Создание и экспорт сертификатов для подключений типа "точка — сеть" с помощью MakeCert

Для аутентификации подключений типа "точка — сеть" используются сертификаты. Эта статья поможет создать самозаверяющий корневой сертификат, а также сертификаты клиента с помощью MakeCert. Если вам нужны другие инструкции по сертификатам, см. статью Сертификаты — PowerShell или Сертификаты — Linux.

Хотя для создания сертификатов мы рекомендуем использовать шаги PowerShell для Windows 10 или более поздней версии, мы предоставили инструкции по MakeCert в качестве дополнительного метода. Сертификаты, созданные с помощью другого метода, можно установить на любой поддерживаемой клиентской операционной системе. Однако MakeCert имеет такие ограничения:

• Мы не рекомендуем использовать MakeCert. Это значит, что средство может быть удалено в любой момент. Если MakeCert больше недоступен, это никак не повлияет на сертификаты, созданные с помощью этого средства. MakeCert используется только для создания сертификатов, а не как механизм проверки.

Создание самозаверяющего корневого сертификата

Ниже приведены инструкции по созданию самозаверяющего сертификата с помощью MakeCert. Эти действия не относятся к модели развертывания. Они действительны как для Resource Manager, так и для классических.

1. Скачайте и установите MakeCert.

2. После установки служебную программу makecert.exe обычно можно найти по такому пути: C:\Program Files (x86)\Windows Kits\10\bin<arch>. Однако возможно, что она была установлена в другое место. Откройте командную строку от имени администратора и перейдите в расположение служебной программы MakeCert. Вы можете использовать следующий пример, чтобы указать правильное расположение:

   cd C:\Program Files (x86)\Windows Kits\10\bin\x64
   

3. Создайте и установите сертификат в личном хранилище сертификатов на компьютере. В следующем примере создается соответствующий CER-файл , передаваемый в Azure при настройке подключений типа "точка — сеть". Замените P2SRootCert и P2SRootCert.cer именем, которое необходимо использовать для сертификата. Сертификат расположен в хранилище сертификатов: Certificates — <текущий_пользователь>\Personal\Certificates.

   makecert -sky exchange -r -n "CN=P2SRootCert" -pe -a sha256 -len 2048 -ss My
   

Экспорт открытого ключа (CER)

После создания самозаверяющего корневого сертификата экспортируйте его CER-файл (но не закрытый ключ!). Позднее вы отправите в Azure необходимые данные сертификата, сохраненные в файл. Чтобы экспортировать CER-файл для самозаверяющего корневого сертификата и получить необходимые данные сертификата, сделайте следующее.

1. Чтобы получить CER-файл сертификата, откройте окно Управление сертификатами пользователей.

   Найдите самозаверяющий корневой сертификат (обычно он находится в папке "Сертификаты — текущий пользователь\Личное\Сертификаты") и щелкните его правой кнопкой мыши. Щелкните Все задачи ->Экспорт. Откроется мастера экспорта сертификатов.

   Если вам не удается найти сертификат в разделе "Текущий пользователь\Личное\Сертификаты", возможно, вместо раздела "Сертификаты — текущий пользователь" вы случайно открыли раздел "Сертификаты — локальный компьютер".

   

2. В мастере нажмите кнопку Далее.

3. Выберите Нет, не экспортировать закрытый ключ и снова нажмите кнопку Далее.

   

4. На странице Формат экспортируемого файла выберите Файлы X.509 (.CER) в кодировке Base-64 и нажмите кнопку Далее.

   

5. На странице Имя экспортируемого файла нажмите кнопку Обзор, чтобы перейти в расположение для экспорта сертификата. В поле Имя файлавведите имя для файла сертификата. Затем щелкните Далее.

6. Нажмите кнопку Готово, чтобы выполнить экспорт сертификата.

7. Вы увидите подтверждение с сообщением "Экспорт выполнен успешно".

8. Перейдите в расположение, куда вы экспортировали сертификат, и откройте его в Блокноте или любом другом текстовом редакторе. Если вы экспортировали сертификат в правильном формате Base-64 X.509 (CER), то вы увидите примерно такой текст, как в следующем примере. Раздел, выделенный синим цветом, содержит сведения, которые вам нужно скопировать и отправить в Azure.

   

   Если ваш файл не похож на приведенный пример, это, скорее всего, означает, что экспорт выполнен не в формате X.509 (.CER) с кодировкой Base-64. Кроме того, при использовании другого текстового редактора вместо Блокнота следует учитывать, что в некоторых редакторах может без ведома пользователя выполняться нежелательное форматирование текста. Это может вызвать проблемы при передаче текста из этого сертификата в Azure.

Файл exported.cer необходимо отправить в Azure. Дополнительные сведения см. в разделе Подготовка CER-файла корневого сертификата к передаче. Чтобы добавить дополнительные доверенные корневые сертификаты, ознакомьтесь с разделом этой статьи.

Экспорт самозаверяющего сертификата и закрытого ключа для его сохранения (необязательно)

Может возникнуть необходимость экспортировать самозаверяющий корневой сертификат и сохранить его в надежном месте. Позже вы сможете установить его на другой компьютер и создать дополнительные сертификаты клиента или экспортировать другой CER-файл. Чтобы экспортировать самозаверяющий корневой сертификат в формате PFX, выберите корневой сертификат и выполните те же действия, что описаны в разделе Экспорт сертификата клиента.

Создание и установка сертификатов клиента

Не устанавливайте самозаверяющий сертификат непосредственно на клиентский компьютер. Нужно создать сертификат клиента из самозаверяющего сертификата. Затем его следует экспортировать и установить на клиентском компьютере. Следующие шаги не относятся к модели развертывания. Они действительны как для Resource Manager, так и для классических.

Создание сертификата клиента

На каждом клиентском компьютере, который подключается к виртуальной сети с помощью подключения типа "точка —сеть", должен быть установлен сертификат клиента. Вы можете создать сертификат клиента из самозаверяющего корневого сертификата, а затем экспортировать и установить его. Если сертификат клиента не установлен, произойдет сбой аутентификации.

Ниже описан способ создания сертификата клиента из самозаверяющего корневого сертификата. Из одного корневого сертификата можно создать несколько сертификатов клиента. При создании сертификатов клиента с помощью следующих действий сертификат клиента автоматически устанавливается на компьютере, который использовался для создания сертификата. Если вы хотите установить сертификат клиента на другой клиентский компьютер, его можно экспортировать.

1. На компьютере, на котором вы создали самозаверяющий сертификат, откройте командную строку от имени администратора.

2. Измените и запустите пример, чтобы создать сертификат клиента.

   • Измените "P2SRootCert" на имя самозаверяющего корневого каталога, из который создается сертификат клиента. Убедитесь, что вы используете имя корневого сертификата, которое соответствует значению CN=, указанному при создании самозаверяющего корневого каталога.
   • Замените P2SChildCert именем, которое следует использовать для создаваемого сертификата клиента.

   Если выполнить приведенную ниже команду без изменений, в ваше хранилище личных сертификатов будет добавлен сертификат клиента с именем P2SChildcert, созданный из корневого сертификата P2SRootCert.

   makecert.exe -n "CN=P2SChildCert" -pe -sky exchange -m 96 -ss My -in "P2SRootCert" -is my -a sha256
   

Экспорт сертификата клиента

Созданный сертификат клиента автоматически устанавливается на компьютере, который использовался для его создания. Если вы хотите установить созданный сертификат клиента на другой клиентский компьютер, то его сначала необходимо экспортировать.

1. Чтобы экспортировать сертификат клиента, откройте раздел Управление сертификатами пользователей. По умолчанию создаваемые сертификаты клиента хранятся в папке Certificates - Current User\Personal\Certificates. Щелкните правой кнопкой мыши сертификат, который нужно экспортировать, выберите Все задачи, а затем — Экспорт, чтобы открыть мастер экспорта сертификатов.

   

2. В мастере экспорта сертификатов нажмите кнопку Далее, чтобы продолжить.

3. Выберите Да, экспортировать закрытый ключ, а затем нажмите кнопку Далее.

   

4. На странице Формат экспортируемого файла оставьте настройки по умолчанию. Не забудьте установить флажок Включить по возможности все сертификаты в путь сертификации. При этом также будут экспортированы данные корневого сертификата, необходимые для успешной аутентификации клиента. Без этих данных аутентификация клиента завершится ошибкой, так как у клиента не будет доверенного корневого сертификата. Затем щелкните Далее.

   

5. На странице Безопасность следует защитить закрытый ключ. Если вы решите использовать пароль, обязательно запишите или запомните пароль, заданный для этого сертификата. Затем щелкните Далее.

   

6. На странице Имя экспортируемого файла нажмите кнопку Обзор, чтобы перейти в расположение для экспорта сертификата. В поле Имя файлавведите имя для файла сертификата. Затем щелкните Далее.

7. Нажмите кнопку Готово, чтобы выполнить экспорт сертификата.

установить экспортированный сертификат клиента;

См. инструкции по установке сертификата клиента.

Дальнейшие действия

Продолжайте настраивать параметры конфигурации типа "точка-сеть".

• При использовании модели развертывания на основе Resource Manager см. инструкции по настройке подключения типа "точка — сеть" с использованием собственной аутентификации Azure на основе сертификата.
• Инструкции для классической модели развертывания см. в статье Настройка подключения типа "точка — сеть" к виртуальной сети с помощью портала Azure (классическая модель).

Дополнительные сведения см. в руководстве по устранению неполадок подключения типа "точка — сеть" в Azure.