Створення та експорт сертифікатів для підключень типу точка-мережу в azure за допомогою powershell,

В цій статті

Далі виконуйте дії на комп'ютері з Windows 10. Командлети PowerShell, які використовуються для створення сертифікатів, є частиною операційної системи Windows 10 і не працюють в інших версіях Windows. Комп'ютер Windows 10 потрібно тільки для створення сертифікатів. Після створення сертифікатів їх можна відправити або встановити в будь-який підтримуваної клієнтської операційної системи.

При відсутності доступу до комп'ютера з Windows 10 для створення сертифікатів можна використовувати засіб MakeCert. Сертифікати, створені за допомогою іншого методу, можна встановити в будь-який підтримуваної клієнтської операційної системи.

Створення самозаверяющего кореневого сертифіката

Використовуйте командлет New-SelfSignedCertificate для створення самозаверяющего кореневого сертифіката. Додаткові відомості про параметр див. Розділ New-SelfSignedCertificate.

  1. На комп'ютері під керуванням Windows 10 відкрийте консоль Windows PowerShell з підвищеними привілеями.

Експорт відкритого ключа (CER)

Для підключення типу "точка - мережа" необхідно відправити відкритий (а не закритий) ключ сертифіката (CER-файл) в Azure. Щоб експортувати CER-файл для самозаверяющего кореневого сертифіката, зробіть наступне:

  1. Щоб отримати з сертифіката CER-файл, відкрийте розділ Управління сертифікатами користувачів. Знайдіть кореневої самозаверяющій сертифікат (зазвичай він знаходиться в папці Certificates - <текущий_пользователь>\ Personal \ Certificates) і клацніть його правою кнопкою миші. Клацніть Усі завдання> Експорт. Відкриється майстра експорту сертифікатів.
  2. У майстра натисніть кнопку Далі. Виберіть Ні, не експортувати закритий ключ і знову натисніть кнопку Далі.
  3. На сторінці Формат експортованого файлу виберіть Файли X.509 (.CER) в кодуванні Base-64 і натисніть кнопку Далі.
  4. На сторінці Ім'я експортованого файлу натисніть кнопку Огляд. щоб перейти в розташування для експорту сертифіката. У полі Ім'я файлу введіть ім'я для файлу сертифіката. Потім клацніть Далі.
  5. Натисніть кнопку Готово. щоб експортувати сертифікат. Ви побачите повідомлення Експорт виконаний успішно. Натисніть кнопку ОК. щоб закрити майстер.

Файл exported.cer необхідно відправити в Azure. Додаткові відомості див. У розділі Підготовка CER-файлу кореневого сертифіката до передачі. Щоб додати додаткові довірені кореневі сертифікати, ознайомтеся з цим розділом статті.

Експорт самозаверяющего кореневого сертифіката і відкритого ключа для його збереження (необов'язково)

Може виникнути необхідність експортувати самозаверяющій кореневий сертифікат і зберегти його в надійному місці. При необхідності пізніше можна буде встановити його на іншому комп'ютері і створити додаткові сертифікати клієнта або експортувати інший CER-файл. Щоб експортувати самозаверяющій кореневий сертифікат у форматі PFX, виберіть кореневий сертифікат і виконайте ті ж дії, що описані в розділі Експорт сертифіката клієнта.

Створення сертифіката клієнта

На кожному клієнтському комп'ютері, який підключається до віртуальної мережі за допомогою підключення типу "точка-мережа", повинен бути встановлений сертифікат клієнта. Ви можете створити сертифікат клієнта з самозаверяющего кореневого сертифіката, а потім експортувати і встановити його. Якщо сертифікат клієнта не встановлений, відбудеться збій аутентифікації.

Нижче описаний спосіб створення сертифіката клієнта з самозаверяющего кореневого сертифіката. З одного кореневого сертифіката можна створити кілька сертифікатів клієнта. При створенні сертифікатів клієнта за допомогою наведених нижче інструкцій сертифікат клієнта автоматично встановлюється на комп'ютер, який використовувався для його створення. Якщо ви хочете встановити сертифікат клієнта на інший клієнтський комп'ютер, його можна експортувати.

У прикладах використовується командлет New-SelfSignedCertificate для створення сертифіката клієнта, термін дії якого закінчується через рік. Додаткові відомості про параметр, наприклад про завдання іншого значення терміну дії сертифіката клієнта, див. В розділі New-SelfSignedCertificate.

У цьому прикладі використовується змінна $ cert, оголошена в попередньому розділі. Якщо ви закрили консоль PowerShell після створення самозаверяющего кореневого сертифіката або створюєте додаткові сертифікати клієнта в новому сеансі консолі PowerShell, виконайте інструкції, описані в прикладі 2.

Змініть і запустіть приклад, щоб створити сертифікат клієнта. Якщо виконати цей приклад, не змінивши його, то буде створений сертифікат клієнта P2SChildCert. Якщо потрібно вказати інше ім'я дочірнього сертифіката, змініть значення CN. Не змінюйте TextExtension при виконанні даного прикладу. Сертифікат клієнта, який створюється, автоматично встановлюється в папку Certificates - Current User \ Personal \ Certificates на комп'ютері.

Якщо ви створюєте додаткові сертифікати клієнта або не використовуєте той же сеанс PowerShell, в якому був створений самозаверяющій кореневий сертифікат, виконайте наступне.

Визначте самозаверяющій кореневий сертифікат, встановлений на комп'ютері. Цей командлет повертає список сертифікатів, встановлених на комп'ютері.

Знайдіть ім'я суб'єкта в отриманому списку, а потім скопіюйте відбиток, розташований поруч з ним, в текстовий файл. У наступному прикладі вказано два сертифікати. CN-ім'я - це ім'я самозаверяющего кореневого сертифіката, на основі якого потрібно створити дочірній сертифікат. В даному випадку це P2SRootCert.

Оголосіть змінну для кореневого сертифіката, використовуючи відбиток з попереднього кроку. Замініть THUMBPRINT відбитком кореневого сертифіката, на основі якого потрібно створити дочірній сертифікат.

Наприклад, якщо використовувати відбиток для P2SRootCert з попереднього кроку, то змінна буде виглядати наступним чином.

Змініть і запустіть приклад, щоб створити сертифікат клієнта. Якщо виконати цей приклад, не змінивши його, то буде створений сертифікат клієнта P2SChildCert. Якщо потрібно вказати інше ім'я дочірнього сертифіката, змініть значення CN. Не змінюйте TextExtension при виконанні даного прикладу. Сертифікат клієнта, який створюється, автоматично встановлюється в папку Certificates - Current User \ Personal \ Certificates на комп'ютері.

Експорт сертифіката клієнта

Створений сертифікат клієнта автоматично встановлюється на комп'ютері, який використовувався для його створення. Якщо ви хочете встановити створений сертифікат клієнта на інший клієнтський комп'ютер, то його необхідно експортувати.

  1. Щоб експортувати сертифікат клієнта, відкрийте розділ Управління сертифікатами користувачів. За замовчуванням створюються сертифікати клієнта зберігаються в папці Certificates - Current User \ Personal \ Certificates. Клацніть правою кнопкою миші сертифікат, який потрібно експортувати, виберіть Усі завдання. а потім - Експорт. щоб відкрити майстер експорту сертифікатів.
  2. У майстра експорту сертифікатів натисніть кнопку Далі. Виберіть Так, експортувати закритий ключ і знову натисніть кнопку Далі.
  3. На сторінці Формат експортованого файлу залиште налаштування за замовчуванням. Не забудьте встановити прапорець Включити по можливості всі сертифікати в шлях сертифікації. При цьому також будуть експортовані дані кореневого сертифіката, необхідні для успішної аутентифікації. Потім клацніть Далі.
  4. На сторінці Безпека слід захистити закритий ключ. Якщо ви вирішите використовувати пароль, обов'язково запишіть або запам'ятайте пароль, заданий для цього сертифіката. Потім клацніть Далі.
  5. На сторінці Ім'я експортованого файлу натисніть кнопку Огляд. щоб перейти в розташування для експорту сертифіката. У полі Ім'я файлу введіть ім'я для файлу сертифіката. Потім клацніть Далі.
  6. Натисніть кнопку Готово. щоб експортувати сертифікат.

Установка експортованого сертифікату клієнта

Подальші дії

Продовжуйте налаштовувати параметри конфігурації типу "точка-мережу".

Схожі статті