S2S VPN Gateway 인증서 인증 연결 구성 - 미리 보기

이 문서에서는 Azure Portal을 사용하여 온-프레미스 네트워크와 가상 네트워크 간에 S2S(사이트 간) 인증서 인증 VPN Gateway 연결을 만듭니다. 이 구성 단계는 관리 ID, Azure Key Vault 및 인증서를 사용합니다. 대신 공유 키를 사용하는 사이트 간의 VPN 연결을 만들어야 하는 경우 S2S VPN 연결 만들기를 참조하세요.

필수 조건

참고 항목

사이트간 인증서 인증은 기본 SKU VPN 게이트웨이에서 지원되지 않습니다.

• 가상 네트워크 및 VPN 게이트웨이가 이미 있습니다. 그렇지 않은 경우 단계에 따라 VPN 게이트웨이를 만든 다음, 이 페이지로 돌아가서 사이트-사이트 인증서 인증 연결을 구성합니다.

• 호환되는 VPN 디바이스 및 이 디바이스를 구성할 수 있는 사람이 있는지 확인합니다. 호환되는 VPN 디바이스 및 디바이스 구성에 대한 자세한 내용은 VPN 디바이스 정보를 참조하세요.

• VPN 디바이스에 대한 외부 연결 공용 IPv4 주소가 있는지 확인합니다.

• 온-프레미스 네트워크에 있는 IP 주소 범위에 익숙하지 않은 경우 세부 정보를 제공할 수 있는 다른 사람의 도움을 받아야 합니다. 이 구성을 만들 때 Azure가 온-프레미스 위치로 라우팅하는 IP 주소 범위 접두사를 지정해야 합니다. 온-프레미스 네트워크의 어떤 서브넷도 사용자가 연결하려는 가상 네트워크 서브넷과 중첩될 수 없습니다.

관리 ID 만들기

이 구성에는 관리 ID가 필요합니다. 관리 ID에 대한 자세한 내용은 Azure 리소스용 관리 ID란?을 참조하세요. 사용자가 할당한 관리 ID가 이미 있는 경우 이 연습에 사용할 수 있습니다. 그렇지 않은 경우 다음 단계를 사용하여 관리 ID를 만듭니다.

1. Azure Portal에서 관리 ID를 검색하고 선택합니다.
2. 만들기를 실행합니다.
3. 필요한 정보를 입력합니다. 이름을 만들 때 직관적인 항목을 사용합니다. 예를 들어 사이트-사이트 관리 또는 vpngwy 관리 키 자격 증명 모음 구성 단계의 이름이 필요합니다. 리소스 그룹은 VPN 게이트웨이에 사용하는 리소스 그룹과 동일할 필요가 없습니다.
4. 검토 + 만들기를 선택합니다.
5. 값의 유효성을 검사합니다. 유효성 검사가 완료되면 만들기를 선택합니다.

Key Vault 및 관리 ID에 대한 VPN Gateway 사용

이 섹션에서는 Azure Key Vault에 대한 게이트웨이 및 이전에 만든 관리 ID를 사용하도록 설정합니다. Azure Key Vault에 대한 자세한 내용은 Azure Key Vault 정보를 참조 하세요.

1. 포털에서 VPN 게이트웨이(가상 네트워크 게이트웨이)로 이동합니다.
2. 설정 -> 구성으로 이동합니다. 구성 페이지에서 다음 인증 설정을 지정합니다.
   • Key Vault 액세스 사용: 사용
   • 관리 ID: 이전에 만든 관리 ID를 선택합니다.
3. 설정을 저장합니다.

로컬 네트워크 게이트웨이 만들기

로컬 네트워크 게이트웨이는 라우팅 목적으로 온-프레미스 위치(사이트)를 나타내는 특정 개체입니다. Azure가 참조할 수 있는 사이트 이름을 지정한 다음, 연결을 만들 온-프레미스 VPN 디바이스의 IP 주소를 지정합니다. 또한 VPN 게이트웨이를 통해 VPN 디바이스로 라우팅될 IP 주소 접두사를 지정합니다. 사용자가 지정하는 주소 접두사는 온-프레미스 네트워크에 있는 접두사입니다. 온-프레미스 네트워크가 변경되거나 VPN 디바이스에서 공용 IP 주소를 변경해야 하는 경우 나중에 값을 쉽게 업데이트할 수 있습니다.

참고 항목

로컬 네트워크 게이트웨이 개체는 온-프레미스 위치가 아닌 Azure에 배포됩니다.

다음 값을 사용하여 로컬 네트워크 게이트웨이를 만듭니다.

• 이름: Site1
• 리소스 그룹: TestRG1
• 위치: 미국 동부

구성 고려 사항:

• VPN Gateway는 각 FQDN에 대해 하나의 IPv4 주소만 지원합니다. 도메인 이름이 여러 IP 주소로 확인되는 경우 VPN Gateway는 DNS 서버에서 반환한 첫 번째 IP 주소를 사용합니다. 불확실성을 없애기 위해 FQDN은 항상 단일 IPv4 주소로 확인하는 것이 좋습니다. IPv6는 지원되지 않습니다.
• VPN Gateway는 5분마다 새로 고쳐지는 DNS 캐시를 유지 관리합니다. 연결되지 않은 터널에 대해서만 게이트웨이가 FQDN을 확인하려고 합니다. 게이트웨이를 재설정하면 FQDN 확인도 트리거됩니다.
• VPN Gateway는 서로 다른 FQDN을 사용하여 서로 다른 로컬 네트워크 게이트웨이에 대한 다중 연결을 지원하지만 모든 FQDN은 서로 다른 IP 주소로 확인되어야 합니다.

1. 포털에서 로컬 네트워크 게이트웨이로 이동하여 로컬 네트워크 게이트웨이 만들기 페이지를 엽니다.

2. 기본 탭에서 로컬 네트워크 게이트웨이의 값을 지정합니다.

   

   • 구독: 올바른 구독이 표시되는지 확인합니다.
   • 리소스 그룹: 사용하려는 리소스 그룹을 선택합니다. 새 리소스 그룹을 만들거나 이미 만든 리소스 그룹을 선택할 수 있습니다.
   • 지역: 이 개체의 지역을 선택합니다. 가상 네트워크가 있는 위치와 동일한 위치를 선택할 수도 있지만, 반드시 그렇게 할 필요는 없습니다.
   • 이름: 로컬 네트워크 게이트웨이 개체의 이름을 지정합니다.
   • 엔드포인트: 온-프레미스 VPN 디바이스의 엔드포인트 유형을 IP 주소 또는 FQDN(정규화된 도메인 이름)으로 선택합니다.
     • IP 주소: ISP(인터넷 서비스 공급자)의 고정 공용 IP 주소가 VPN 디바이스에 할당된 경우 IP 주소 옵션을 선택합니다. 예제와 같이 IP 주소를 입력합니다. 이 주소는 Azure VPN 게이트웨이를 연결하려는 VPN 디바이스의 공용 IP 주소입니다. 현재 IP 주소가 없으면 예제의 값을 사용하면 됩니다. 나중에 돌아가서 자리 표시자 IP 주소를 VPN 디바이스의 공용 IP 주소로 바꿔야 합니다. 그렇지 않으면 Azure에서 연결할 수 없습니다.
     • FQDN: ISP가 결정한 특정 기간 후에 자주 변경될 수 있는 동적 공용 IP 주소를 사용하는 경우 동적 DNS 서비스와 함께 상수 DNS 이름을 사용하여 VPN 디바이스의 현재 공용 IP 주소를 가리킬 수 있습니다. Azure VPN 게이트웨이는 FQDN을 확인하여 연결할 공용 IP 주소를 결정합니다.
   • 주소 공간: 주소 공간은 이 로컬 네트워크가 나타내는 네트워크의 주소 범위를 가리킵니다. 주소 공간 범위를 여러 개 추가할 수 있습니다. 여기에서 지정한 범위가 연결하려는 다른 네트워크의 범위와 겹치지 않는지 확인합니다. Azure는 사용자가 지정하는 주소 범위를 온-프레미스 VPN 디바이스 IP 주소로 라우팅합니다. 온-프레미스 사이트에 연결하려는 경우 예제에 표시된 값이 아니라 자체 값을 여기에 사용합니다.

3. 필요한 경우 고급 탭에서 BGP 설정을 구성할 수 있습니다.

4. 값을 지정한 후 페이지 하단에서 검토 + 만들기를 선택하여 페이지의 유효성을 검사합니다.

5. 만들기를 선택하여 로컬 네트워크 게이트웨이 개체를 만듭니다.

인증서

사이트 및 사이트 간의 인증서 인증 아키텍처는 인바운드 및 아웃바운드 인증서를 모두 사용합니다.

참고 항목

인바운드 및 아웃바운드 인증서는 동일한 루트 인증서에서 생성할 필요가 없습니다.

아웃바운드 인증서

• 아웃바운드 인증서는 Azure에서 온-프레미스 사이트로 들어오는 연결을 확인하는 데 사용됩니다.
• 인증서는 Azure Key Vault에 저장됩니다. 사이트-사이트 연결을 구성할 때 아웃바운드 인증서 경로 식별자를 지정합니다.
• 선택한 인증 기관을 사용하여 인증서를 만들거나 자체 서명된 루트 인증서를 만들 수 있습니다.

아웃바운드 인증서를 생성할 때 인증서는 다음 지침을 준수해야 합니다.

• 최소 키 길이는 2048비트입니다.
• 프라이빗 키가 있어야 합니다.
• 서버 및 클라이언트 인증이 있어야 합니다.
• 주체 이름이 있어야 합니다.

인바운드 인증서

• 인바운드 인증서는 온-프레미스 위치에서 Azure로 연결할 때 사용됩니다.
• 주체 이름 값은 사이트-사이트 연결을 구성할 때 사용됩니다.
• 인증서 체인 공개 키는 사이트-사이트 연결을 구성할 때 지정됩니다.

인증서 생성

컴퓨터에서 로컬로 PowerShell을 사용하여 인증서를 생성합니다. 다음 단계에서는 자체 서명된 루트 인증서 및 리프 인증서(인바운드 및 아웃바운드)를 만드는 방법을 보여 줍니다. 다음 예제를 사용하는 경우 자체 서명된 루트 CA와 리프 인증서를 만드는 사이에 PowerShell 창을 닫지 마세요.

자체 서명된 루트 인증서 만들기

New-SelfSignedCertificate cmdlet을 사용하여 자체 서명된 루트 인증서를 만듭니다. 매개 변수에 대한 자세한 내용은 New-SelfSignedCertificate를 참조 하세요.

1. Windows 10 이상 또는 Windows Server 2016을 실행하는 컴퓨터에서 상승된 권한으로 Windows PowerShell 콘솔을 엽니다.

2. 자체 서명된 루트 인증서를 만듭니다. 다음 예제에서는 'VPNRootCA01'이라는 자체 서명된 루트 인증서를 만듭니다. 이 인증서는 'Certificates-Current User\Personal\Certificates'에 자동으로 설치됩니다. 인증서가 만들어지면 certmgr.msc를 열거나 사용자 인증서를 관리하여 볼 수 있습니다.

   이 예제를 사용하기 전에 필요한 수정을 수행합니다. 'NotAfter' 매개 변수는 선택 사항입니다. 기본적으로 이 매개 변수가 없으면 인증서는 1년 후에 만료됩니다.

   $params = @{
       Type = 'Custom'
       Subject = 'CN=VPNRootCA01'
       KeySpec = 'Signature'
       KeyExportPolicy = 'Exportable'
       KeyUsage = 'CertSign'
       KeyUsageProperty = 'Sign'
       KeyLength = 2048
       HashAlgorithm = 'sha256'
       NotAfter = (Get-Date).AddMonths(120)
       CertStoreLocation = 'Cert:\CurrentUser\My'
       TextExtension = @('2.5.29.19={critical}{text}ca=1&pathlength=4')
   }
   $cert = New-SelfSignedCertificate @params
   

3. 리프 인증서를 생성하려면 PowerShell 콘솔을 열어 두고 다음 단계를 진행합니다.

리프 인증서 생성

이러한 예제에서는 New-SelfSignedCertificate cmdlet을 사용하여 아웃바운드 및 인바운드 리프 인증서를 생성합니다. 인증서는 컴퓨터의 '인증서 - 현재 사용자\개인\인증서'에 자동으로 설치됩니다.

아웃바운드 인증서

   $params = @{
       Type = 'Custom'
       Subject = 'CN=Outbound-certificate'
       KeySpec = 'Signature'
       KeyExportPolicy = 'Exportable'
       KeyLength = 2048
       HashAlgorithm = 'sha256'
       NotAfter = (Get-Date).AddMonths(120)
       CertStoreLocation = 'Cert:\CurrentUser\My'
       Signer = $cert
       TextExtension = @(
        '2.5.29.37={text}1.3.6.1.5.5.7.3.2,1.3.6.1.5.5.7.3.1')
   }
   New-SelfSignedCertificate @params

인바운드 인증서

   $params = @{
       Type = 'Custom'
       Subject = 'CN=Inbound-certificate'
       KeySpec = 'Signature'
       KeyExportPolicy = 'Exportable'
       KeyLength = 2048
       HashAlgorithm = 'sha256'
       NotAfter = (Get-Date).AddMonths(120)
       CertStoreLocation = 'Cert:\CurrentUser\My'
       Signer = $cert
       TextExtension = @(
        '2.5.29.37={text}1.3.6.1.5.5.7.3.2,1.3.6.1.5.5.7.3.1')
   }
   New-SelfSignedCertificate @params

아웃바운드 인증서 - 프라이빗 키 데이터 내보내기

프라이빗 키를 사용하여 아웃바운드 인증서 정보를 .pfx 또는 .pem 파일로 내보냅니다. 이후 단계에서 이 인증서 정보를 Azure Key Vault에 안전하게 업로드합니다. Windows를 사용하여 .pfx로 내보내려면 다음 단계를 사용합니다.

1. 인증서 .cer 파일을 가져오려면 사용자 인증서 관리를 엽니다.

2. 일반적으로 인증서 - 현재 사용자\개인\인증서에서 아웃바운드 인증서를 찾고 마우스 오른쪽 단추를 클릭합니다. 모든 작업 - >내보내기를 선택합니다. 이렇게 하면 인증서 내보내기 마법사가 열립니다.

3. 마법사에서 다음을 선택합니다.

4. 예, 프라이빗 키를 내보냅니다.를 선택한 후, 다음을 선택합니다.

5. 파일 형식 내보내기 페이지에서 개인 정보 교환 - PKCS #12(PFX)를 선택합니다. 다음 항목을 선택합니다.

   • 가능하면 인증 경로에 있는 모든 인증서를 포함
   • 확장된 속성 모두 내보내기
   • 인증서 개인 정보 보호 사용

6. 다음을 선택합니다. 보안 페이지에서 암호 및 암호화 방법을 선택합니다. 그런 후에 다음을 선택합니다.

7. 파일 이름을 지정하고 내보낼 위치를 찾습니다.

8. 마침을 선택하여 인증서를 내보냅니다.

9. 내보내기를 완료했습니다.라는 확인 메시지가 표시됩니다.

인바운드 인증서 - 공개 키 데이터 내보내기

인바운드 인증서에 대한 공개 키 데이터를 내보 냅니다. 파일의 정보는 사이트-사이트 연결을 구성할 때 인바운드 인증서 체인 필드에 사용됩니다. 내보낸 파일은 형식이어야 .cer 합니다. 인증서 값을 암호화하지 마세요.

1. 인증서 .cer 파일을 가져오려면 사용자 인증서 관리를 엽니다.
2. 인증서(일반적으로 인증서 - 현재 사용자\개인\인증서)를 찾아 마우스 오른쪽 단추를 클릭합니다. 모든 작업 - >내보내기를 선택합니다. 이렇게 하면 인증서 내보내기 마법사가 열립니다.
3. 마법사에서 다음을 선택합니다.
4. 아니요를 선택하고 프라이빗 키를 내보내지 마세요. 그런 후 다음을 선택합니다.
5. Base-64로 인코딩된 X.509(를 선택합니다. CER)을 선택한 다음, 다음을 선택합니다.
6. 파일 이름을 지정하고 내보낼 위치를 찾습니다.
7. 마침을 선택하여 인증서를 내보냅니다.
8. 내보내기를 완료했습니다.라는 확인 메시지가 표시됩니다.
9. 이 .cer 파일은 나중에 연결을 구성할 때 사용됩니다.

루트 인증서 - 공개 키 데이터 내보내기

루트 인증서에 대한 공개 키 데이터를 내보냅니다. 내보낸 파일은 형식이어야 .cer 합니다. 인증서 값을 암호화하지 마세요.

1. 인증서 .cer 파일을 가져오려면 사용자 인증서 관리를 엽니다.
2. 인증서(일반적으로 인증서 - 현재 사용자\개인\인증서)를 찾아 마우스 오른쪽 단추를 클릭합니다. 모든 작업 - >내보내기를 선택합니다. 이렇게 하면 인증서 내보내기 마법사가 열립니다.
3. 마법사에서 다음을 선택합니다.
4. 아니요를 선택하고 프라이빗 키를 내보내지 마세요. 그런 후 다음을 선택합니다.
5. Base-64로 인코딩된 X.509(를 선택합니다. CER)을 선택한 다음, 다음을 선택합니다.
6. 파일 이름을 지정하고 내보낼 위치를 찾습니다.
7. 마침을 선택하여 인증서를 내보냅니다.
8. 내보내기를 완료했습니다.라는 확인 메시지가 표시됩니다.
9. 이 .cer 파일은 나중에 연결을 구성할 때 사용됩니다.

키 자격 증명 모음 만들기

이 구성에는 Azure Key Vault가 필요합니다. 다음 단계에서는 키 자격 증명 모음을 만듭니다. 나중에 키 자격 증명 모음에 인증서 및 관리 ID를 추가합니다. 보다 포괄적인 단계는 빠른 시작 - Azure Portal을 사용하여 키 자격 증명 모음 만들기를 참조하세요.

1. Azure Portal에서 Key Vault를 검색 합니다. 키 자격 증명 모음 페이지에서 +만들기를 선택합니다.
2. 키 자격 증명 모음 만들기 페이지에서 필요한 정보를 입력합니다. 리소스 그룹은 VPN 게이트웨이에 사용한 리소스 그룹과 동일할 필요가 없습니다.
3. 액세스 구성 탭의 권한 모델에 대해 자격 증명 모음 액세스 정책을 선택합니다.
4. 다른 필드를 채우지 마세요.
5. 검토 + 만들기를 선택한 다음, 키 자격 증명 모음을 만듭니다.

Key Vault에 아웃바운드 인증서 파일 추가

다음 단계는 아웃바운드 인증서 정보를 Azure Key Vault에 업로드하는 데 도움이 됩니다.

1. Key Vault로 이동합니다. 왼쪽 창에서 인증서 페이지를 엽니다.
2. 인증서 페이지에서 +생성/가져오기를 선택합니다.
3. 인증서를 만드는 방법은 드롭다운에서 가져오기를 선택합니다.
4. 직관적인 인증서 이름을 입력합니다. 인증서 CN 또는 인증서 파일 이름이 될 필요는 없습니다.
5. 아웃바운드 인증서 파일을 업로드합니다. 인증서 파일은 다음 형식 중 하나여야 합니다.
   • .pfx
   • .pfm
6. 인증서 정보를 보호하는 데 사용되는 암호를 입력합니다.
7. 만들기를 선택하여 인증서 파일을 업로드합니다.

키 자격 증명 모음에 관리 ID 추가

1. Key Vault로 이동합니다. 왼쪽 창에서 액세스 정책 페이지를 엽니다.
2. +만들기를 선택합니다.
3. 액세스 정책 만들기 페이지의 비밀 관리 옵션 및 인증서 관리 작업에 대해 모두 선택을 선택합니다.
4. 다음을 선택하여 보안 주체* 페이지로 이동합니다.
5. 보안 주체 페이지에서 이전에 만든 관리 ID를 검색하고 선택합니다.
6. 다음을 선택하고 검토 + 만들기 페이지로 진행 합니다. 만들기를 실행합니다.

VPN 디바이스 구성

온-프레미스 네트워크에 대한 사이트 간 연결에는 VPN 디바이스가 필요합니다. 이 단계에서는 VPN 디바이스를 구성합니다. VPN 디바이스를 구성할 때 다음 값이 필요합니다.

• 인증서: 인증에 사용되는 인증서 데이터가 필요합니다. 이 인증서는 VPN 연결을 만들 때 인바운드 인증서로도 사용됩니다.
• 가상 네트워크 게이트웨이에 대한 공용 IP 주소 값: Azure Portal을 사용하여 VPN Gateway VM 인스턴스에 대한 공용 IP 주소를 찾으려면 가상 네트워크 게이트웨이로 이동하여 설정 ->속성 아래에서 확인합니다. 활성-활성 모드 게이트웨이(권장)가 있는 경우 각 VM 인스턴스에 터널을 설정해야 합니다. 두 터널은 같은 연결의 일부입니다. 활성-활성 모드 VPN 게이트웨이에는 각 게이트웨이 VM 인스턴스에 대해 하나씩 두 개의 공용 IP 주소가 있습니다.

사용하고 있는 VPN 디바이스에 따라 VPN 디바이스 구성 스크립트를 다운로드할 수 있습니다. 자세한 내용은 VPN 디바이스 구성 스크립트 다운로드를 참조하세요.

더 많은 구성 정보를 보려면 다음 링크를 참조하세요.

• 호환되는 VPN 디바이스에 대한 내용은 VPN 디바이스를 참조하세요.
• VPN 디바이스를 구성하기 전에, 사용하려는 VPN 디바이스의 알려진 디바이스 호환성 문제를 확인합니다.
• 디바이스 구성 설정에 대한 링크는 확인된 VPN 디바이스를 참조하세요. 디바이스 구성에 대한 링크가 가장 효율적으로 제공됩니다. 최신 구성 정보에 대해서는 항상 디바이스 제조업체에 문의하는 것이 가장 좋습니다. 목록에는 테스트한 버전이 표시됩니다. OS가 해당 목록에 없는 경우에 버전이 호환되는 것이 여전히 가능합니다. VPN 디바이스의 OS 버전이 호환되는지 확인하려면 해당 디바이스 제조업체에 문의하세요.
• VPN 디바이스 구성의 개요는 타사 VPN 디바이스 구성의 개요를 참조하세요.
• 디바이스 구성 샘플을 편집하는 방법에 대한 정보는 샘플 편집을 참조하세요.
• 암호화 요구 사항은 암호화 요구 사항 및 Azure VPN Gateway 정보를 참조하세요.
• IPsec/IKE 매개 변수에 대한 정보는 사이트 간 VPN Gateway 연결에 대한 VPN 디바이스 및 IPsec/IKE 매개 변수 정보를 참조하세요. 이 링크는 IKE 버전, Diffie-Hellman Group, 인증 방법, 암호화 및 해싱 알고리즘, SA 수명, PFS와 DPD, 그 외 구성을 완료하는데 필요한 매개 변수 정보에 관한 정보를 보여 줍니다.
• IPsec/IKE 정책 구성 단계는 사이트 간 VPN 또는 VNet 간 연결에 대한 IPsec/IKE 정책 구성을 참조하세요.
• 여러 정책 기반 VPN 디바이스를 연결하려면 PowerShell을 사용하여 여러 온-프레미스 정책 기반 VPN 디바이스에 Azure VPN Gateway 연결을 참조하세요.

사이트 대 사이트 연결 만들기

이 섹션에서는 가상 네트워크 게이트웨이와 온-프레미스 VPN 디바이스 간에 사이트 간 VPN 연결을 만듭니다.

구성 값 수집

계속 진행하기 전에 필요한 구성 값에 대한 다음 정보를 수집합니다.

• 아웃바운드 인증서 경로: 아웃바운드 인증서의 경로입니다. 아웃바운드 인증서는 Azure에서 온-프레미스 위치로 연결할 때 사용되는 인증서입니다. 이 정보는 Azure Key Vault에 업로드한 것과 동일한 인증서에서 가져옵니다.

  1. Key Vault로 이동하여 키 자격 증명 모음을 클릭합니다. 왼쪽 창에서 개체를 확장하고 인증서를 선택합니다.
  2. 인증서를 찾아 클릭하여 인증서 페이지를 엽니다.
  3. 인증서 버전에 대한 줄을 클릭합니다.
  4. 키 식별자 옆에 있는 경로를 복사합니다. 경로는 인증서와 관련이 있습니다.

  예: https://s2s-vault1.vault.azure.net/certificates/site-to-site/<certificate-value>

• 인바운드 인증서 주체 이름: 인바운드 인증서의 CN입니다. 이 값을 찾으려면 다음을 수행합니다.

  1. Windows 컴퓨터에서 인증서를 생성한 경우 인증서 관리를 사용하여 인증서를 찾을 수 있습니다.
  2. 세부 정보 탭으로 이동합니다. 스크롤하고 제목을 클릭합니다. 아래쪽 창에 값이 표시됩니다.
  3. 값에 CN=를 포함하지 마세요.

• 인바운드 인증서 체인: 이 인증서 정보는 들어오는 인바운드 인증서를 확인하는 데만 사용되며 프라이빗 키가 포함되지 않습니다. 포털의 인바운드 인증서 섹션에 항상 두 개 이상의 인증서가 있어야 합니다.

  인증서 체인에 중간 CA가 있는 경우 먼저 루트 인증서를 첫 번째 중간 인증서로 추가한 다음, 인바운드 중간 인증서를 사용합니다.

  다음 단계를 사용하여 인바운드 인증서 필드에 필요한 형식으로 인증서 데이터를 추출합니다.

  1. 인증서 데이터를 추출하려면 인바운드 인증서를 Base-64로 인코딩된 X.509()로 내보내야 합니다. 이전 단계의 CER) 파일입니다. 이 형식으로 내보내야 텍스트 편집기에서 인증서를 열 수 있습니다.

  2. 텍스트 편집기를 사용하여 .cer 인증서 파일을 찾아 엽니다. 인증서 데이터를 복사할 때 텍스트를 연속 줄 하나로 복사해야 합니다.

  3. 연결을 만들 때 인바운드 인증서 체인 필드에 연속 줄 간에 -----BEGIN CERTIFICATE----- -----END CERTIFICATE----- 나열된 데이터를 한 줄로 복사합니다.

     예시:

     

연결 만들기

1. 만든 가상 네트워크 게이트웨이로 이동하여 연결을 선택합니다.

2. 연결 페이지의 맨 위에 있는 + 추가를 선택하여 연결 만들기 페이지를 엽니다.

3. 연결 만들기 페이지의 기본 탭에서 연결에 대한 값을 구성합니다.

   • 프로젝트 세부 정보에서 구독 및 리소스가 있는 리소스 그룹을 선택합니다.

   • 인스턴스 세부 정보에서 다음 설정을 구성합니다.

     • 연결 형식: 사이트 간(IPSec)을 선택합니다.
     • 이름: 연결의 이름을 지정합니다. 예: VNet-사이트1.
     • 지역: 이 연결의 지역을 선택합니다.

4. 설정 탭을 선택합니다.

   

   다음 값을 구성 합니다.

   • 가상 네트워크 게이트웨이: 드롭다운 목록에서 가상 네트워크 게이트웨이를 선택합니다.
   • 로컬 네트워크 게이트웨이: 드롭다운 목록에서 로컬 네트워크 게이트웨이를 선택합니다.
   • 인증 방법: Key Vault 인증서를 선택합니다.
   • 아웃바운드 인증서 경로: Key Vault에 있는 아웃바운드 인증서의 경로입니다. 이 정보를 가져오는 방법은 이 섹션의 시작 부분에 있습니다.
   • 인바운드 인증서 주체 이름: 인바운드 인증서의 CN입니다. 이 정보를 가져오는 방법은 이 섹션의 시작 부분에 있습니다.
   • 인바운드 인증서 체인: 파일에서 .cer 복사한 인증서 데이터입니다. 인바운드 인증서에 대한 인증서 정보를 복사하여 붙여넣습니다. 이 정보를 가져오는 방법은 이 섹션의 시작 부분에 있습니다.
   • IKE 프로토콜: IKEv2를 선택합니다.
   • Azure 개인 IP 주소 사용: 선택하지 않습니다.
   • BGP 사용: BGP를 사용하려는 경우에만 사용하도록 설정합니다.
   • IPsec/IKE 정책: 기본값을 선택합니다.
   • 정책 기반 트래픽 선택기 사용: 사용 안 함을 선택합니다.
   • DPD 시간 제한(초): 45를 선택합니다.
   • 연결 모드: 기본값을 선택합니다. 이 설정은 연결을 시작할 수 있는 게이트웨이를 지정하는 데 사용됩니다. 자세한 내용은 VPN Gateway 설정 - 연결 모드를 참조하세요.
   • NAT 규칙 연결의 경우 수신 및 송신을 모두 0개 선택됨으로 둡니다.

5. 검토 + 만들기를 선택하여 연결 설정의 유효성을 검사한 다음 만들기를 선택하여 연결을 만듭니다.

6. 배포가 완료되면 가상 네트워크 게이트웨이의 연결 페이지에서 연결을 볼 수 있습니다. 상태가 알 수 없음에서 연결 중으로 바뀌고, 다시 성공으로 바뀝니다.

다음 단계

연결이 완료되면 가상 머신을 VNet에 추가할 수 있습니다. 자세한 내용은 Virtual Machines를 참조하세요. 네트워킹 및 가상 머신에 대한 자세한 내용은 Azure 및 Linux VM 네트워크 개요를 참조하세요.

P2S 문제 해결 정보는 Azure 지점 및 사이트 간 연결 문제 해결을 참조하세요.