設定 P2S VPN 閘道憑證驗證的伺服器設定

本文可協助您設定必要的 VPN 閘道點對站 (P2S) 伺服器設定，讓您安全地將執行 Windows、Linux 或 macOS 的個別用戶端連線到 Azure 虛擬網路 (VNet)。 當您想要從遠端位置連線到虛擬網路時，P2S VPN 連線很有用，例如當您從家裡或會議進行遠端通訊時。 當您只有少數用戶端需要連線到虛擬網路時，您也可以使用 P2S，而不是站對站 VPN。

P2S 連線不需要 VPN 裝置或公眾對應 IP 位址即可運作。 P2S 有各種不同的設定選項可供使用。 如需點對站 VPN 的詳細資訊，請參閱關於點對站 VPN。

本文中的步驟會使用 Azure 入口網站 來設定 Azure VPN 閘道以進行點對站憑證驗證。

P2S Azure 憑證驗證聯機會使用下列專案：

• 路由型 VPN 閘道 (而非原則型)。 如需 VPN 類型的詳細資訊，請參閱 VPN 閘道設定。
• 已上傳至 Azure 之根憑證的公開金鑰 (.cer 檔案)。 一旦上傳憑證，憑證就會被視為受信任的憑證並且用於驗證。
• 從根憑證產生的用戶端憑證。 此用戶端憑證須安裝在每部將連線至 VNet 的用戶端電腦上。 此憑證用於用戶端驗證。
• VPN 用戶端設定檔。 VPN 用戶端使用 VPN 用戶端組態檔進行設定。 這些檔案包含用戶端連線至 VNet 所需的資訊。 您必須使用組態檔中的設定來設定每個進行連線的用戶端。

必要條件

本文假設下列先決條件：

• Azure 虛擬網路。
• 路由式 VPN 閘道，與您想要建立的 P2S 組態相容，以及連線的 VPN 用戶端。 若要協助判斷您需要的 P2S 設定，請參閱 VPN 用戶端資料表。 如果您的閘道使用基本 SKU，請瞭解基本 SKU 有 P2S 限制，且不支援 IKEv2 或 RADIUS 驗證。 如需詳細資訊，請參閱關於閘道 SKU (部分機器翻譯)。

如果您還沒有與您想要建立的 P2S 組態相容的正常 VPN 閘道，請參閱 建立和管理 VPN 閘道。 建立相容的 VPN 閘道，然後返回本文以設定 P2S 設定。

產生憑證

Azure 會使用憑證，透過點對站 VPN 連線來驗證連線到虛擬網路的用戶端。 一旦您取得根憑證，您可將公開金鑰資訊上傳至 Azure。 接著，Azure 會將跟證書視為「信任」，以便透過 P2S 連線到虛擬網路。

您也可以從受信任的根憑證產生用戶端憑證，然後將它們安裝在每部用戶端電腦上。 用戶端憑證是在用戶端起始與虛擬網路的連線時用來對其進行驗證。

在您設定點對站閘道設定之前，必須先產生並擷取根憑證。

產生根憑證

取得根憑證的 .cer 檔案。 您可以使用透過企業解決方案產生的根憑證 (建議)，或產生自我簽署憑證。 建立根憑證之後，將公開憑證資料 (不是私密金鑰) 匯出為 Base64 編碼的 X.509 .cer 檔案。 稍後將此檔案上傳至 Azure。

• 企業憑證：如果您是使用企業解決方案，則可以使用現有的憑證鏈結。 取得您想要使用的根憑證 .cer 檔案。

• 自我簽署根憑證：如果您未使用企業憑證解決方案，請建立自我簽署的根憑證。 否則，您所建立的憑證將無法與 P2S 連線相容，而且用戶端會在嘗試連線時收到連線錯誤訊息。 您可以使用 Azure PowerShell、MakeCert 或 OpenSSL。 下列文章中的步驟將說明如何產生相容的自我簽署根憑證：

  • 針對 Windows 10 或更新版本的 PowerShell 指示：這些指示在執行 Windows 10 或更新版本的電腦上需要 PowerShell。 從根憑證產生的用戶端憑證可以安裝於任何支援的 P2S 用戶端上。
  • MakeCert 指示：如果您無法存取執行 Windows 10 或更新版本的電腦，則可使用 MakeCert 來產生憑證。 雖然 MakeCert 已被取代，但您仍可用它來產生憑證。 從根憑證產生的用戶端憑證可以安裝於任何支援的 P2S 用戶端上。
  • Linux - OpenSSL 指示
  • Linux - strongSwan 指示

產生用戶端憑證

每個使用點對站連線來連線至 VNet 的用戶端電腦都必須安裝用戶端憑證。 您會從根憑證產生用戶端憑證，並將其安裝在每部用戶端電腦上。 如果您沒有安裝有效的用戶端憑證，用戶端嘗試連線至 VNet 時所進行的驗證將會失敗。

您可以為每個用戶端產生唯一的憑證，也可以對多個用戶端使用相同的憑證。 產生唯一用戶端憑證的優點是能夠撤銷單一憑證。 否則，如果多個用戶端使用相同的用戶端憑證進行驗證，而您要撤銷它時，就必須為每個使用該憑證的用戶端產生並安裝新的憑證。

您可以使用下列方法來產生用戶端憑證︰

• 企業憑證︰

  • 如果您使用企業憑證解決方案，請以一般的名稱值格式 name@yourdomain.com 產生用戶端憑證。 請使用此格式，而不是「網域名稱\使用者名稱」的格式。

  • 請確定用戶端憑證所根據的憑證範本，是將「用戶端驗證」列為使用者清單中第一個項目的使用者憑證範本。 按兩下憑證，然後檢視 [詳細資料] 索引標籤中的 [增強金鑰使用方法]，即可檢查憑證。

• 自我簽署根憑證：請遵循下列任一 P2S 憑證文章中的步驟，讓您建立的用戶端憑證可與 P2S 連線相容。

  當您從自我簽署根憑證產生用戶端憑證時，此憑證會自動安裝在您用來產生它的電腦上。 如果您想要在另一部用戶端電腦上安裝用戶端憑證，請將其匯出為 .pfx 檔案 (包含整個憑證鏈結)。 這麼做將會建立一個 .pfx 檔案，其中包含用戶端進行驗證所需的根憑證資訊。

  這些文章中的步驟都會產生相容的用戶端憑證，您可以接著進行匯出並散發。

  • Windows 10 或更新版本 PowerShell 指示：這些指示需要 Windows 10 或更新版本和 PowerShell，以產生憑證。 產生的憑證可以安裝在任何支援的 P2S 用戶端。

  • MakeCert 指示：如果您無法存取 Windows 10 或更新版本電腦來產生憑證，則可以使用 MakeCert。 雖然 MakeCert 已被取代，但您仍可用它來產生憑證。 您可以將產生的憑證安裝在任何支援的 P2S 用戶端。

  • Linux：請參閱 strongSwan 或 OpenSSL 指示。

新增 VPN 用戶端位址集區

用戶端位址集區是您指定的私人 IP 位址範圍。 透過點對站 VPN 連線的用戶端會動態收到這個範圍內的 IP 位址。 使用不會重疊的私人 IP 位址範圍搭配您從其連線的內部部署位置，或搭配您要連線至的 VNet。 如果您設定多個通訊協定，且 SSTP 是其中一個通訊協定，則設定的位址集區會平均地在設定的通訊協定之間進行分割。

1. 在 Azure 入口網站中，移至您的 VPN 閘道。

2. 在閘道的頁面上，於左側窗格中，選取 [點對站設定]。

3. 按一下 [立即設定] 以開啟 [組態] 頁面。

   

4. 在 [點對站設定] 頁面上的 [位址集區] 方塊中，新增您要使用的私人 IP 位址範圍。 VPN 用戶端會動態收到您指定範圍內的 IP 位址。 主動/被動設定的最小子網路遮罩為 29 位元，主動/主動設定的最小子網路遮罩為 28 位元。

5. 繼續前往下一節以進行其他設定。

指定通道和驗證類型

在本節中，您會指定通道類型和驗證類型。 這些設定可能會變得複雜。 您可以從下拉式清單中選取包含多個通道類型的選項，例如 IKEv2 和 OpenVPN（SSL） 或 IKEv2 和 SSTP （SSL）。 只有通道類型和驗證類型的特定組合可供使用。

通道類型和驗證類型必須對應至您想要用來連線到 Azure 的 VPN 用戶端軟體。 當您有來自不同作業系統的各種 VPN 用戶端連線時，規劃通道類型和驗證類型很重要。 下表顯示與 VPN 用戶端軟體相關的可用通道類型和驗證類型。

VPN 用戶端數據表

驗證	通道類型	用戶端作業系統	VPN 用戶端
[MSSQLSERVER 的通訊協定內容]
	IKEv2、SSTP	Windows	原生 VPN 用戶端
	IKEv2	macOS	原生 VPN 用戶端
	IKEv2	Linux	strongSwan
	OpenVPN	Windows	Azure VPN 用戶端 OpenVPN 用戶端 2.x 版 OpenVPN 用戶端 3.x 版
	OpenVPN	macOS	OpenVPN 用戶端
	OpenVPN	iOS	OpenVPN 用戶端
	OpenVPN	Linux	Azure VPN Client OpenVPN 用戶端
Microsoft Entra ID
	OpenVPN	Windows	Azure VPN 用戶端
	OpenVPN	macOS	Azure VPN Client
	OpenVPN	Linux	Azure VPN Client

注意

在 [點對站設定] 頁面上，如果您沒有看到通道類型或驗證類型，表示您的閘道正在使用基本 SKU。 基本 SKU 不支援 IKEv2 或 RADIUS 驗證。 如果您想要使用這些設定，則必須使用不同的閘道 SKU 來刪除並重新建立閘道。

1. 針對 [ 通道類型]，選取您想要使用的通道類型。 針對此練習，從下拉式清單中選取 [IKEv2 和 OpenVPN (SSL)]。

2. 針對 [ 驗證類型]，從下拉式清單中選取 [Azure 憑證]。

   

新增另一個公用IP位址

如果您有主動-主動模式閘道，您必須指定第三個公用IP位址來設定點對站。 在此範例中，我們會使用範例值 VNet1GWpip3 來建立第三個公用 IP 位址。 如果您的閘道不在主動-主動模式中，則不需要新增另一個公用IP位址。

上傳根憑證公開金鑰資訊

在本節中，您會將公用根憑證資料上傳至 Azure。 上傳公用憑證數據之後，Azure 會使用它來驗證連線用戶端。 線上的用戶端具有從受信任跟證書產生的已安裝客戶端憑證。

1. 請確定您在先前的步驟中，已將根憑證匯出為 Base-64 編碼的 X.509 (.CER) 檔案。 您需要以這種格式匯出憑證，以便可以使用文字編輯器開啟憑證。 您不需要匯出私密金鑰。

2. 使用文字編輯器 (例如「記事本」) 開啟憑證。 複製憑證數據時，請確定您複製文字為一行連續：

   

3. 移至 [跟證書] 區段中的 [虛擬網络網關 -> 點對站組態] 頁面。 只有當您選取驗證類型為 [Azure 憑證] 時，才會顯示此區段。

4. 在 [根憑證] 區段中，您最多可以新增 20 個受信任的根憑證。

   • 將憑證資料貼到 [公開憑證資料] 欄位中。
   • 命名憑證。

   

5. 此練習不需要其他路由。 如需自訂路由功能的詳細資訊，請參閱公告自訂路由。

6. 選取頁面頂端的 [儲存]，儲存所有的組態設定。

產生 VPN 用戶端設定檔的組態檔

VPN 用戶端的所有必要設定都會包含在 VPN 用戶端設定檔的設定 ZIP 檔案中。 VPN 用戶端配置檔組態檔專屬於虛擬網路的 P2S VPN 閘道組態。 如果在產生檔案之後，對 P2S VPN 設定進行任何變更，例如變更 VPN 通訊協定類型或驗證類型，您必須產生新的 VPN 用戶端設定檔的組態檔，並將新設定套用至您要連線的所有 VPN 用戶端。 如需有關 P2S 連線的詳細資訊，請參閱關於點對站 VPN。

您可以使用 PowerShell 或使用 Azure 入口網站來產生 用戶端設定檔組態檔。 下列範例顯示這兩種方法。 任一方法都會傳回相同的 zip 檔案。

Azure 入口網站

1. 在 Azure 入口網站中，移至您想要連線之虛擬網路的虛擬網路閘道。

2. 在虛擬網路閘道頁面上，選取 [點對站設定]，開啟點對站設定頁面。

3. 在 [點對站設定] 頁面頂端，選取 [下載 VPN 用戶端]。 這不會下載 VPN 用戶端軟體，這會產生用來設定 VPN 用戶端的設定套件。 產生用戶端組態套件需耗費幾分鐘的時間。 在這段期間內，您可能不會看到任何指示，直到套件產生為止。

   

4. 一旦產生設定套件，您的瀏覽器會表示用戶端組態 ZIP 檔案已可供使用。 其名稱與您的閘道名稱相同。

5. 解壓縮檔案以檢視資料夾。 您將使用這些檔案的一些或全部來設定 VPN 用戶端。 產生的檔案會對應至您在 P2S 伺服器上設定的驗證和通道類型設定。

設定 VPN 用戶端並連線到 Azure

如需設定 VPN 用戶端並連線至 Azure 的步驟，請參閱指定通道和驗證類型一節中的 VPN 用戶端資料表。 數據表包含文章的連結，這些文章提供設定 VPN 用戶端軟體的詳細步驟。

新增或移除受信任的根憑證

您可以從 Azure 新增和移除受信任的根憑證。 當您移除跟證書時，從該跟證書產生的憑證客戶端將無法進行驗證，因此無法連線。 若希望用戶端進行驗證和連線，您需要安裝從 Azure 信任 (已上傳至 Azure) 的根憑證產生的新用戶端憑證。

您最多可新增 20 個受信任的根憑證 .cer 檔案至 Azure。 如需指示，請參閱上傳受信任的根憑證一節。

若要移除受信任的根憑證：

1. 瀏覽至虛擬網路閘道的 [點對站設定] 頁面。
2. 在頁面的 [根憑證] 區段中，找出您想要移除的憑證。
3. 選取憑證旁的省略符號，然後選取 [移除]。

撤銷用戶端憑證

您可以撤銷用戶端憑證。 憑證撤銷清單可讓您根據個別用戶端憑證選擇性地拒絕 P2S 連線能力。 這與移除受信任的根憑證不同。 若您從 Azure 移除受信任的根憑證 .cer，就會撤銷所有由撤銷的根憑證所產生/簽署的用戶端憑證之存取權。 當您撤銷用戶端憑證，而不是根憑證，可以繼續使用從根憑證產生的憑證進行驗證。

常見的做法是使用根憑證管理小組或組織層級的存取權，然後使用撤銷的用戶端憑證針對個別使用者進行細部的存取控制。

您可以藉由將指紋新增至撤銷清單來撤銷用戶端憑證。

1. 擷取用戶端憑證指紋。 如需詳細資訊，請參閱做法：擷取憑證的指紋。
2. 將資訊複製到文字編輯器，並移除所有的空格，使其為連續字串。
3. 瀏覽至虛擬網路閘道 [點對站組態] 頁面。 這個頁面與您用來上傳受信任根憑證的頁面相同。
4. 在 [撤銷憑證] 區段中，輸入憑證的易記名稱 (它不一定是憑證 CN)。
5. 將指紋字串複製並貼到 [指紋] 欄位。
6. 指紋會在驗證後自動新增至撤銷清單。 畫面上會出現一則訊息，指出清單正在更新。
7. 更新完成後，憑證就無法再用來進行連線。 嘗試使用此憑證進行連線的用戶端會收到一則訊息，指出憑證已不再有效。

點對站常見問題集

如需常見問題，請參閱我們的常見問題集。

下一步

一旦完成您的連接，就可以將虛擬機器加入您的虛擬網路。 如需詳細資訊，請參閱虛擬機器。 若要了解網路與虛擬機器的詳細資訊，請參閱 Azure 與 Linux VM 網路概觀。

如需有關為 P2S 疑難排解的資訊，請參閱針對 Azure 點對站連線進行疑難排解。