Neste pequeno artigo vamos mostrar como renovar o certificado de VPN P2S do Microsoft Azure para 3 anos ou mais. Hoje a documentação para renovação do certificado da VPN P2S no Azure, nos mostra apenas a renovação para 1 ano por questões de segurança. Concordamos que isso é bem válido pensando nas melhores práticas de segurança, mas para cenários grandes isso pode ser um problema, aumentando a mão de obra drasticamente na parte de infraestrutura.
Pensando nisso, mostraremos como gerar o seu novo certificado P2S para 3 anos. Vamos para a parte prática!
Primeiramente abra o seu Powershell ISE ou Powershell e digite os seguintes comandos:
# Primeiro Rodar esse primeiro bloco
$date_now= Get-Date$extended_date= $date_now.AddYears(3)$cert= New-SelfSignedCertificate -Type Custom -KeySpec Signature `-Subject “CN=P2SRootCert” -KeyExportPolicy Exportable `-HashAlgorithm sha256 -KeyLength 2048 `-CertStoreLocation “Cert:\CurrentUser\My” -KeyUsageProperty Sign -KeyUsage CertSign -Notafter $extended_date
# Depois Rodar esse segundo bloco
New-SelfSignedCertificate -Type Custom -DnsName P2SChildCert -KeySpec Signature `-Subject “CN=P2SChildCert” -KeyExportPolicy Exportable `-HashAlgorithm sha256 -KeyLength 2048 `-CertStoreLocation “Cert:\CurrentUser\My” `-Signer $cert-TextExtension @(“2.5.29.37={text}1.3.6.1.5.5.7.3.2”) -Notafter $extended_date
Veja que a variável $date_now.AddYears(3) vai gerar o certificado para 3 anos. Você pode aumentar esse período se quiser, mas acredito que 3 anos seja o suficiente para se programar para uma próxima renovação. Tudo depende do seu cenário e também regras da sua organização. Deixamos bem claro que por questões de segurança a melhor prática é 1 ano, conforme documentação no Microsoft Docs.
Após a execução do comando, acesse o “certmgr.msc”:
Veja que o seu certificado foi gerado com sucesso.
Confira se a data foi estendida para 3 anos ou pelo período que você definiu no comando. Se estiver tudo OK, exporte o seu novo certificado salve em seu computador.
Abra o certificado com o bloco de notas e copie a chave pública, conforme mostramos na imagem abaixo:
Dentro do portal do Microsoft Azure, insira o nome amigável do seu certificado digital, juntamente com sua chave pública. Se voce vai precisar remover o certificado atual para conseguir inserir um novo. Esse processo remoção do certificado pode levar alguns minutos.
Salve as configurações com o seu novo certificado. Importe o seu novo certificado .pfx aos clientes e pronto, seu certificado P2S no Microsoft Azure estará pronto para ser utilizado e irá expirar após 3 anos de uso. Esperamos que esse pequeno artigo ajude todos os administradores de infraestrutura que utilizam os serviços online da Microsoft.