Gerar e exportar certificados para ligações Ponto a Site com o MakeCert

  • Artigo

As ligações Ponto a Site utilizam certificados para autenticar. Este artigo mostra-lhe como criar um certificado de raiz autoassinado e gerar certificados de cliente com o MakeCert. Se estiver à procura de instruções de certificado diferentes, veja Certificados – PowerShell ou Certificados – Linux.

Embora recomendemos a utilização dos passos Windows 10 ou posteriores do PowerShell para criar os seus certificados, fornecemos estas instruções MakeCert como um método opcional. Os certificados gerados através de qualquer um dos métodos podem ser instalados em qualquer sistema operativo cliente suportado. No entanto, o MakeCert tem a seguinte limitação:

  • O MakeCert foi preterido. Isto significa que esta ferramenta pode ser removida em qualquer altura. Quaisquer certificados que já tenha gerado com o MakeCert não serão afetados quando o MakeCert já não estiver disponível. O MakeCert só é utilizado para gerar os certificados, não como um mecanismo de validação.

Criar um certificado de raiz autoassinado

Os passos seguintes mostram-lhe como criar um certificado autoassinado com o MakeCert. Estes passos não são específicos do modelo de implementação. São válidos para Resource Manager e clássicos.

  1. Transfira e instale o MakeCert.

  2. Após a instalação, normalmente, pode encontrar o utilitário makecert.exe neste caminho: "C:\Programas (x86)\Windows Kits\10\bin<arch>". No entanto, é possível que tenha sido instalado noutra localização. Abra uma linha de comandos como administrador e navegue para a localização do utilitário MakeCert. Pode utilizar o seguinte exemplo, ajustando-se para a localização adequada:

    cd C:\Program Files (x86)\Windows Kits\10\bin\x64

  3. Crie e instale um certificado no arquivo de certificados Pessoal do seu computador. O exemplo seguinte cria um ficheiro .cer correspondente que carrega para o Azure ao configurar o P2S. Substitua "P2SRootCert" e "P2SRootCert.cer" pelo nome que pretende utilizar para o certificado. O certificado está localizado em "Certificados – Utilizador Atual\Pessoal\Certificados".

    makecert -sky exchange -r -n "CN=P2SRootCert" -pe -a sha256 -len 2048 -ss My

Exportar a chave pública (.cer)

Depois de criar um certificado de raiz autoassinado, exporte o ficheiro .cer do certificado de raiz (não a chave privada). Mais tarde, irá carregar os dados de certificado necessários contidos no ficheiro para o Azure. Os passos seguintes ajudam-no a exportar o ficheiro .cer para o certificado de raiz autoassinado e a obter os dados de certificado necessários.

  1. Para obter o ficheiro .cer do certificado, abra Gerir certificados de utilizador.

    Localize o certificado de raiz autoassinado, normalmente em "Certificados – Utilizador Atual\Pessoal\Certificados" e clique com o botão direito do rato. Clique em Todas as Tarefas ->Exportar. Esta ação abre o Assistente para Exportar Certificados.

    Se não conseguir encontrar o certificado em "Utilizador Atual\Pessoal\Certificados", poderá ter aberto acidentalmente "Certificados – Computador Local" em vez de "Certificados – Utilizador Atual".

    Captura de ecrã a mostrar a janela Certificados com Todas as Tarefas e, em seguida, Exportar selecionada.

  2. No assistente, clique em Seguinte.

  3. Selecione Não, não exportar a chave privada e, em seguida, clique em Seguinte.

    Captura de ecrã a mostrar Não exportar a chave privada.

  4. Na página Formato do Ficheiro de Exportação, selecione X.509 codificado com Base-64 (.CER). e, em seguida, clique em Seguinte.

    Captura de ecrã a mostrar a exportação codificada com Base-64.

  5. Em Ficheiro a Exportar, navegue para a localização para a qual pretende exportar o certificado. Em Nome do ficheiro, atribua um nome ao ficheiro de certificado. Em seguida, clique em Seguinte.

  6. Clique em Concluir para exportar o certificado.

  7. Verá uma confirmação a indicar "A exportação foi bem-sucedida".

  8. Aceda à localização onde exportou o certificado e abra-o com um editor de texto, como o Bloco de Notas. Se exportou o certificado no X.509 codificado com Base-64 necessário (. Formato CER), verá texto semelhante ao seguinte exemplo. A secção realçada a azul contém as informações que copia e carrega para o Azure.

    Captura de ecrã a mostrar o ficheiro CER aberto no Bloco de Notas com os dados do certificado realçados.

    Se o seu ficheiro não tiver um aspeto semelhante ao exemplo, normalmente significa que não o exportou com o X.509 codificado com Base-64(). FORMATO CER). Além disso, se utilizar um editor de texto diferente do Bloco de Notas, compreenda que alguns editores podem introduzir formatação não intencional em segundo plano. Isto pode criar problemas ao carregar o texto deste certificado para o Azure.

O ficheiro exported.cer tem de ser carregado para o Azure. Para obter instruções, veja Configurar uma ligação Ponto a Site. Para adicionar um certificado de raiz fidedigna adicional, veja esta secção do artigo.

Exportar o certificado autoassinado e a chave privada para armazená-lo (opcional)

Poderá querer exportar o certificado de raiz autoassinado e armazená-lo em segurança. Mais tarde, pode instalá-lo noutro computador e gerar mais certificados de cliente ou exportar outro ficheiro .cer. Para exportar o certificado de raiz autoassinado como um .pfx, selecione o certificado de raiz e utilize os mesmos passos descritos em Exportar um certificado de cliente.

Criar e instalar certificados de cliente

Não instala o certificado autoassinado diretamente no computador cliente. Tem de gerar um certificado de cliente a partir do certificado autoassinado. Em seguida, exporte e instale o certificado de cliente para o computador cliente. Os passos seguintes não são específicos do modelo de implementação. São válidos para Resource Manager e clássicos.

Gerar um certificado de cliente

Cada computador cliente que se ligue uma VNet por Ponto a Site tem de ter um certificado de cliente instalado. Pode gerar um certificado de cliente a partir do certificado de raiz autoassinado e, em seguida, exportar e instalar o certificado de cliente. Se o certificado de cliente não estiver instalado, a autenticação falhará.

Os passos seguintes explicam como gerar um certificado de cliente a partir de um certificado de raiz autoassinado. Pode gerar vários certificados de cliente a partir do mesmo certificado de raiz. Quando gera certificados de cliente com os seguintes passos, o certificado de cliente é instalado automaticamente no computador que utilizou para gerar o certificado. Se quiser instalar um certificado de cliente noutro computador cliente, pode exportar o certificado.

  1. No mesmo computador que utilizou para criar o certificado autoassinado, abra uma linha de comandos como administrador.

  2. Modifique e execute o exemplo para gerar um certificado de cliente.

    • Altere "P2SRootCert" para o nome da raiz autoassinado a partir da qual está a gerar o certificado de cliente. Certifique-se de que está a utilizar o nome do certificado de raiz, que é o valor "CN=" que especificou quando criou a raiz autoassinada.
    • Altere P2SChildCert para o nome para o qual pretende gerar um certificado de cliente.

    Se executar o seguinte exemplo sem o modificar, o resultado será um certificado de cliente com o nome P2SChildcert no arquivo de certificados Pessoal que foi gerado a partir do certificado de raiz P2SRootCert.

    makecert.exe -n "CN=P2SChildCert" -pe -sky exchange -m 96 -ss My -in "P2SRootCert" -is my -a sha256

Exportar um certificado de cliente

Quando gera um certificado de cliente, este é instalado automaticamente no computador que utilizou para o gerar. Se quiser instalar o certificado de cliente noutro computador cliente, primeiro tem de exportar o certificado de cliente.

  1. Para exportar um certificado de cliente, abra Gerir Certificados de Utilizador. Os certificados de cliente que gerou estão, por predefinição, localizados em "Certificados – Utilizador Atual\Pessoal\Certificados". Clique com o botão direito do rato no certificado de cliente que pretende exportar, clique em todas as tarefas e, em seguida, clique em Exportar para abrir o Assistente de Exportação de Certificados.

    Captura de ecrã a mostrar a janela Certificados com Todas as Tarefas e Exportação selecionadas.

  2. No Assistente de Exportação de Certificados, clique em Seguinte para continuar.

  3. Selecione Sim, exporte a chave privada e, em seguida, clique em Seguinte.

    Captura de ecrã a mostrar Sim a exportar a chave privada selecionada.

  4. Na página Exportar Formato de Ficheiro, deixe as predefinições selecionadas. Certifique-se de que Incluir todos os certificados no caminho de certificação, se possível está selecionado. Esta definição exporta adicionalmente as informações de certificado de raiz necessárias para a autenticação de cliente com êxito. Sem ela, a autenticação do cliente falha porque o cliente não tem o certificado de raiz fidedigna. Em seguida, clique em Seguinte.

    Captura de ecrã para exportar a página de formato de ficheiro.

  5. Na página Segurança, tem de proteger a chave privada. Se optar por utilizar uma palavra-passe, certifique-se de que regista ou memoriza a palavra-passe que define para este certificado. Em seguida, clique em Seguinte.

    Captura de ecrã a mostrar a palavra-passe introduzida e confirmada.

  6. Em Ficheiro a Exportar, Navegue até à localização para a qual pretende exportar o certificado. Em Nome do ficheiro, atribua um nome ao ficheiro de certificado. Em seguida, clique em Seguinte.

  7. Clique em Concluir para exportar o certificado.

Instalar um certificado de cliente exportado

Para instalar um certificado de cliente, veja Instalar um certificado de cliente.

Passos seguintes

Continue com a configuração Ponto a Site.

Para obter informações de resolução de problemas P2S, consulte Resolução de problemas de ligações ponto a site do Azure.