attività, quindi fare clic su Esporta per aprire Esportazione guidata certificati.
  2. Nella procedura guidata, fare clic su Avanti, selezionare Sì, esporta la chiave privata e quindi fare clic su Avanti.
  3. Nella pagina Formato file di esportazione lasciare selezionate le impostazioni predefinite. Verificare che l'opzione Se possibile, includi tutti i certificati nel percorso certificazione sia selezionata. Selezionando questa opzione si esportano anche le informazioni del certificato radice che sono necessarie per la corretta autenticazione. Quindi fare clic su Next.
  4. Nella pagina Sicurezza è necessario proteggere la chiave privata. Se si sceglie di usare una password, assicurarsi di registrare o ricordare quella impostata per questo certificato. Quindi fare clic su Next.
  5. In File da esportare fare clic su Sfoglia e passare alla posizione in cui si vuole esportare il certificato. Per Nome file, assegnare un nome al file del certificato. Quindi fare clic su Next.
  6. Fare clic su Fine per esportare il certificato.

Installare un certificato client esportato

Se si vuole creare una connessione da punto a sito da un computer client diverso da quello usato per generare i certificati client, è necessario installare un certificato client. Quando si installa un certificato client, è necessaria la password che è stata creata durante l'esportazione del certificato client.

  1. Individuare e copiare il file .pfx nel computer client. Nel computer client, fare doppio clic sul file .pfx per installarlo. Lasciare l'opzione Percorso archivio impostata su Utente corrente e quindi fare clic su Avanti.
  2. Nella pagina File da importare non apportare alcuna modifica. Fare clic su Avanti.
  3. Nella pagina Protezione della chiave privata immettere la password per il certificato o verificare che l'entità di sicurezza sia corretta e quindi fare clic su Avanti.
  4. Nella pagina Archivio certificati lasciare la posizione come predefinita e quindi fare clic su Avanti.
  5. Fare clic su Fine. In Avviso di sicurezza per l'installazione del certificato fare clic su . È possibile fare clic su "Sì" perché il certificato è stato generato. Il certificato è stato importato correttamente.

Passaggi successivi

Continuare con la configurazione da punto a sito.