Créer un certificat auto-signé pour VPN AZURE point à site

Makecert est l’une des méthodes permettant de créer un certificat auto-signé. Il exisxte également OpenSSL et IIS.

Pour ma part je trouve que Makecert est la meilleur.

Pour créer un certificat auto-signé

  1. Sur un ordinateur exécutant Windows 10, téléchargez et installez le Kit de développement logiciel (SDK) Windows pour Windows 10.
  2. Après l’installation, vous pouvez trouver l’utilitaire makecert.exe en suivant ce chemin : C:\Program Files (x86)\Windows Kits\10\bin\x64 ou x32

    C:\Program Files (x86)\Windows Kits\bin\x64
  3. Créez et installez un certificat dans le magasin de certificats personnels sur votre ordinateur. L’exemple suivant crée un fichier .cer correspondant que vous chargez sur Azure au moment de la configuration P2S.

  4. Exécutez la commande suivante, en tant qu’administrateur. Remplacez GtekCert et GtekCert.cer par le nom que vous voulez attribuer au certificat.

makecert -sky exchange -r -n "CN=GtekCert" -pe -a sha1 -len 2048 -ss My "GtekCert.cer"

Pour obtenir la clé publique

Dans le cadre de la configuration de la passerelle VPN pour les connexions point à site, la clé publique pour le certificat racine est chargée sur Azure.

  1. Pour obtenir un fichier .cer du certificat, ouvrez certmgr.msc. Cliquez avec le bouton droit sur le certificat racine auto-signé, puis cliquez sur toutes les tâches et sur exporter. Cette opération ouvre l’Assistant Exportation de certificat.

2. Dans l’Assistant, cliquez sur Suivant, sélectionnez Non, ne pas exporter la clé privée, puis cliquez sur Suivant.

3. Sur la page Format de fichier d’exportation, sélectionnez Codé à base 64 X.509 (.cer). Cliquez ensuite sur Suivant.

4. Dans Fichier à exporter, cliquez sur Parcourir pour accéder à l’emplacement vers lequel vous souhaitez exporter le certificat. Pour la zone Nom de fichier, nommez le fichier de certificat. Cliquez ensuite sur Suivant.
5. Cliquez sur Terminer pour exporter le certificat.

 

Générer un certificat client à partir d’un certificat auto-signé

Les étapes suivantes vous guident dans la génération d’un certificat client à partir d’un certificat auto-signé. Vous pouvez générer plusieurs certificats clients à partir d’un même certificat. Chaque certificat client peut alors être exporté et installé sur l’ordinateur client.

  1. Sur l’ordinateur que vous avez utilisé pour créer le certificat auto-signé, ouvrez une invite de commandes comme administrateur.
  2. « GtekCert » fait référence au certificat auto-signé que vous avez généré.

    • Remplacez « GtekCert » par le nom du certificat racine auto-signé à partir duquel vous générez le certificat client.
    • Remplacez ClientCertificateName par le nom que vous souhaitez pour générer un certificat client.

      Modifiez et exécutez l’exemple pour générer un certificat client. Si vous exécutez l’exemple suivant sans le modifier, cette opération entraîne la création d’un certificat client nommé « ClientCertificateName » dans votre magasin de certificats Personnel, généré à partir du certificat racine GtekCert.

      makecert.exe -n "CN=ClientCertificateName" -pe -sky exchange -m 96 -ss My -in "GtekCert" -is my -a sha1
  3. Tous les certificats sont stockés sur votre ordinateur, dans votre dossier C:\Program Files (x86)\Windows Kits\10\bin\x64. Vous pouvez générer autant de certificats clients que nécessaire d’après cette procédure.

Exporter un certificat client

  1. Pour exporter un certificat client, ouvrez certmgr.msc. Cliquez avec le bouton droit sur le certificat client à exporter, cliquez sur Toutes les tâches, puis sur Exporter. Cette opération ouvre l’Assistant Exportation de certificat.
  2. Dans l’Assistant, cliquez sur Suivant, sélectionnez Oui, exporter la clé privée, puis cliquez sur Suivant.
  3. Dans la page Format de fichier d’exportation , vous pouvez laisser les valeurs par défaut sélectionnées. Cliquez ensuite sur Suivant.
  4. Dans la page Sécurité , vous devez protéger la clé privée. Si vous choisissez d’utiliser un mot de passe, veillez à enregistrer ou à mémoriser celui que vous définissez pour ce certificat. Cliquez ensuite sur Suivant.
  5. Dans Fichier à exporter, cliquez sur Parcourir pour accéder à l’emplacement vers lequel vous souhaitez exporter le certificat. Pour la zone Nom de fichier, nommez le fichier de certificat. Cliquez ensuite sur Suivant.
  6. Cliquez sur Terminer pour exporter le certificat.

Installer un certificat client

Chaque client que vous souhaitez connecter à votre réseau virtuel à l’aide d’une connexion point à site doit posséder un certificat client installé. Ce certificat s’ajoute au package de configuration VPN requis. Les étapes ci-dessous vous guident dans l’installation manuelle du certificat client.

  1. Recherchez le fichier .pfx et copiez-le sur l’ordinateur client. Sur l’ordinateur client, double-cliquez sur le fichier .pfx à installer. Laissez la zone Emplacement du magasin définie sur Utilisateur actuel, puis cliquez sur Suivant.
  2. N’apportez aucune modification à la page Fichier à importer . Cliquez sur suivant.
  3. Dans la page Protection de clé privée, entrez le mot de passe du certificat si vous en avez utilisé un, ou vérifiez que le principal de sécurité qui installe le certificat est correct, puis cliquez sur Suivant.
  4. Dans la page Magasin de certificats, laissez l’emplacement par défaut, puis cliquez sur Suivant.
  5. Cliquez sur Terminer. Dans la page Avertissement de sécurité relative à l’installation du certificat, cliquez sur Oui. Le certificat est désormais importé.

Editez votre certificat .cer avec Notepad par exemple et copier le

Certificats racines : Ajoutez le nom et les données que vous avez copié

Attention à bien mettre un pool d’adresse exemple 192.168.8.0/28 pour ma config

Il vous faut ensuite télécharger le client une fois qu’azure l’aura généré.

Une télécharger exécutez le programme Client VPN AZURE

Cliquez sur votre connexion VPN et ensuite faire « se connecter ». Vous obtiendrez « Windows Azure Virtual Network »

 

Voilà c’est finit

Yann

Laisser un commentaire