Generare ed esportare certificati per connessioni da punto a sito usando MakeCertGenerate and export certificates for Point-to-Site connections using MakeCert

Le connessioni da punto a sito usano certificati per l'autenticazione.Point-to-Site connections use certificates to authenticate. Questo articolo illustra come creare un certificato radice autofirmato e generare i certificati client usando MakeCert.This article shows you how to create a self-signed root certificate and generate client certificates using MakeCert. Per le procedure di configurazione da punto a sito, ad esempio come caricare i certificati radice, selezionare uno degli articoli dell'elenco seguente:If you are looking for Point-to-Site configuration steps, such as how to upload root certificates, select one of the 'Configure Point-to-Site' articles from the following list:

Anche se è consigliabile usare la procedura con PowerShell per Windows 10 per creare i certificati, queste istruzioni relative a MakeCert vengono fornite come metodo facoltativo.While we recommend using the Windows 10 PowerShell steps to create your certificates, we provide these MakeCert instructions as an optional method. I certificati generati con uno dei due metodi possono essere installati in qualsiasi sistema operativo client supportato.The certificates that you generate using either method can be installed on any supported client operating system. MakeCert presenta tuttavia la limitazione seguente:However, MakeCert has the following limitation:

  • MakeCert è deprecato.MakeCert is deprecated. Questo strumento potrebbe quindi essere rimosso in qualsiasi momento.This means that this tool could be removed at any point. I certificati già generati con MakeCert non saranno interessati quando MakeCert non sarà più disponibile.Any certificates that you already generated using MakeCert won't be affected when MakeCert is no longer available. MakeCert viene usato solo per generare i certificati, non come meccanismo di convalida.MakeCert is only used to generate the certificates, not as a validating mechanism.

Creare un certificato radice autofirmatoCreate a self-signed root certificate

La procedura seguente illustra come creare un certificato autofirmato usando MakeCert.The following steps show you how to create a self-signed certificate using MakeCert. Questi passaggi non sono specifici di un modello di distribuzione.These steps are not deployment-model specific. Sono validi sia per Gestione risorse che per il modello classico.They are valid for both Resource Manager and classic.

  1. Scaricare e installare MakeCert.Download and install MakeCert.
  2. Dopo l'installazione, in genere è possibile trovare l'utilità makecert.exe nel percorso seguente: "C:\Programmi (x86)\Windows Kits\10\bin<arch>".After installation, you can typically find the makecert.exe utility under this path: 'C:\Program Files (x86)\Windows Kits\10\bin<arch>'. È tuttavia possibile che sia stato installato in un altro percorso.Although, it's possible that it was installed to another location. Aprire un prompt dei comandi come amministratore e passare al percorso dell'utilità MakeCert.Open a command prompt as administrator and navigate to the location of the MakeCert utility. È possibile usare l'esempio seguente, apportando le modifiche necessarie per il percorso corretto:You can use the following example, adjusting for the proper location:

    cd C:\Program Files (x86)\Windows Kits\10\bin\x64
    
  3. Creare e installare quindi un certificato nell'archivio Certificati personali nel computer in uso.Create and install a certificate in the Personal certificate store on your computer. Nell'esempio seguente viene creato un file .cer corrispondente da caricare in Azure quando si configura una connessione da punto a sito.The following example creates a corresponding .cer file that you upload to Azure when configuring P2S. Sostituire 'P2SRootCert' e 'P2SRootCert.cer' con il nome da assegnare al certificato.Replace 'P2SRootCert' and 'P2SRootCert.cer' with the name that you want to use for the certificate. Il certificato si trova in 'Certificati -Utente corrente\Personale\Certificati'.The certificate is located in your 'Certificates - Current User\Personal\Certificates'.

    makecert -sky exchange -r -n "CN=P2SRootCert" -pe -a sha256 -len 2048 -ss My
    

Esportare la chiave pubblica (.cer)Export the public key (.cer)

Le connessioni da punto a sito richiedono il caricamento in Azure del file con estensione cer della chiave pubblica del certificato, non della chiave privata.Point-to-Site connections require the certificate public key .cer file (not the private key) to be uploaded to Azure. La procedura seguente consente di esportare il file con estensione .cer per il certificato radice autofirmato:The following steps help you export the .cer file for your self-signed root certificate:

  1. Per ottenere un file con estensione cer dal certificato, aprire Gestire i certificati utente.To obtain a .cer file from the certificate, open Manage user certificates. Individuare il certificato radice autofirmato, in genere in "Certificati - Utente corrente\Personale\Certificati" e fare clic con il pulsante destro del mouse.Locate the self-signed root certificate, typically in 'Certificates - Current User\Personal\Certificates', and right-click. Fare clic su Tutte le attività e quindi su Esporta.Click All Tasks, and then click Export. Si avvia la procedura di Esportazione guidata certificati.This opens the Certificate Export Wizard.
  2. Nella procedura guidata fare clic su Avanti.In the Wizard, click Next. Selezionare No, non esportare la chiave privata e quindi fare clic su Avanti.Select No, do not export the private key, and then click Next.
  3. Nella pagina Formato file di esportazione selezionare Codificato Base 64 X.509 (.CER) e quindi fare clic su Avanti.On the Export File Format page, select Base-64 encoded X.509 (.CER)., and then click Next.
  4. In File da esportare fare clic su Sfoglia e passare alla posizione in cui si vuole esportare il certificato.On the File to Export, Browse to the location to which you want to export the certificate. Per Nome file, assegnare un nome al file del certificato.For File name, name the certificate file. Quindi fare clic su Next.Then, click Next.
  5. Fare clic su Fine per esportare il certificato.Click Finish to export the certificate. Verrà visualizzato il messaggio Esportazione completata.You see The export was successful. Fare clic su OK per chiudere la procedura guidata.Click OK to close the wizard.

Il file exported.cer deve essere caricato in Azure.The exported.cer file must be uploaded to Azure. Per istruzioni, vedere Configurare una connessione da punto a sito.For instructions, see Configure a Point-to-Site connection. Per aggiungere un certificato radice attendibile aggiuntivo, vedere questa sezione dell'articolo.To add an additional trusted root certificate, see this section of the article.

Esportare il certificato autofirmato e la chiave privata per archiviarli (facoltativo)Export the self-signed certificate and private key to store it (optional)

Si consiglia di esportare il certificato radice autofirmato e archiviarlo in un percorso sicuro.You may want to export the self-signed root certificate and store it safely. Se necessario, in seguito è possibile installarlo su un altro computer e generare altri certificati client oppure esportare un altro file.cer.If need be, you can later install it on another computer and generate more client certificates, or export another .cer file. Per esportare il certificato radice autofirmato come file .pfx, selezionare il certificato radice ed eseguire la stessa procedura descritta in Esportazione di un certificato client.To export the self-signed root certificate as a .pfx, select the root certificate and use the same steps as described in Export a client certificate.

Creare e installare i certificati clientCreate and install client certificates

Il certificato autofirmato non deve essere installato direttamente nel computer client.You don't install the self-signed certificate directly on the client computer. È necessario generare un certificato client da un certificato autofirmato.You need to generate a client certificate from the self-signed certificate. Quindi, esportare e installare il certificato client nel computer client.You then export and install the client certificate to the client computer. I seguenti passaggi non si applicano specificatamente a un modello di distribuzione.The following steps are not deployment-model specific. Sono validi sia per Gestione risorse che per il modello classico.They are valid for both Resource Manager and classic.

Generazione di un certificato clientGenerate a client certificate

Ogni computer client che si connette a una rete virtuale usando la soluzione Da punto a sito deve avere un certificato client installato.Each client computer that connects to a VNet using Point-to-Site must have a client certificate installed. È possibile generare un certificato client da un certificato radice autofirmato, quindi esportare e installare il certificato client.You generate a client certificate from the self-signed root certificate, and then export and install the client certificate. Se il certificato client non è installato, l'autenticazione ha esito negativo.If the client certificate is not installed, authentication fails.

I passaggi seguenti illustrano come generare un certificato client da un certificato radice autofirmato.The following steps walk you through generating a client certificate from a self-signed root certificate. È possibile generare più certificati client dallo stesso certificato radice.You may generate multiple client certificates from the same root certificate. Quando si generano certificati client con la procedura seguente, il certificato client viene installato automaticamente nel computer che è stato usato per generare il certificato.When you generate client certificates using the steps below, the client certificate is automatically installed on the computer that you used to generate the certificate. Se si vuole installare un certificato client in un altro computer client, è possibile esportare il certificato.If you want to install a client certificate on another client computer, you can export the certificate.

  1. Nello stesso computer usato per creare il certificato autofirmato aprire un prompt dei comandi come amministratore.On the same computer that you used to create the self-signed certificate, open a command prompt as administrator.
  2. Modificare ed eseguire l'esempio per generare un certificato client.Modify and run the sample to generate a client certificate.

    • Modificare "P2SRootCert" nel nome della radice autofirmata dalla quale si intende generare il certificato client.Change "P2SRootCert" to the name of the self-signed root that you are generating the client certificate from. Assicurarsi di usare il nome del certificato radice, ovvero il valore "CN =" che è stato specificato al momento della creazione della radice autofirmata.Make sure you are using the name of the root certificate, which is whatever the 'CN=' value was that you specified when you created the self-signed root.
    • Modificare P2SChildCert nel nome che si desidera assegnare al certificato client generato.Change P2SChildCert to the name you want to generate a client certificate to be.

    Se si esegue l'esempio riportato di seguito senza modificarlo, si otterrà un certificato client denominato P2SChildcert nell'archivio dei certificati personale generato dal certificato radice P2SRootCert.If you run the following example without modifying it, the result is a client certificate named P2SChildcert in your Personal certificate store that was generated from root certificate P2SRootCert.

    makecert.exe -n "CN=P2SChildCert" -pe -sky exchange -m 96 -ss My -in "P2SRootCert" -is my -a sha256
    

Esportare un certificato clientExport a client certificate

Quando viene generato un certificato client, viene automaticamente installato nel computer che è stato usato per generarlo.When you generate a client certificate, it's automatically installed on the computer that you used to generate it. Se si vuole installare un certificato client in un altro computer client, è necessario esportare il certificato client generato.If you want to install the client certificate on another client computer, you need to export the client certificate that you generated.

  1. Per esportare un certificato client, aprire Gestire i certificati utente.To export a client certificate, open Manage user certificates. Per impostazione predefinita, i certificati client generati si trovano in "Certificati-Utente corrente\Personale\Certificati".The client certificates that you generated are, by default, located in 'Certificates - Current User\Personal\Certificates'. Fare clic con il pulsante destro del mouse sul certificato client da esportare, scegliere Tutte le attività, quindi fare clic su Esporta per aprire Esportazione guidata certificati.Right-click the client certificate that you want to export, click all tasks, and then click Export to open the Certificate Export Wizard.
  2. Nella procedura guidata, fare clic su Avanti, selezionare Sì, esporta la chiave privata e quindi fare clic su Avanti.In the Wizard, click Next, then select Yes, export the private key, and then click Next.
  3. Nella pagina Formato file di esportazione lasciare selezionate le impostazioni predefinite.On the Export File Format page, leave the defaults selected. Verificare che l'opzione Se possibile, includi tutti i certificati nel percorso certificazione sia selezionata.Make sure that Include all certificates in the certification path if possible is selected. Selezionando questa opzione si esportano anche le informazioni del certificato radice che sono necessarie per la corretta autenticazione.Selecting this also exports the root certificate information that is required for successful authentication. Quindi fare clic su Next.Then, click Next.
  4. Nella pagina Sicurezza è necessario proteggere la chiave privata.On the Security page, you must protect the private key. Se si sceglie di usare una password, assicurarsi di registrare o ricordare quella impostata per questo certificato.If you select to use a password, make sure to record or remember the password that you set for this certificate. Quindi fare clic su Next.Then, click Next.
  5. In File da esportare fare clic su Sfoglia e passare alla posizione in cui si vuole esportare il certificato.On the File to Export, Browse to the location to which you want to export the certificate. Per Nome file, assegnare un nome al file del certificato.For File name, name the certificate file. Quindi fare clic su Next.Then, click Next.
  6. Fare clic su Fine per esportare il certificato.Click Finish to export the certificate.

Installare un certificato client esportatoInstall an exported client certificate

Per installare un certificato client, vedere Installare un certificato client.To install a client certificate, see Install a client certificate.

Passaggi successiviNext steps

Continuare con la configurazione da punto a sito.Continue with your Point-to-Site configuration.