Generera och exportera certifikat för punkt-till-plats-anslutningar med MakeCert

Punkt-till-plats-anslutningar använder certifikat för att autentisera. Den här artikeln visar hur du skapar ett självsignerat rotcertifikat och genererar klientcertifikat med hjälp av MakeCert. Om du letar efter olika certifikatinstruktioner kan du läsa Certifikat – PowerShell eller Certifikat – Linux.

Vi rekommenderar att du använder Windows 10 PowerShell-stegen för att skapa dina certifikat, men vi tillhandahåller dessa MakeCert-instruktioner som en valfri metod. De certifikat som du genererar med någon av metoderna kan installeras på alla klientoperativsystem som stöds. MakeCert har dock följande begränsning:

  • MakeCert är inaktuell. Det innebär att det här verktyget kan tas bort när som helst. Certifikat som du redan har genererat med MakeCert påverkas inte när MakeCert inte längre är tillgängligt. MakeCert används bara för att generera certifikaten, inte som en valideringsmekanism.

Skapa ett självsignerat rotcertifikat

Följande steg visar hur du skapar ett självsignerat certifikat med hjälp av MakeCert. De här stegen är inte distributionsmodellspecifika. De är giltiga för både Resource Manager och klassisk.

  1. Ladda ned och installera MakeCert.

  2. Efter installationen hittar du vanligtvis verktyget makecert.exe under den här sökvägen: "C:\Program Files (x86)\Windows Kits\10\binarch<>". Även om det är möjligt att det har installerats på en annan plats. Öppna en kommandotolk som administratör och navigera till platsen för verktyget MakeCert. Du kan använda följande exempel och justera för rätt plats:

    cd C:\Program Files (x86)\Windows Kits\10\bin\x64
    
  3. Skapa och installera ett certifikat i det personliga certifikatarkivet på datorn. I följande exempel skapas en motsvarande .cer-fil som du laddar upp till Azure när du konfigurerar P2S. Ersätt "P2SRootCert" och "P2SRootCert.cer" med det namn som du vill använda för certifikatet. Certifikatet finns i dina "Certifikat – Aktuell användare\Personliga\Certifikat".

    makecert -sky exchange -r -n "CN=P2SRootCert" -pe -a sha256 -len 2048 -ss My
    

Exportera den offentliga nyckeln (.cer)

När du har skapat ett självsignerat rotcertifikat exporterar du .cer-filen med den offentliga rotcertifikatnyckeln (inte den privata nyckeln). Du kommer senare att ladda upp den här filen till Azure. Följande steg hjälper dig att exportera CER-filen för ditt självsignerade rotcertifikat:

  1. Om du vill hämta en .cer-fil från certifikatet öppnar du Hantera användarcertifikat. Leta upp det självsignerade rotcertifikatet, som vanligtvis finns under ”Certifikat – aktuell användare\Personligt\Certifikat” och högerklicka. Klicka på Alla aktiviteter och klicka sedan på Exportera. Guiden Exportera certifikat öppnas. Om du inte hittar certifikatet under Aktuell användare\Personligt\Certifikat kan du av misstag ha öppnat "Certifikat – lokal dator", i stället för "Certifikat – Aktuell användare"). Om du vill öppna Certifikathanteraren i det aktuella användaromfånget med hjälp av PowerShell skriver du certmgr i konsolfönstret.

    Screenshot shows the Certificates window for the current user with Certificates selected and a contextual menu with Export selected from All Tasks.

  2. Klicka på Nästa i guiden.

    Export certificate

  3. Välj Nej, exportera inte den privata nyckeln och klicka sedan på Nästa.

    Do not export the private key

  4. På sidan Filformat för export väljer du Base 64-kodad X.509 (. CER). och klickar sedan på Nästa.

    Base-64 encoded

  5. För Fil att exporterabläddrar du till den plats som du vill exportera certifikatet till. För Filnamn anger du ett namn för certifikatfilen. Klicka sedan på Nästa.

    Screenshot shows the Certificate Export Wizard with a File Name text box and a Browse option.

  6. Klicka på Slutför för att exportera certifikatet.

    Screenshot shows the Certificate Export Wizard with the selected settings.

  7. Certifikatet har exporterats.

    Screenshot shows a message that the export was successful.

  8. Det exporterade certifikatet ser ut ungefär så här:

    Screenshot shows a certificate icon and file name with the c e r file name extension.

  9. Om du öppnar det exporterade certifikatet med Anteckningar visas något som liknar det här exemplet. Avsnittet i blått innehåller den information som laddas upp till Azure. Om du öppnar certifikatet med Anteckningar och det inte ser ut ungefär så här innebär det vanligtvis att du inte exporterade det med base-64-kodad X.509(. CER-format. Om du vill använda en annan textredigerare bör du dessutom förstå att vissa redigerare kan introducera oavsiktlig formatering i bakgrunden. Detta kan skapa problem när du laddar upp texten från det här certifikatet till Azure.

    Open with Notepad

Filen exported.cer måste laddas upp till Azure. Anvisningar finns i Konfigurera en punkt-till-plats-anslutning. Om du vill lägga till ytterligare ett betrott rotcertifikat kan du läsa det här avsnittet i artikeln.

Exportera det självsignerade certifikatet och den privata nyckeln för att lagra det (valfritt)

Du kanske vill exportera det självsignerade rotcertifikatet och lagra det på ett säkert sätt. Om det behövs kan du senare installera det på en annan dator och generera fler klientcertifikat, eller exportera en annan .cer-fil. Om du vill exportera det självsignerade rotcertifikatet som en .pfx väljer du rotcertifikatet och använder samma steg som beskrivs i Exportera ett klientcertifikat.

Skapa och installera klientcertifikat

Du installerar inte det självsignerade certifikatet direkt på klientdatorn. Du måste generera ett klientcertifikat från det självsignerade certifikatet. Sedan exporterar och installerar du klientcertifikatet på klientdatorn. Följande steg är inte distributionsmodellspecifika. De är giltiga för både Resource Manager och klassisk.

Generera ett klientcertifikat

Varje klientdator som ansluter till ett virtuellt nätverk med punkt-till-plats måste ha ett klientcertifikat installerat. Du genererar ett klientcertifikat från det självsignerade rotcertifikatet och exporterar och installerar sedan klientcertifikatet. Om klientcertifikatet inte är installerat misslyckas autentiseringen.

Följande steg beskriver hur du genererar ett klientcertifikat från ett självsignerat rotcertifikat. Du kan generera flera klientcertifikat från samma rotcertifikat. När du genererar klientcertifikat med hjälp av stegen nedan installeras klientcertifikatet automatiskt på den dator som du använde för att generera certifikatet. Om du vill installera ett klientcertifikat på en annan klientdator kan du exportera certifikatet.

  1. Öppna en kommandotolk som administratör på samma dator som du använde för att skapa det självsignerade certifikatet.

  2. Ändra och kör exemplet för att generera ett klientcertifikat.

    • Ändra "P2SRootCert" till namnet på den självsignerade rot som du genererar klientcertifikatet från. Kontrollera att du använder namnet på rotcertifikatet, vilket är det "CN="-värde som du angav när du skapade den självsignerade roten.
    • Ändra P2SChildCert till det namn som du vill generera ett klientcertifikat till.

    Om du kör följande exempel utan att ändra det är resultatet ett klientcertifikat med namnet P2SChildcert i ditt personliga certifikatarkiv som genererades från rotcertifikatet P2SRootCert.

    makecert.exe -n "CN=P2SChildCert" -pe -sky exchange -m 96 -ss My -in "P2SRootCert" -is my -a sha256
    

Exportera ett klientcertifikat

När du genererar ett klientcertifikat installeras det automatiskt på den dator som du använde för att generera det. Om du vill installera klientcertifikatet på en annan klientdator måste du exportera det klientcertifikat som du genererade.

  1. Öppna Hantera användarcertifikat om du vill exportera ett certifikat. Klientcertifikaten som du genererade finns som standard i "Certifikat – Aktuell användare\Personliga\Certifikat". Högerklicka på det klientcertifikat som du vill exportera, klicka på alla aktiviteter och klicka sedan på Exportera för att öppna guiden Exportera certifikat.

    Screenshot shows the Certificates window for the current user with Certificates selected and Export selected from All Tasks.

  2. I guiden Exportera certifikat klickar du på Nästa för att fortsätta.

    Screenshot shows the Certificate Export Wizard Welcome message.

  3. Välj Ja, exportera den privata nyckeln och klicka sedan på Nästa.

    export private key

  4. På sidan Filformat för export låter du standardalternativen vara markerade. Se till att Ta med om möjligt alla certifikat i certifieringssökvägen har valts. Den här inställningen exporterar dessutom den rotcertifikatinformation som krävs för lyckad klientautentisering. Utan den misslyckas klientautentiseringen eftersom klienten inte har det betrodda rotcertifikatet. Klicka sedan på Nästa.

    export file format

  5. Du måste skydda den privata nyckeln på sidan Säkerhet. Om du väljer att använda ett lösenord måste du vara noga med att skriva ned eller komma ihåg lösenordet som du anger för det här certifikatet. Klicka sedan på Nästa.

    Screenshot shows the Certificate Export Wizard Security page with the password entered and confirmed and Next highlighted.

  6. På sidan Fil som ska exporterasbläddrar du till den plats som du vill exportera certifikatet till. För Filnamn anger du ett namn för certifikatfilen. Klicka sedan på Nästa.

    file to export

  7. Klicka på Slutför för att exportera certifikatet.

    Screenshot shows the Certificate Export Wizard with the entered settings.

Installera ett exporterat klientcertifikat

Information om hur du installerar ett klientcertifikat finns i Installera ett klientcertifikat.

Nästa steg

Fortsätt med punkt-till-plats-konfigurationen.

Information om P2S-felsökning finns i Felsöka punkt-till-plats-anslutningar i Azure.