Назад | Перейти на главную страницу

Как обновить сертификат с истекшим сроком действия для компьютеров, которые должны подключаться через VPN к серверу в Azure?

Я создал свои самозаверяющие сертификаты с помощью PowerShell для https://docs.microsoft.com/en-us/azure/vpn-gateway/vpn-gateway-certificates-point-to-site#clientexport год назад и пора их обновить. Я больше не могу даже подключиться к VPN в облаке Azure, потому что срок действия сертификатов истек сегодня. Я получаю сообщение об ошибке «Не удалось найти сертификат, который можно использовать с этим расширяемым протоколом аутентификации (ошибка 798)» на любых клиентских машинах с Windows 10, которые пытаются инициировать VPN.

Я считаю, что на этом этапе мне придется восстановить все сертификаты как корневые, так и клиентские, но, пожалуйста, сообщите, есть ли более простой способ решить эту проблему.

Кажется, нет простого пути, кроме как каждый раз начинать с нуля. Хотя лучше сделать это до истечения срока действия сертификатов - если срок действия сертификатов действительно истекает, просто повторите ту же процедуру снова и снова. Это подмножество шагов, которые вы бы выполнили, когда впервые сгенерировали свои оригинальные самозаверяющие сертификаты (за исключением, конечно, теперь, когда вы не воссоздаете свою виртуальную сеть, не воссоздаете свой VPN-шлюз в Azure и т. Д. Скорее, вы просто обновите данные публичного сертификата для него на шаге 2 ниже).

И да, в процессе (шаги 1 и 2 ниже) вы создадите новый корневой сертификат и должны будете вставить данные общедоступного сертификата на портал Azure (https://portal.azure.com). Вам разрешено хранить там несколько (до 20) таких сертификатов, и цель этого - предвидеть истечение срока действия сертификата и подготовить облако Azure со следующим действительным сертификатом до истечения срока действия старого.

Помимо простоя, ваши пользователи будут временно испытывать, если срок действия сертификатов непреднамеренно истечет, и вы не подготовили новые для их замены ранее, вы в основном не упустите ни секунды, просто выполнив те же самые шаги, указанные ниже.

ПРИМЕЧАНИЕ. Любые виртуальные машины в облаке не обязательно должны иметь установленные сертификаты (если вы не используете их там также для других целей, требующих шифрования). Только клиенты будут. Данные сертификата шлюза «точка-сеть» Azure (который обрабатывает ваши VPN-подключения) - это все, что необходимо обновить в облаке на шаге 2 ниже. И, конечно же, вам нужно обновить сертификаты клиентов (шаг 3).

  1. на ПК вашего администратора - локальном, физическом компьютере или сервере, который вы выбрали в качестве основного местоположения, из которого вы будете создавать свои сертификаты - повторно создайте все самозаверяющие сертификаты (как корневые, так и клиентские, как будто начиная с нуля - поэтому в основном выполните все шаги по ссылке, указанной для этого шага здесь) для https://docs.microsoft.com/en-us/azure/vpn-gateway/vpn-gateway-certificates-point-to-site
  2. вставьте текст корневого ключа на портал Azure (portal.azure.com), выполнив действия под названием «Загрузить данные общедоступного сертификата корневого сертификата» на странице https://docs.microsoft.com/en-us/azure/vpn-gateway/vpn-gateway-howto-point-to-site-resource-manager-portal#uploadfile. Помните, что вам нужно будет удалить здесь все сертификаты с истекшим сроком действия, прежде чем сохранять только что вставленный, иначе операция сохранения на портале Azure завершится ошибкой.
  3. установить клиентские сертификаты на все клиентские ПК на https://docs.microsoft.com/en-us/azure/vpn-gateway/point-to-site-how-to-vpn-client-install-azure-cert
  4. на портале Azure повторно создайте файл конфигурации VPN-клиента для https://docs.microsoft.com/en-us/azure/vpn-gateway/point-to-site-vpn-client-configuration-azure-cert а затем установите его на каждый клиентский ПК

После того, как вы выполните указанные выше действия, ваши клиенты смогут восстановить свое VPN-соединение с вашим облаком Azure (и избавиться от ошибки 798) и иметь возможность выполнять всю свою работу там, как и раньше.