MakeCert を使用したポイント対サイト接続の証明書の生成とエクスポートGenerate and export certificates for Point-to-Site connections using MakeCert

ポイント対サイト接続では、認証に証明書を使用します。Point-to-Site connections use certificates to authenticate. この記事では、MakeCert を使用した自己署名ルート証明書の作成方法とクライアント証明書の生成方法について説明します。This article shows you how to create a self-signed root certificate and generate client certificates using MakeCert. 別の証明書の手順が必要な場合は、証明書 - Powershell または証明書 - Linux の記事を参照してください。If you are looking for different certificate instructions, see Certificates - PowerShell or Certificates - Linux.

Windows 10 PowerShell の手順を使用して証明書を作成することをお勧めしますが、別の手段としてこれらの MakeCert による手順も提供しています。While we recommend using the Windows 10 PowerShell steps to create your certificates, we provide these MakeCert instructions as an optional method. いずれかの方法を使用して生成した証明書は、サポートされている任意のクライアント オペレーティング システムにインストールできます。The certificates that you generate using either method can be installed on any supported client operating system. ただし、MakeCert には次の制限事項があります。However, MakeCert has the following limitation:

  • MakeCert は非推奨となっています。MakeCert is deprecated. これは、任意の時点でこのツールが削除される可能性があることを意味します。This means that this tool could be removed at any point. MakeCert が利用できなくなった場合も、MakeCert を使用してすでに生成されたすべての証明書に影響はありません。Any certificates that you already generated using MakeCert won't be affected when MakeCert is no longer available. MakeCert は、検証メカニズムとしてではなく、証明書の生成にのみ使用されます。MakeCert is only used to generate the certificates, not as a validating mechanism.

自己署名ルート証明書の作成Create a self-signed root certificate

次の手順では、MakeCert を使用して自己署名証明書を作成する方法を説明します。The following steps show you how to create a self-signed certificate using MakeCert. これらの手順は、デプロイ モデル固有のものではありません。These steps are not deployment-model specific. リソース マネージャーとクラシックの両方で有効です。They are valid for both Resource Manager and classic.

  1. MakeCert をダウンロードし、インストールします。Download and install MakeCert.

  2. インストール後、makecert.exe ユーティリティは通常、次のパスで見つかります: C:\Program Files (x86)\Windows Kits\10\bin<arch>。After installation, you can typically find the makecert.exe utility under this path: 'C:\Program Files (x86)\Windows Kits\10\bin<arch>'. ただし、別の場所にインストールされている場合もあります。Although, it's possible that it was installed to another location. 管理者としてコマンド プロンプトを開き、MakeCert ユーティリティの場所に移動します。Open a command prompt as administrator and navigate to the location of the MakeCert utility. 次の例を使って、適切な場所に調整できます。You can use the following example, adjusting for the proper location:

    cd C:\Program Files (x86)\Windows Kits\10\bin\x64
    
  3. コンピューターの個人証明書ストアで証明書を作成し、インストールします。Create and install a certificate in the Personal certificate store on your computer. 次の例は、P2S を構成するときに Azure にアップロードする、対応する .cer ファイルを作成します。The following example creates a corresponding .cer file that you upload to Azure when configuring P2S. 'P2SRootCert' と 'P2SRootCert.cer' を証明書に使う名前に置き換えます。Replace 'P2SRootCert' and 'P2SRootCert.cer' with the name that you want to use for the certificate. 証明書は 'Current User\Personal\Certificates' にあります。The certificate is located in your 'Certificates - Current User\Personal\Certificates'.

    makecert -sky exchange -r -n "CN=P2SRootCert" -pe -a sha256 -len 2048 -ss My
    

公開キー (.cer) のエクスポートExport the public key (.cer)

自己署名ルート証明書を作成した後、ルート証明書の (秘密キーではなく) 公開キーの .cer ファイルをエクスポートします。After creating a self-signed root certificate, export the root certificate public key .cer file (not the private key). 後でこのファイルを Azure にアップロードします。You will later upload this file to Azure. 次の手順で、自己署名ルート証明書の .cer ファイルをエクスポートしてください。The following steps help you export the .cer file for your self-signed root certificate:

  1. 証明書から .cer ファイルを取得するには、 [ユーザー証明書の管理] を開きます。To obtain a .cer file from the certificate, open Manage user certificates. 自己署名ルート証明書を探して右クリックします (通常は 'Current User\Personal\Certificates' にあります)。Locate the self-signed root certificate, typically in 'Certificates - Current User\Personal\Certificates', and right-click. [すべてのタスク][エクスポート] の順にクリックします。Click All Tasks, and then click Export. 証明書のエクスポート ウィザードが開きます。This opens the Certificate Export Wizard. Current User\Personal\Certificates に証明書が見つからない場合は、誤って "Certificates - Current User" ではなく "Certificates - Local Computer" を開いている可能性があります。If you can't find the certificate under Current User\Personal\Certificates, you may have accidentally opened "Certificates - Local Computer", rather than "Certificates - Current User"). PowerShell を使用して現在のユーザー スコープで証明書マネージャーを開きたい場合は、コンソール ウィンドウで「certmgr」と入力します。If you want to open Certificate Manager in current user scope using PowerShell, you type certmgr in the console window.

    エクスポート

  2. ウィザードで [次へ] をクリックします。In the Wizard, click Next.

    証明書をエクスポートします。

  3. [いいえ、秘密キーをエクスポートしません] を選択して、 [次へ] をクリックします。Select No, do not export the private key, and then click Next.

    秘密キーをエクスポートしません

  4. [エクスポート ファイルの形式] ページで [Base-64 encoded X.509 (.CER)] を選択し、 [次へ] をクリックします。On the Export File Format page, select Base-64 encoded X.509 (.CER)., and then click Next.

    Base-64 エンコード

  5. [エクスポートするファイル] で、 [参照] をクリックして証明書をエクスポートする場所を選択します。For File to Export, Browse to the location to which you want to export the certificate. [ファイル名] に証明書ファイルの名前を指定します。For File name, name the certificate file. 次に、 [次へ] をクリックします。Then, click Next.

    参照

  6. [完了] をクリックして、証明書をエクスポートします。Click Finish to export the certificate.

    [完了]

  7. 証明書が正常にエクスポートされました。Your certificate is successfully exported.

    Success

  8. エクスポートされた証明書は次のようになります。The exported certificate looks similar to this:

    エクスポート済み

  9. メモ帳を使ってエクスポートした証明書を開くと、この例のようなものが表示されます。If you open the exported certificate using Notepad, you see something similar to this example. 青で示したセクションには、Azure にアップロードされる情報が含まれます。The section in blue contains the information that is uploaded to Azure. 証明書をメモ帳で開いてもこのように表示されない場合は、通常、Base-64 エンコードの X.509 (.CER) 形式を使ってエクスポートしなかったことを意味します。If you open your certificate with Notepad and it does not look similar to this, typically this means you did not export it using the Base-64 encoded X.509(.CER) format. また、別のテキスト エディターを使う場合は、一部のエディターでは意図しない書式設定がバックグラウンドで行われる場合があることに注意してください。Additionally, if you want to use a different text editor, understand that some editors can introduce unintended formatting in the background. これにより、この証明書から Azure にテキストをアップロードすると問題が発生する可能性があります。This can create problems when uploaded the text from this certificate to Azure.

    メモ帳で開く

エクスポートした .cer ファイルは Azure にアップロードする必要があります。The exported.cer file must be uploaded to Azure. 手順については、ポイント対サイト接続の構成に関するページをご覧ください。For instructions, see Configure a Point-to-Site connection. 信頼されたルート証明書を追加するには、記事のこのセクションをご覧ください。To add an additional trusted root certificate, see this section of the article.

自己署名証明書と証明書を保存するための秘密キーのエクスポート (省略可能)Export the self-signed certificate and private key to store it (optional)

自己署名ルート証明書をエクスポートし、安全に保管することもできます。You may want to export the self-signed root certificate and store it safely. 必要に応じて、後から別のコンピューターにインストールして、さらに多くのクライアント証明書を生成したり、別の .cer ファイルをエクスポートしたりできます。If need be, you can later install it on another computer and generate more client certificates, or export another .cer file. 自己署名ルート証明書を .pfx としてエクスポートするには、ルート証明書を選択し、「クライアント証明書をエクスポートする」と同じ手順を実行します。To export the self-signed root certificate as a .pfx, select the root certificate and use the same steps as described in Export a client certificate.

クライアント証明書の作成とインストールCreate and install client certificates

自己署名証明書をクライアント コンピューターに直接インストールすることはしません。You don't install the self-signed certificate directly on the client computer. 自己署名証明書からクライアント証明書を生成し、You need to generate a client certificate from the self-signed certificate. 生成したクライアント証明書をエクスポートして、クライアント コンピューターにインストールします。You then export and install the client certificate to the client computer. これらの手順は、デプロイ モデル固有のものではありません。The following steps are not deployment-model specific. リソース マネージャーとクラシックの両方で有効です。They are valid for both Resource Manager and classic.

クライアント証明書の生成Generate a client certificate

ポイント対サイトで VNet に接続するすべてのクライアント コンピューターには、クライアント証明書がインストールされている必要があります。Each client computer that connects to a VNet using Point-to-Site must have a client certificate installed. 自己署名ルート証明書からクライアント証明書を生成し、そのクライアント証明書をエクスポートしてインストールします。You generate a client certificate from the self-signed root certificate, and then export and install the client certificate. クライアント証明書がインストールされていない場合は、認証が失敗します。If the client certificate is not installed, authentication fails.

次の手順では、自己署名ルート証明書からクライアント証明書を生成する方法を示しています。The following steps walk you through generating a client certificate from a self-signed root certificate. 同じルート証明書から複数のクライアント証明書を生成できます。You may generate multiple client certificates from the same root certificate. 以下の手順を使用してクライアント証明書を生成すると、証明書の生成に使用したコンピューターにクライアント証明書が自動的にインストールされます。When you generate client certificates using the steps below, the client certificate is automatically installed on the computer that you used to generate the certificate. クライアント証明書を別のクライアント コンピューターにインストールする場合は、その証明書をエクスポートできます。If you want to install a client certificate on another client computer, you can export the certificate.

  1. 自己署名証明書の作成に使用した同じコンピューターで、管理者としてコマンド プロンプトを開きます。On the same computer that you used to create the self-signed certificate, open a command prompt as administrator.

  2. クライアント証明書を生成するには、サンプルを変更して実行します。Modify and run the sample to generate a client certificate.

    • "P2SRootCert" を、クライアント証明書を生成している自己署名ルートの名前に変更します。Change "P2SRootCert" to the name of the self-signed root that you are generating the client certificate from. 必ずルート証明書の名前を使用してください。これは、自己署名ルートの作成時に指定した 'CN=' の値です。Make sure you are using the name of the root certificate, which is whatever the 'CN=' value was that you specified when you created the self-signed root.
    • P2SChildCert を、生成するクライアント証明書の名前に変更します。Change P2SChildCert to the name you want to generate a client certificate to be.

    下の例を変更せずに実行すると、ルート証明書 P2SRootCert から生成された個人用証明書ストアに P2SChildcert という名前のクライアント証明書が作成されます。If you run the following example without modifying it, the result is a client certificate named P2SChildcert in your Personal certificate store that was generated from root certificate P2SRootCert.

    makecert.exe -n "CN=P2SChildCert" -pe -sky exchange -m 96 -ss My -in "P2SRootCert" -is my -a sha256
    

クライアント証明書のエクスポートExport a client certificate

クライアント証明書を生成すると、このクライアント証明書は、生成に使用したコンピューターに自動的にインストールされます。When you generate a client certificate, it's automatically installed on the computer that you used to generate it. 別のクライアント コンピューターにクライアント証明書をインストールする場合は、生成したクライアント証明書をエクスポートする必要があります。If you want to install the client certificate on another client computer, you need to export the client certificate that you generated.

  1. クライアント証明書をエクスポートするには、 [ユーザー証明書の管理] を開きます。To export a client certificate, open Manage user certificates. 生成したクライアント証明書は、既定では "Certificates - Current User\Personal\Certificates" にあります。The client certificates that you generated are, by default, located in 'Certificates - Current User\Personal\Certificates'. エクスポートするクライアント証明書を右クリックして、 [すべてのタスク][エクスポート] の順にクリックし、証明書のエクスポート ウィザードを開きます。Right-click the client certificate that you want to export, click all tasks, and then click Export to open the Certificate Export Wizard.

    エクスポート

  2. 証明書のエクスポート ウィザードで [次へ] をクリックして続行します。In the Certificate Export Wizard, click Next to continue.

    次へ

  3. [はい、秘密キーをエクスポートします] を選び、 [次へ] をクリックします。Select Yes, export the private key, and then click Next.

    秘密キーをエクスポートする

  4. [エクスポート ファイルの形式] ページでは、既定値をそのまま使用します。On the Export File Format page, leave the defaults selected. [証明のパスにある証明書を可能であればすべて含む] がオンになっていることを確認します。Make sure that Include all certificates in the certification path if possible is selected. この設定はさらに、クライアント認証が成功するために必要なルート証明書情報もエクスポートされます。This setting additionally exports the root certificate information that is required for successful client authentication. これがないと、クライアントは信頼されたルート証明書を持っていないので、クライアント認証は失敗します。Without it, client authentication fails because the client doesn't have the trusted root certificate. 次に、 [次へ] をクリックします。Then, click Next.

    ファイルの形式をエクスポートする

  5. [セキュリティ] ページでは、秘密キーを保護する必要があります。On the Security page, you must protect the private key. パスワードを使用する場合は、この証明書に設定したパスワードを必ず記録しておくか、覚えておいてください。If you select to use a password, make sure to record or remember the password that you set for this certificate. 次に、 [次へ] をクリックします。Then, click Next.

    security

  6. [エクスポートするファイル] で、 [参照] をクリックして証明書をエクスポートする場所を選択します。On the File to Export, Browse to the location to which you want to export the certificate. [ファイル名] に証明書ファイルの名前を指定します。For File name, name the certificate file. 次に、 [次へ] をクリックします。Then, click Next.

    エクスポートするファイル

  7. [完了] をクリックして、証明書をエクスポートします。Click Finish to export the certificate.

    完了

エクスポートしたクライアント証明書のインストールInstall an exported client certificate

クライアント証明書をインストールするには、クライアント証明書のインストールに関するページを参照してください。To install a client certificate, see Install a client certificate.

次の手順Next steps

引き続きポイント対サイト構成を使用します。Continue with your Point-to-Site configuration.

P2S のトラブルシューティング情報については、Azure ポイント対サイト接続のトラブルシューティングに関するページを参照してください。For P2S troubleshooting information, Troubleshooting Azure point-to-site connections.