Udostępnij za pośrednictwem

Konfiguracja ustawień serwera dla uwierzytelniania certyfikatu w bramie P2S VPN Gateway

  • Artykuł

Ten artykuł pomaga skonfigurować niezbędne ustawienia serwera VPN Gateway point-to-site (P2S), aby umożliwić bezpieczne łączenie się z pojedynczych komputerów klienckich z systemami Windows, Linux lub macOS do sieci wirtualnej w Azure. Połączenia VPN Punkt-do-sieci są przydatne, gdy chcesz nawiązać połączenie z siecią wirtualną z lokalizacji zdalnej, na przykład pracując zdalnie z domu lub będąc na konferencji. Możesz również użyć połączenia typu punkt-lokacja zamiast sieci VPN typu lokacja-lokacja (S2S), gdy masz tylko kilku klientów, którzy muszą nawiązać połączenie z siecią wirtualną.

Połączenia Punkt-Punkt nie wymagają urządzenia sieci VPN ani publicznego adresu IP. Dostępnych jest wiele różnych opcji konfiguracji dla połączeń punkt-do-sieci (P2S). Aby uzyskać więcej informacji na temat sieci VPN typu punkt-lokacja, zobacz About point-to-site VPN (Informacje o sieci VPN typu punkt-lokacja).

Diagram połączenia punkt-lokacja przedstawiający sposób nawiązywania połączenia z komputera z siecią wirtualną platformy Azure.

Kroki opisane w tym artykule używają portalu Azure do konfigurowania bramy sieci VPN Azure na potrzeby uwierzytelniania certyfikatami typu punkt-do-lokacji.

Połączenia uwierzytelniania certyfikatów P2S platformy Azure używają następujących elementów:

  • Brama sieci VPN bazująca na trasach (nie bazująca na zasadach). Aby uzyskać więcej informacji na temat typu sieci VPN, zobacz Ustawienia usługi VPN Gateway.
  • Klucz publiczny (plik cer) dla certyfikatu głównego, przekazany na platformę Azure. Po przekazaniu certyfikatu zostaje on uznany za zaufany i jest używany do uwierzytelniania.
  • Certyfikat klienta generowany na podstawie certyfikatu głównego. Certyfikat klienta instalowany na każdym komputerze klienckim, który będzie łączyć się z siecią wirtualną. Ten certyfikat jest używany do uwierzytelniania klientów.
  • Pliki konfiguracji klienta sieci VPN. Klient sieci VPN jest skonfigurowany przy użyciu plików konfiguracji klienta sieci VPN. Te pliki zawierają informacje niezbędne do nawiązania połączenia z siecią wirtualną przez klienta. Każdy klient, który nawiązuje połączenie, musi być skonfigurowany przy użyciu ustawień w tych plikach konfiguracji.

Wymagania wstępne

W tym artykule założono, że utworzono już bramę sieci VPN opartą na trasach zgodną z konfiguracją punkt-lokacja, którą chcesz utworzyć, metodą uwierzytelniania, której chcesz użyć, oraz łączącymi się klientami sieci VPN.

  • Jeśli nie masz jeszcze bramy sieci VPN, zobacz Tworzenie bramy sieci VPN i zarządzanie nią, a następnie wróć do tej strony, aby skonfigurować ustawienia bramy sieci VPN typu punkt-lokacja.
  • Aby ułatwić określenie potrzebnej konfiguracji Point-to-Site (P2S), zapoznaj się z tabelą klienta VPN.
  • Jeśli masz bramę sieci VPN korzystającą z jednostki SKU w warstwie Podstawowa, pamiętaj, że jednostka SKU w warstwie Podstawowa ma ograniczenia P2S i nie obsługuje uwierzytelniania IKEv2 lub RADIUS. Aby uzyskać więcej informacji, zobacz Informacje o SKU bramy.

Generowanie certyfikatów

Certyfikaty są używane przez platformę Azure do uwierzytelniania klientów łączących się z siecią wirtualną za pośrednictwem połączenia sieci VPN typu punkt-lokacja. Po uzyskaniu certyfikatu głównego należy przekazać informacje o kluczu publicznym do platformy Azure. Certyfikat główny jest następnie uznawany przez platformę Azure za zaufany dla połączeń typu punkt-do-lokacji (P2S) z siecią wirtualną.

Ponadto certyfikaty klienta są generowane na podstawie zaufanego certyfikatu głównego, a następnie instalowane na każdym komputerze klienckim. Certyfikat klienta jest używany do uwierzytelniania klienta podczas inicjowania połączenia z siecią wirtualną.

Przed skonfigurowaniem ustawień bramy punkt-lokacja należy wygenerować i wyodrębnić certyfikat główny.

Generowanie certyfikatu głównego

Uzyskaj plik .cer dla certyfikatu głównego. Możesz użyć certyfikatu głównego wygenerowanego za pomocą rozwiązania przedsiębiorstwa (zalecane) lub wygenerować certyfikat z podpisem własnym. Po utworzeniu certyfikatu głównego wyeksportuj dane certyfikatu publicznego (nie klucz prywatny) jako plik cer X.509 z kodowaniem Base64. Ten plik zostanie przekazany później na platformę Azure.

  • Certyfikat przedsiębiorstwa: jeśli używasz rozwiązania dla przedsiębiorstw, możesz użyć istniejącego łańcucha certyfikatów. Uzyskaj plik cer dla certyfikatu głównego, którego chcesz użyć.

  • Certyfikat główny z podpisem własnym: jeśli nie używasz rozwiązania certyfikatu przedsiębiorstwa, utwórz certyfikat główny z podpisem własnym. W przeciwnym razie utworzone certyfikaty nie będą zgodne z połączeniami typu Punkt-do-Sieci (P2S), a klienci otrzymają błąd połączenia podczas próby połączenia. Możesz użyć programu Azure PowerShell, MakeCert lub protokołu OpenSSL. W poniższych artykułach opisano sposób generowania zgodnego certyfikatu głównego z podpisem własnym:

Generowanie certyfikatów klienta

Każdy komputer kliencki połączony z siecią wirtualną z połączeniem punkt-lokacja musi mieć zainstalowany certyfikat klienta. Należy wygenerować go na podstawie certyfikatu głównego i zainstalować na każdym komputerze klienckim. Jeśli nie zainstalujesz prawidłowego certyfikatu klienta, uwierzytelnianie zakończy się niepowodzeniem, gdy klient spróbuje nawiązać połączenie z siecią wirtualną.

Można wygenerować unikatowy certyfikat dla każdego klienta lub można użyć tego samego certyfikatu dla wielu klientów. Zaletą generowania unikatowych certyfikatów klienta jest możliwość odwołania pojedynczego certyfikatu. W przeciwnym razie, jeśli wielu klientów korzysta z tego samego certyfikatu klienta do uwierzytelniania i odwołasz go, konieczne będzie wygenerowanie i zainstalowanie nowych certyfikatów dla każdego klienta korzystającego z tego certyfikatu.

Certyfikaty klienta można wygenerować, posługując się następującymi metodami:

  • Certyfikat przedsiębiorstwa:

    • Jeśli używasz rozwiązania z certyfikatem przedsiębiorstwa, wygeneruj certyfikat klienta przy użyciu formatu wartości nazwy pospolitej name@yourdomain.com. Użyj tego formatu zamiast formatu nazwa domeny\nazwa użytkownika.

    • Upewnij się, że certyfikat klienta jest oparty na szablonie certyfikatu użytkownika, którego pierwszym elementem na liście użytkownika jest Uwierzytelnienie klienta. Sprawdź certyfikat, dwukrotnie go klikając i wyświetlając obszar Ulepszone użycie klucza na karcie Szczegóły.

  • Certyfikat główny z podpisem własnym: Wykonaj kroki opisane w jednym z następujących artykułów dotyczących certyfikatów P2S, aby utworzone przez Ciebie certyfikaty klienta były zgodne z połączeniami P2S.

    Gdy certyfikat klienta jest generowany na podstawie certyfikatu głównego z podpisem własnym, jest on automatycznie instalowany na komputerze użytym do jego wygenerowania. Aby zainstalować certyfikat klienta na innym komputerze klienckim, wyeksportuj go jako plik pfx razem z całym łańcuchem certyfikatów. Spowoduje to utworzenie pliku pfx zawierającego informacje o certyfikacie głównym, który jest wymagany do uwierzytelnienia klienta.

    Kroki opisane w tych artykułach generują zgodny certyfikat klienta, który można następnie wyeksportować i rozpowszechnić.

    • Instrukcje programu PowerShell dla systemu Windows 10 lub nowszego: te instrukcje wymagają systemu Windows 10 lub nowszego oraz programu PowerShell do generowania certyfikatów. Wygenerowane certyfikaty można zainstalować na dowolnym obsługiwanym kliencie P2S.

    • Instrukcje narzędzia MakeCert: Użyj narzędzia MakeCert, jeśli nie masz dostępu do komputera z systemem Windows 10 lub nowszym do generowania certyfikatów. Mimo iż narzędzie MakeCert jest przestarzałe, przy jego użyciu można nadal generować certyfikaty. Możesz zainstalować wygenerowane certyfikaty na dowolnym obsługiwanym kliencie P2S.

    • Linux: Zobacz instrukcje strongSwan lub instrukcje OpenSSL.

Dodawanie puli adresów klienta sieci VPN

Pula adresów klienta to określony przez Ciebie zakres prywatnych adresów IP. Klienci łączący się za pośrednictwem sieci VPN typu punkt-lokacja dynamicznie otrzymują adres IP z tego zakresu. Użyj zakresu prywatnych adresów IP, który nie nakłada się na lokalizację lokalną, z której nawiązujesz połączenie, lub sieć wirtualną, z którą chcesz nawiązać połączenie. Jeśli skonfigurujesz wiele protokołów, a protokół SSTP jest jednym z protokołów, skonfigurowana pula adresów zostanie równomiernie podzielona między skonfigurowane protokoły.

  1. W witrynie Azure Portal przejdź do bramy sieci VPN.
  2. Na stronie twojej bramy, w okienku po lewej stronie, wybierz pozycję Konfiguracja połączenia punkt-do-sieci.
  3. Na stronie konfiguracji punkt-do-sieci kliknij pozycję Konfiguruj teraz.
  4. Na stronie konfiguracji połączenia punkt-do-sieci zobaczysz pole konfiguracji dla puli adresów .
  5. W polu Pula adresów dodaj zakres prywatnych adresów IP, którego chcesz użyć. Jeśli na przykład dodasz zakres adresów 172.16.201.0/24, klienci łączący się przez VPN otrzymują jeden z adresów IP w tym zakresie. Minimalna maska podsieci to 29 bitów dla konfiguracji aktywne/pasywnej i 28-bitowej dla konfiguracji aktywne/aktywne.

Po dodaniu zakresu przejdź do następnych sekcji, aby skonfigurować pozostałe wymagane ustawienia.

Określanie typu tunelu i uwierzytelniania

W tej sekcji określisz typ tunelu i typ uwierzytelniania. Te ustawienia mogą stać się złożone. Z listy rozwijanej można wybrać opcje zawierające wiele typów tuneli, takie jak IKEv2 i OpenVPN(SSL) lub IKEv2 i SSTP (SSL). Dostępne są tylko niektóre kombinacje typów tuneli i typów uwierzytelniania.

Typ tunelu i typ uwierzytelniania muszą odpowiadać oprogramowaniu klienckim sieci VPN, którego chcesz użyć do nawiązania połączenia z platformą Azure. Jeśli masz różnych klientów sieci VPN łączących się z różnych systemów operacyjnych, planowanie typu tunelu i typu uwierzytelniania jest ważne. W poniższej tabeli przedstawiono dostępne typy tuneli i typy uwierzytelniania związane z oprogramowaniem klienckim sieci VPN.

Tabela klienta sieci VPN

Metoda uwierzytelniania Typ tunelu System operacyjny klienta Klient sieci VPN
Certyfikat
IKEv2, SSTP Windows Natywny klient sieci VPN
IKEv2 macOS Natywny klient sieci VPN
IKEv2 Linux strongSwan
OpenVPN Windows Klient sieci VPN platformy Azure
Klient OpenVPN w wersji 2.x
Klient OpenVPN w wersji 3.x
OpenVPN macOS Klient OpenVPN
OpenVPN iOS Klient OpenVPN
OpenVPN Linux Azure VPN Client
Klient OpenVPN
Microsoft Entra ID
OpenVPN Windows Klient sieci VPN platformy Azure
OpenVPN macOS Azure VPN Client
OpenVPN Linux Azure VPN Client

Uwaga

Jeśli na stronie Point-to-site configuration nie widzisz typu tunelu ani typu uwierzytelniania, brama korzysta z warstwy SKU Podstawowa. Podstawowa jednostka SKU nie obsługuje uwierzytelniania za pomocą protokołu IKEv2 ani uwierzytelniania RADIUS. Jeśli chcesz użyć tych ustawień, musisz usunąć i ponownie utworzyć bramę przy użyciu innej jednostki SKU bramy.

  1. W polu Typ tunelu wybierz typ tunelu, którego chcesz użyć. Na potrzeby tego ćwiczenia z listy rozwijanej wybierz pozycję IKEv2 i OpenVPN(SSL).

  2. W polu Typ uwierzytelniania z listy rozwijanej wybierz pozycję Certyfikat platformy Azure.

    Zrzut ekranu przedstawiający stronę konfiguracji punkt-lokacja — typ uwierzytelniania.

Dodawanie innego publicznego adresu IP

Jeśli masz bramę w trybie aktywny-aktywny, musisz określić trzeci publiczny adres IP, aby skonfigurować połączenie punkt-do-sieci. W tym przykładzie utworzymy trzeci publiczny adres IP przy użyciu przykładowej wartości VNet1GWpip3. Jeśli brama nie jest w trybie aktywny-aktywny, nie musisz dodawać innego publicznego adresu IP.

Zrzut ekranu przedstawiający stronę konfiguracji punkt-lokacja — publiczny adres IP.

Przekazywanie informacji o kluczu publicznym certyfikatu głównego

W tej sekcji przekażesz dane publicznego certyfikatu głównego na platformę Azure. Po przekazaniu danych certyfikatu publicznego platforma Azure używa ich do uwierzytelniania klientów łączących się. Klienci łączący mają zainstalowany certyfikat klienta wygenerowany na podstawie zaufanego certyfikatu głównego.

  1. Upewnij się, że certyfikat główny został wyeksportowany jako plik zakodowany w formacie Base-64 X.509 (.CER) w poprzednich krokach. Certyfikat należy wyeksportować w takim formacie, aby możliwe było jego otwarcie za pomocą edytora tekstów. Nie musisz eksportować klucza prywatnego.

  2. Otwórz certyfikat za pomocą edytora tekstów, takiego jak Notatnik. Podczas kopiowania danych certyfikatu upewnij się, że tekst został skopiowany jako jeden ciągły wiersz:

    Zrzut ekranu przedstawiający dane w certyfikacie.

  3. Przejdź do strony Brama sieci wirtualnej —> konfiguracja punkt-do-sieci w sekcji Certyfikat główny. Ta sekcja jest widoczna tylko w przypadku wybrania certyfikatu platformy Azure dla typu uwierzytelniania.

  4. W sekcji Certyfikat główny można dodać maksymalnie 20 zaufanych certyfikatów głównych.

    • Wklej dane certyfikatu do pola danych certyfikatu publicznego.
    • Nadaj certyfikatowi nazwę .

    Zrzut ekranu przedstawiający pole danych certyfikatu.

  5. Dodatkowe trasy nie są niezbędne w tym ćwiczeniu. Aby uzyskać więcej informacji na temat funkcji routingu niestandardowego, zobacz Anonsowanie tras niestandardowych.

  6. Wybierz pozycję Zapisz w górnej części strony, aby zapisać wszystkie ustawienia konfiguracji. Po zakończeniu wdrażania ustawień konfiguracji można wygenerować i pobrać pakiet konfiguracji klienta sieci VPN.

Generowanie plików konfiguracji profilu klienta sieci VPN

Wszystkie niezbędne ustawienia konfiguracji dla klientów sieci VPN są zawarte w pliku zip konfiguracji profilu klienta sieci VPN. Pliki konfiguracji profilu klienta sieci VPN są specyficzne dla konfiguracji bramy VPN typu P2S dla sieci wirtualnej. Jeśli po wygenerowaniu plików zostaną wprowadzone jakiekolwiek zmiany w konfiguracji sieci VPN typu punkt-lokacja, takie jak zmiany typu protokołu sieci VPN lub typu uwierzytelniania, należy wygenerować nowe pliki konfiguracji profilu klienta sieci VPN i zastosować nową konfigurację do wszystkich klientów sieci VPN, z którymi chcesz nawiązać połączenie. Aby uzyskać więcej informacji na temat połączeń typu punkt-lokacja, zobacz About point-to-site VPN (Informacje o sieci VPN typu punkt-lokacja).

Pliki konfiguracji profilu klienta można wygenerować przy użyciu programu PowerShell lub witryny Azure Portal. W poniższych przykładach przedstawiono obie metody. Każda metoda zwraca ten sam plik zip.

Azure Portal

  1. W witrynie Azure Portal przejdź do bramy sieci wirtualnej dla sieci wirtualnej, z którą chcesz nawiązać połączenie.

  2. Na stronie bramy sieci wirtualnej wybierz Konfigurację punkt-lokacja, aby otworzyć stronę konfiguracji punkt-lokacja.

  3. Na górze strony Konfiguracja punkt-do-sieci wybierz Pobierz klienta VPN. Nie pobiera to oprogramowania klienckiego sieci VPN, generuje pakiet konfiguracji używany do konfigurowania klientów sieci VPN. Wygenerowanie pakietu konfiguracji klienta trwa kilka minut. W tym czasie może nie być widocznych żadnych oznak, dopóki pakiet nie zostanie wygenerowany.

    Zrzut ekranu przedstawiający stronę konfiguracji punkt-lokacja.

  4. Po wygenerowaniu pakietu konfiguracji przeglądarka wskazuje, że plik zip konfiguracji klienta jest dostępny. Ma ona taką samą nazwę jak brama.

  5. Rozpakuj plik, aby wyświetlić foldery. Użyjesz niektórych lub wszystkich tych plików do skonfigurowania klienta sieci VPN. Wygenerowane pliki odpowiadają ustawieniom uwierzytelniania i typu tunelu, które skonfigurowałeś na serwerze P2S.

Konfigurowanie klientów sieci VPN i nawiązywanie połączenia z platformą Azure

Aby uzyskać instrukcje konfigurowania klientów sieci VPN i nawiązywania połączenia z platformą Azure, zobacz tabelę klienta sieci VPN w sekcji Określanie typu tunelu i uwierzytelniania. Tabela zawiera linki do artykułów, które zawierają szczegółowe kroki konfigurowania oprogramowania klienckiego sieci VPN.

Dodawanie lub usuwanie zaufanych certyfikatów głównych

Zaufane certyfikaty główne można dodawać do platformy Azure lub z niej usuwać. Po usunięciu certyfikatu głównego klienci, którzy mają certyfikat wygenerowany z tego certyfikatu głównego, nie będą mogli się uwierzytelnić, a w związku z tym nie będą mogli nawiązać połączenia. Jeśli chcesz, aby klienci mogli uwierzytelniać się i nawiązywać połączenia, musisz zainstalować nowy certyfikat klienta wygenerowany na podstawie certyfikatu głównego, który jest traktowany jako zaufany przez platformę Azure (przekazany na tę platformę).

Na platformie Azure można dodać maksymalnie 20 plików .cer zaufanych certyfikatów głównych. Aby uzyskać instrukcje, zobacz sekcję Przekazywanie zaufanego certyfikatu głównego.

Aby usunąć zaufany certyfikat główny:

  1. Przejdź do strony konfiguracji lokacja-punkt dla bramy sieciowej wirtualnej.
  2. W sekcji Certyfikat główny na stronie znajdź certyfikat, który chcesz usunąć.
  3. Wybierz wielokropek obok certyfikatu, a następnie wybierz pozycję Usuń.

Odwoływanie certyfikatu klienta

Certyfikaty klienta można odwołać. Lista cofniętych certyfikatów umożliwia selektywne blokowanie łączności P2S na podstawie poszczególnych certyfikatów klienta. Różni się to od usuwania zaufanego certyfikatu głównego. Jeśli usuniesz plik .cer zaufanego certyfikatu nadrzędnego z platformy Azure, spowoduje to cofnięcie dostępu dla wszystkich certyfikatów klienta wygenerowanych lub podpisanych przez odwołany certyfikat nadrzędny. W przypadku odwołania certyfikatu klienta, a nie certyfikatu głównego, umożliwiasz innym certyfikatom wygenerowanym na podstawie certyfikatu głównego dalsze wykorzystywanie do uwierzytelniania.

Częstą praktyką jest użycie certyfikatu głównego do zarządzania dostępem na poziomach zespołu lub organizacji przy jednoczesnym korzystaniu z odwołanych certyfikatów klienta dla bardziej precyzyjnej kontroli dostępu poszczególnych użytkowników.

Certyfikat klienta można odwołać przez dodanie odcisku palca do listy odwołania.

  1. Pobierz odcisk palca certyfikatu klienta. Aby uzyskać więcej informacji, zobacz Jak pobrać odcisk palca certyfikatu.
  2. Skopiuj informacje do edytora tekstów i usuń wszystkie spacje, aby był to ciąg ciągły.
  3. Przejdź do strony bramy sieci wirtualnej Konfiguracja punkt-do-sieci. Jest to ta sama strona, której używasz do przesyłania zaufanego certyfikatu głównego.
  4. W sekcji Odwołane certyfikaty wprowadź łatwą do zapamiętania nazwę certyfikatu (nie musi to być nazwa pospolita certyfikatu).
  5. Skopiuj i wklej ciąg odcisku palca do pola Odcisk palca.
  6. Odcisk palca zostanie zweryfikowany i automatycznie dodany do listy odwołania. Na ekranie zobaczysz komunikat informujący o aktualizowaniu listy.
  7. Po zakończeniu aktualizowania nie będzie można już używać certyfikatu do nawiązywania połączeń. Klienci, którzy spróbują połączyć się za pomocą tego certyfikatu, zobaczą komunikat informujący o tym, że certyfikat nie jest już ważny.

Często zadawane pytania dotyczące połączeń punkt-lokacja

Aby uzyskać często zadawane pytania, zobacz często zadawane pytania.

Następne kroki

Po zakończeniu procesu nawiązywania połączenia można dodać do sieci wirtualnych maszyny wirtualne. Aby uzyskać więcej informacji, zobacz Virtual Machines (Maszyny wirtualne). Aby dowiedzieć się więcej o sieci i maszynach wirtualnych, zobacz Azure and Linux VM network overview (Omówienie sieci maszyny wirtualnej z systemem Linux i platformy Azure).

Aby uzyskać informacje dotyczące rozwiązywania problemów z połączeniem typu punkt-lokacja, zobacz Troubleshooting Azure point-to-site connections (Rozwiązywanie problemów z połączeniami typu punkt-lokacja na platformie Azure).