Konfigurace připojení VPN typu Point-to-site k virtuální síti s použitím nativního ověřování certifikátů Azure: PowerShellConfigure a Point-to-Site VPN connection to a VNet using native Azure certificate authentication: PowerShell

Tento článek vám pomůže bezpečně připojit jednotlivé klienty se systémem Windows, Linux nebo Mac OS X k virtuální síti Azure.This article helps you securely connect individual clients running Windows, Linux, or Mac OS X to an Azure VNet. Připojení VPN typu Point-to-Site jsou užitečná, když se chcete ke své virtuální síti připojit ze vzdáleného umístění, například při práci z domova nebo z místa konání konference.Point-to-Site VPN connections are useful when you want to connect to your VNet from a remote location, such when you are telecommuting from home or a conference. Místo sítě VPN Site-to-Site můžete také použít P2S, pokud máte pouze několik klientů, kteří se potřebují připojit k virtuální síti.You can also use P2S instead of a Site-to-Site VPN when you have only a few clients that need to connect to a VNet. Připojení typu Point-to-Site nevyžadují zařízení VPN ani veřejnou IP adresu.Point-to-Site connections do not require a VPN device or a public-facing IP address. P2S vytvoří připojení VPN prostřednictvím protokolu SSTP (Secure Socket Tunneling Protocol) nebo protokolu IKEv2.P2S creates the VPN connection over either SSTP (Secure Socket Tunneling Protocol), or IKEv2. Další informace o síti VPN Point-to-Site najdete v článku věnovaném síti VPN typu Point-to-Site.For more information about Point-to-Site VPN, see About Point-to-Site VPN.

Připojení počítače k virtuální síti Azure – diagram připojení Point-to-Site

ArchitekturaArchitecture

Nativní připojení Azure typu Point-to-Site k ověřování certifikátů používají následující položky, které nakonfigurujete v tomto cvičení:Point-to-Site native Azure certificate authentication connections use the following items, which you configure in this exercise:

  • Bránu VPN typu RouteBased.A RouteBased VPN gateway.
  • Veřejný klíč (soubor .cer) pro kořenový certifikát nahraný do Azure.The public key (.cer file) for a root certificate, which is uploaded to Azure. Jakmile je certifikát nahraný, považuje za důvěryhodný certifikát a používá se k ověřování.Once the certificate is uploaded, it is considered a trusted certificate and is used for authentication.
  • Klientský certifikát, který se generuje z kořenového certifikátu.A client certificate that is generated from the root certificate. Klientský certifikát nainstalovaný na každém klientském počítači, který se bude připojovat k virtuální síti.The client certificate installed on each client computer that will connect to the VNet. Tento certifikát se používá k ověřování klienta.This certificate is used for client authentication.
  • Konfigurace klienta VPN.A VPN client configuration. Konfigurační soubory klienta VPN obsahují informace potřebné pro připojení klienta k virtuální síti.The VPN client configuration files contain the necessary information for the client to connect to the VNet. Soubory konfigurují stávajícího klienta VPN nativního pro příslušný operační systém.The files configure the existing VPN client that is native to the operating system. Každý klient, který se připojuje, musí být nakonfigurovaný pomocí nastavení v konfiguračních souborech.Each client that connects must be configured using the settings in the configuration files.

Před zahájenímBefore you begin

Poznámka

Tento článek je aktualizovaný a využívá nový modul Az Azure PowerShellu.This article has been updated to use the new Azure PowerShell Az module. Můžete dál využívat modul AzureRM, který bude dostávat opravy chyb nejméně do prosince 2020.You can still use the AzureRM module, which will continue to receive bug fixes until at least December 2020. Další informace o kompatibilitě nového modulu Az a modulu AzureRM najdete v tématu Seznámení s novým modulem Az Azure PowerShellu.To learn more about the new Az module and AzureRM compatibility, see Introducing the new Azure PowerShell Az module. Pokyny k instalaci modulu Az najdete v tématu věnovaném instalaci Azure PowerShellu.For Az module installation instructions, see Install Azure PowerShell.

Ověřte, že máte předplatné Azure.Verify that you have an Azure subscription. Pokud ještě nemáte předplatné Azure, můžete si aktivovat výhody pro předplatitele MSDN nebo si zaregistrovat bezplatný účet.If you don't already have an Azure subscription, you can activate your MSDN subscriber benefits or sign up for a free account.

Tento článek používá rutiny prostředí PowerShell.This article uses PowerShell cmdlets. Ke spouštění rutin, můžete použít Azure Cloud Shell, interaktivní prostředí prostředí hostovaných v Azure a použít pomocí prohlížeče.To run the cmdlets, you can use Azure Cloud Shell, an interactive shell environment hosted in Azure and used through the browser. Azure Cloud Shell se dodává s rutinami Azure Powershellu, které jsou předem nainstalované.Azure Cloud Shell comes with the Azure PowerShell cmdlets pre-installed.

Pokud chcete spustit libovolný kód obsažený v tomto článku v Azure Cloud Shell, otevřete relaci služby Cloud Shell, použijte kopírování tlačítko na bloku kódu pro kód zkopírujte a vložte ho do relace Cloud Shellu s Ctrl + Shift + V na Windows a Linux, nebo Cmd + Shift + V v systému macOS.To run any code contained in this article on Azure Cloud Shell, open a Cloud Shell session, use the Copy button on a code block to copy the code, and paste it into the Cloud Shell session with Ctrl+Shift+V on Windows and Linux, or Cmd+Shift+V on macOS. Vložený text není spouštěny automaticky, takže stiskněte Enter pro spuštění kódu.Pasted text is not automatically executed, so press Enter to run code.

Můžete spustit Azure Cloud Shell pomocí:You can launch Azure Cloud Shell with:

Zvolte Vyzkoušet v pravém horním rohu bloku kódu.Select Try It in the upper-right corner of a code block. To nebude automaticky zkopírování textu do Cloud Shellu.This doesn't automatically copy text to Cloud Shell. Příklad vyzkoušet pro Azure Cloud Shell.
Otevřít shell.azure.com v prohlížeči.Open shell.azure.com in your browser. Spusťte Azure Cloud Shell tlačítkoLaunch Azure Cloud Shell button
Zvolte Cloud Shell v nabídce v pravém horním rohu webu Azure Portal.Select the Cloud Shell button on the menu in the upper-right corner of the Azure portal. Tlačítko Cloud Shell na webu Azure Portal

Místní použití PowershelluRunning PowerShell locally

Můžete také nainstalovat a spustit rutiny prostředí Azure PowerShell místně ve vašem počítači.You can also install and run the Azure PowerShell cmdlets locally on your computer. Rutiny Powershellu se často aktualizují.PowerShell cmdlets are updated frequently. Pokud používáte nejnovější verzi, zadané v pokynech pro hodnoty nemusí fungovat.If you are not running the latest version, the values specified in the instructions may fail. Chcete-li najít verze ve vašem počítači nainstalovaný Azure PowerShell, použijte Get-Module -ListAvailable Az rutiny.To find the versions of Azure PowerShell installed on your computer, use the Get-Module -ListAvailable Az cmdlet. Pro instalaci nebo aktualizaci, najdete v článku instalace modulu Azure PowerShell.To install or update, see Install the Azure PowerShell module.

Většina kroků v tomto článku může Cloud Shell použít.Most of the steps in this article can use Cloud Shell. Chcete-li však odeslat veřejný klíč kořenového certifikátu, je nutné buď použít PowerShell místně, nebo Azure Portal.However, to upload the root certificate public key, you must either use PowerShell locally, or the Azure portal.

Příklady hodnotExample values

Příklady hodnot můžete použít k vytvoření testovacího prostředí nebo můžou sloužit k lepšímu pochopení příkladů v tomto článku.You can use the example values to create a test environment, or refer to these values to better understand the examples in this article. Proměnné se nastaví v části 1 článku.The variables are set in section 1 of the article. Můžete buď využít kroky jako podrobný postup a převzít hodnoty beze jejich změny, nebo je změnit tak, aby odpovídaly vašemu prostředí.You can either use the steps as a walk-through and use the values without changing them, or change them to reflect your environment.

  • Jméno: VNet1Name: VNet1
  • Adresní prostor: 192.168.0.0/16 a 10.254.0.0/16Address space: 192.168.0.0/16 and 10.254.0.0/16
    V tomto příkladu se používá více adresních prostorů k ilustraci, že tato konfigurace funguje s více adresními prostory.This example uses more than one address space to illustrate that this configuration works with multiple address spaces. Více adresních prostorů pro ni ale není potřeba.However, multiple address spaces are not required for this configuration.
  • Název podsítě: EndySubnet name: FrontEnd
    • Rozsah adres podsítě: 192.168.1.0/24Subnet address range: 192.168.1.0/24
  • Název podsítě: Back-endSubnet name: BackEnd
    • Rozsah adres podsítě: 10.254.1.0/24Subnet address range: 10.254.1.0/24
  • Název podsítě: GatewaySubnetSubnet name: GatewaySubnet
    Název podsítě GatewaySubnet je pro správnou funkci brány VPN Gateway povinný.The Subnet name GatewaySubnet is mandatory for the VPN gateway to work.
    • Rozsah adres GatewaySubnet: 192.168.200.0/24GatewaySubnet address range: 192.168.200.0/24
  • Fond adres klienta VPN: 172.16.201.0/24VPN client address pool: 172.16.201.0/24
    Klienti VPN, kteří se budou k síti VNet připojovat pomocí tohoto připojení Point-to-Site, dostanou IP adresu ze zadaného fondu adres klienta VPN.VPN clients that connect to the VNet using this Point-to-Site connection receive an IP address from the VPN client address pool.
  • Formě Pokud máte více než jedno předplatné, ověřte, že používáte správný.Subscription: If you have more than one subscription, verify that you are using the correct one.
  • Skupina prostředků: TestRGResource Group: TestRG
  • Oblasti Východní USALocation: East US
  • Server DNS: IP adresa serveru DNS, který chcete použít pro překlad názvů.DNS Server: IP address of the DNS server that you want to use for name resolution. (volitelné)(optional)
  • Název GS: Vnet1GWGW Name: Vnet1GW
  • Název veřejné IP adresy: VNet1GWPIPPublic IP name: VNet1GWPIP
  • VpnType RouteBasedVpnType: RouteBased

1. Přihlášení a nastavení proměnných1. Sign in and set variables

V této části se přihlašujete a deklarujete hodnoty používané pro tuto konfiguraci.In this section, you sign in and declare the values used for this configuration. Deklarované hodnoty jsou použity v ukázkových skriptech.The declared values are used in the sample scripts. Změňte hodnoty tak, aby odpovídaly vašemu prostředí.Change the values to reflect your own environment. Můžete také použít deklarované hodnoty a projít kroky jako cvičení.Or, you can use the declared values and go through the steps as an exercise.

PřihlášeníSign in

Otevřete konzolu Powershellu se zvýšenými oprávněními.Open your PowerShell console with elevated privileges.

Pokud používáte prostředí Azure PowerShell místně, připojte se ke svému účtu Azure.If you are running Azure PowerShell locally, connect to your Azure account. Připojit AzAccount rutina vás vyzve k zadání přihlašovacích údajů.The Connect-AzAccount cmdlet prompts you for credentials. Po ověření, stáhne nastavení účtu, aby byly k dispozici pro prostředí Azure PowerShell.After authenticating, it downloads your account settings so that they are available to Azure PowerShell. Tento první krok přeskočte, pokud nejsou místní použití Powershellu a místo toho používáte Azure Cloud Shell "Vyzkoušejte si to" v prohlížeči.If you are not running PowerShell locally and are instead using the Azure Cloud Shell 'Try it' in the browser, skip this first step. Připojíte se ke svému účtu Azure automaticky.You will connect to your Azure account automatically.

Connect-AzAccount

Pokud máte více předplatných, získejte seznam předplatných Azure.If you have more than one subscription, get a list of your Azure subscriptions.

Get-AzSubscription

Určete předplatné, které chcete použít.Specify the subscription that you want to use.

Select-AzSubscription -SubscriptionName "Name of subscription"

Deklarace proměnnýchDeclare variables

Deklarujte proměnné, které chcete použít.Declare the variables that you want to use. Použijte následující příklad a dle potřeby nahraďte v něm uvedené hodnoty vlastními.Use the following sample, substituting the values for your own when necessary. Pokud během cvičení zavřete relaci PowerShell/Cloud Shell, stačí zkopírovat hodnoty a vložit je znovu, aby se proměnné znovu deklarovaly.If you close your PowerShell/Cloud Shell session at any point during the exercise, just copy and paste the values again to re-declare the variables.

$VNetName  = "VNet1"
$FESubName = "FrontEnd"
$BESubName = "Backend"
$GWSubName = "GatewaySubnet"
$VNetPrefix1 = "192.168.0.0/16"
$VNetPrefix2 = "10.254.0.0/16"
$FESubPrefix = "192.168.1.0/24"
$BESubPrefix = "10.254.1.0/24"
$GWSubPrefix = "192.168.200.0/26"
$VPNClientAddressPool = "172.16.201.0/24"
$RG = "TestRG"
$Location = "East US"
$GWName = "VNet1GW"
$GWIPName = "VNet1GWPIP"
$GWIPconfName = "gwipconf"

2. Konfigurace virtuální sítě2. Configure a VNet

  1. Vytvořte skupinu prostředků.Create a resource group.

    New-AzResourceGroup -Name $RG -Location $Location
    
  2. Vytvořte konfigurace podsítí pro virtuální síť, podsítě pojmenujte FrontEnd, BackEnd a GatewaySubnet.Create the subnet configurations for the virtual network, naming them FrontEnd, BackEnd, and GatewaySubnet. Tyto předpony musí být součástí adresního prostoru virtuální sítě deklarovaného výše.These prefixes must be part of the VNet address space that you declared.

    $fesub = New-AzVirtualNetworkSubnetConfig -Name $FESubName -AddressPrefix $FESubPrefix
    $besub = New-AzVirtualNetworkSubnetConfig -Name $BESubName -AddressPrefix $BESubPrefix
    $gwsub = New-AzVirtualNetworkSubnetConfig -Name $GWSubName -AddressPrefix $GWSubPrefix
    
  3. Vytvořte virtuální síť.Create the virtual network.

    V tomto příkladu je parametr serveru -DnsServer volitelný.In this example, the -DnsServer server parameter is optional. Zadání hodnoty nevytvoří nový server DNS.Specifying a value does not create a new DNS server. Server DNS, jehož IP adresu zadáte, by měl být server DNS, který dokáže přeložit názvy pro prostředky, ke kterým se ze své virtuální sítě připojujete.The DNS server IP address that you specify should be a DNS server that can resolve the names for the resources you are connecting to from your VNet. V tomto příkladu se používá privátní IP adresa, ale je pravděpodobné, že to není IP adresa vašeho serveru DNS.This example uses a private IP address, but it is likely that this is not the IP address of your DNS server. Je potřeba, abyste použili svoje vlastní hodnoty.Be sure to use your own values. Hodnotu, kterou zadáte, použijí prostředky, které nasadíte do virtuální sítě, a ne připojení P2S nebo klient VPN.The value you specify is used by the resources that you deploy to the VNet, not by the P2S connection or the VPN client.

    New-AzVirtualNetwork -Name $VNetName -ResourceGroupName $RG -Location $Location -AddressPrefix $VNetPrefix1,$VNetPrefix2 -Subnet $fesub, $besub, $gwsub -DnsServer 10.2.1.3
    
  4. Určete proměnné pro virtuální síť, kterou jste vytvořili.Specify the variables for the virtual network you created.

    $vnet = Get-AzVirtualNetwork -Name $VNetName -ResourceGroupName $RG
    $subnet = Get-AzVirtualNetworkSubnetConfig -Name "GatewaySubnet" -VirtualNetwork $vnet
    
  5. Brána VPN musí mít veřejnou IP adresu.A VPN gateway must have a Public IP address. Nejprve si vyžádáte prostředek IP adresy a pak na něj budete odkazovat při vytváření brány virtuální sítě.You first request the IP address resource, and then refer to it when creating your virtual network gateway. IP adresa se dynamicky přiřadí k prostředku po vytvoření brány VPN.The IP address is dynamically assigned to the resource when the VPN gateway is created. Služba VPN Gateway aktuálně podporuje pouze dynamické přidělení veřejné IP adresy.VPN Gateway currently only supports Dynamic Public IP address allocation. Nemůžete si vyžádat statické přiřazení IP adresy.You cannot request a Static Public IP address assignment. To ale neznamená, že se IP adresa po přiřazení k vaší bráně VPN bude měnit.However, it doesn't mean that the IP address changes after it has been assigned to your VPN gateway. Veřejná IP adresa se změní pouze v případě odstranění a nového vytvoření brány.The only time the Public IP address changes is when the gateway is deleted and re-created. V případě změny velikosti, resetování nebo jiné operace údržby/upgradu vaší brány VPN se nezmění.It doesn't change across resizing, resetting, or other internal maintenance/upgrades of your VPN gateway.

    Požádejte o dynamicky přidělovanou veřejnou IP adresu.Request a dynamically assigned public IP address.

    $pip = New-AzPublicIpAddress -Name $GWIPName -ResourceGroupName $RG -Location $Location -AllocationMethod Dynamic
    $ipconf = New-AzVirtualNetworkGatewayIpConfig -Name $GWIPconfName -Subnet $subnet -PublicIpAddress $pip
    

3. Vytvoření brány VPN3. Create the VPN gateway

Nakonfigurujte a vytvořte bránu virtuální sítě pro svou virtuální síť.Configure and create the virtual network gateway for your VNet.

  • Parametr -GatewayType musí mít hodnotu Vpn a parametr -VpnType musí mít hodnotu RouteBased.The -GatewayType must be Vpn and the -VpnType must be RouteBased.
  • -VpnClientProtocol se používá k zadání typů tunelů, které chcete povolit.The -VpnClientProtocol is used to specify the types of tunnels that you would like to enable. Možnosti tunelu jsou OpenVPN, SSTP a IKEv2.The tunnel options are OpenVPN, SSTP and IKEv2. Můžete zvolit, že se má povolit jedna z nich, nebo libovolná podporovaná kombinace.You can choose to enable one of them or any supported combination. Pokud chcete povolit více typů, zadejte názvy oddělené čárkou.If you want to enable multiple types, then specify the names separated by a comma. OpenVPN a SSTP nelze současně povolit.OpenVPN and SSTP cannot be enabled together. Klient strongSwan v Androidu a Linuxu a nativní klient IKEv2 VPN v iOS a OS X budou pro připojení používat jenom tunel IKEv2.The strongSwan client on Android and Linux and the native IKEv2 VPN client on iOS and OSX will use only the IKEv2 tunnel to connect. Klienti Windows nejdřív vyzkoušejí IKEv2 a pokus se nepřipojí, přejdou zpátky k SSTP.Windows clients try IKEv2 first and if that doesn’t connect, they fall back to SSTP. Klienta OpenVPN můžete použít pro připojení k typu tunelu OpenVPN.You can use the OpenVPN client to connect to OpenVPN tunnel type.
  • SKU "Basic" pro bránu virtuální sítě nepodporuje ověřování IKEv2, OpenVPN ani RADIUS.The virtual network gateway 'Basic' SKU does not support IKEv2, OpenVPN or RADIUS authentication. Pokud plánujete, že se klienti se systémem Mac připojí k vaší virtuální síti, nepoužívejte základní SKU.If you are planning on having Mac clients connect to your virtual network, do not use the Basic SKU.
  • Dokončení brány VPN může trvat až 45 minut v závislosti na vybrané skladové jednotce brány.A VPN gateway can take up to 45 minutes to complete, depending on the gateway sku you select. Tento příklad používá IKEv2.This example uses IKEv2.
New-AzVirtualNetworkGateway -Name $GWName -ResourceGroupName $RG `
-Location $Location -IpConfigurations $ipconf -GatewayType Vpn `
-VpnType RouteBased -EnableBgp $false -GatewaySku VpnGw1 -VpnClientProtocol "IKEv2"

4. Přidání fondu adres klienta VPN4. Add the VPN client address pool

Po dokončení vytváření brány VPN můžete přidat fond adres klienta VPN.After the VPN gateway finishes creating, you can add the VPN client address pool. Fond adres klienta VPN je rozsah, ze kterého dostanou klienti VPN IP adresu při svém připojení.The VPN client address pool is the range from which the VPN clients receive an IP address when connecting. Použijte rozsah privátních IP adres, který se nepřekrývá s místním umístěním, ze kterého se připojujete, ani s virtuální sítí, ke které se chcete připojit.Use a private IP address range that does not overlap with the on-premises location that you connect from, or with the VNet that you want to connect to. V tomto příkladu je fond adres klienta VPN deklarován jako proměnná v kroku 1.In this example, the VPN client address pool is declared as a variable in Step 1.

$Gateway = Get-AzVirtualNetworkGateway -ResourceGroupName $RG -Name $GWName
Set-AzVirtualNetworkGateway -VirtualNetworkGateway $Gateway -VpnClientAddressPool $VPNClientAddressPool

5. Generování certifikátů5. Generate certificates

Azure používá certifikáty k ověřování klientů VPN pro sítě VPN Point-to-Site.Certificates are used by Azure to authenticate VPN clients for Point-to-Site VPNs. Nahrajete do Azure informace o veřejném klíči kořenového certifikátu.You upload the public key information of the root certificate to Azure. Veřejný klíč se pak bude považovat za důvěryhodný.The public key is then considered 'trusted'. Klientské certifikáty musí být vygenerované z důvěryhodného kořenového certifikátu a pak nainstalované na každém klientském počítači v úložišti certifikátů v adresáři Certificates-Current User/Personal.Client certificates must be generated from the trusted root certificate, and then installed on each client computer in the Certificates-Current User/Personal certificate store. Tento certifikát se používá k ověřování klienta při zahájení připojení k virtuální síti.The certificate is used to authenticate the client when it initiates a connection to the VNet.

Pokud používáte certifikáty podepsané svým držitelem, musí se vytvořit pomocí konkrétních parametrů.If you use self-signed certificates, they must be created using specific parameters. Certifikát podepsaný svým držitelem můžete vytvořit podle pokynů pro PowerShell a Windows 10. Pokud nemáte Windows 10, můžete použít MakeCert.You can create a self-signed certificate using the instructions for PowerShell and Windows 10, or, if you don't have Windows 10, you can use MakeCert. Je důležité, abyste při generování kořenových certifikátů podepsaných svým držitelem a klientských certifikátů postupovali podle pokynů.It's important that you follow the steps in the instructions when generating self-signed root certificates and client certificates. Jinak certifikáty, které vytvoříte, nebudou kompatibilní s připojeními typu P2S a zobrazí se chyba připojení.Otherwise, the certificates you generate will not be compatible with P2S connections and you receive a connection error.

1. Získání souboru .cer pro kořenový certifikát1. Obtain the .cer file for the root certificate

Použít buď kořenový certifikát vygenerovaný pomocí podnikového řešení (doporučeno) nebo vygenerovat certifikát podepsaný svým držitelem.Use either a root certificate that was generated with an enterprise solution (recommended), or generate a self-signed certificate. Po vytvoření kořenového certifikátu exportujte data veřejného certifikátu (ne privátní klíč) jako soubor .cer X.509 s kódováním Base64.After you create the root certificate, export the public certificate data (not the private key) as a Base64 encoded X.509 .cer file. Nakonec odešlete data veřejného certifikátu na Azure server.Then, upload the public certificate data to the Azure server.

  • Podnikový certifikát: Pokud používáte podnikové řešení, můžete použít stávající řetěz certifikátů.Enterprise certificate: If you're using an enterprise solution, you can use your existing certificate chain. Získání souboru .cer pro kořenový certifikát, který chcete použít.Acquire the .cer file for the root certificate that you want to use.

  • Certifikát podepsaný svým držitelem: Pokud nepoužíváte podnikové certifikační řešení, vytvořte certifikát podepsaný svým držitelem.Self-signed root certificate: If you aren't using an enterprise certificate solution, create a self-signed root certificate. Jinak certifikáty, které vytvoříte, nebudou kompatibilní s vaší připojení typu P2S a klienti budou při pokusu o připojení obdrží chybu připojení.Otherwise, the certificates you create won't be compatible with your P2S connections and clients will receive a connection error when they try to connect. Můžete použít Azure PowerShell, MakeCert nebo OpenSSL.You can use Azure PowerShell, MakeCert, or OpenSSL. Kroky v následující články popisují, jak vygenerovat certifikát podepsaný svým držitelem kořenové kompatibilní:The steps in the following articles describe how to generate a compatible self-signed root certificate:

    • Pokyny pro Windows 10 PowerShell: Tyto pokyny vyžadují Windows 10 a PowerShell, čímž vygenerujete certifikáty.Windows 10 PowerShell instructions: These instructions require Windows 10 and PowerShell to generate certificates. Klientské certifikáty vygenerované pomocí kořenového certifikátu můžete nainstalovat na jakémkoli podporovaném klientu Point-to-Site.Client certificates that are generated from the root certificate can be installed on any supported P2S client.
    • Pokyny pro MakeCert: Použijte MakeCert, pokud nemáte přístup k počítači s Windows 10 pro generování certifikátů.MakeCert instructions: Use MakeCert if you don't have access to a Windows 10 computer to use to generate certificates. I když MakeCert je zastaralý, slouží stále ke generování certifikátů.Although MakeCert is deprecated, you can still use it to generate certificates. Klientské certifikáty, které generují z kořenového certifikátu můžete nainstalovat na všech podporovaných klientů P2S.Client certificates that you generate from the root certificate can be installed on any supported P2S client.
    • Pokyny pro LinuxLinux instructions

2. Vygenerování klientského certifikátu2. Generate a client certificate

Každý klientský počítač, který můžete připojit k virtuální síti pomocí připojení Point-to-Site musí mít nainstalovaný certifikát klienta.Each client computer that you connect to a VNet with a Point-to-Site connection must have a client certificate installed. Generovat z kořenového certifikátu a nainstalujte ho na každý klientský počítač.You generate it from the root certificate and install it on each client computer. Pokud nechcete nainstalovat platný klientský certifikát, ověření se nezdaří, když se klient pokusí připojit k virtuální síti.If you don't install a valid client certificate, authentication will fail when the client tries to connect to the VNet.

Můžete buď vygenerovat jedinečný certifikát pro každého klienta, nebo můžete použít stejný certifikát pro více klientů.You can either generate a unique certificate for each client, or you can use the same certificate for multiple clients. Výhodou generování jedinečných certifikátů pro klienty je možnost jednotlivý certifikát odvolat.The advantage to generating unique client certificates is the ability to revoke a single certificate. Jinak pokud více klienti používají stejný klientský certifikát k ověření a jeho odvolání, bude nutné vygenerovat a nainstalovat nové certifikáty pro každého klienta, který používá tento certifikát.Otherwise, if multiple clients use the same client certificate to authenticate and you revoke it, you'll need to generate and install new certificates for every client that uses that certificate.

Klientské certifikáty můžete vygenerovat pomocí následujících metod:You can generate client certificates by using the following methods:

  • Podnikový certifikát:Enterprise certificate:

    • Pokud používáte podnikové certifikační řešení, vygenerujte klientský certifikát s běžným názvem formátu název@vasedomena.com.If you're using an enterprise certificate solution, generate a client certificate with the common name value format name@yourdomain.com. Použijte tento formát místo domény\uživatelské jméno formátu.Use this format instead of the domain name\username format.
    • Ujistěte se, že klientský certifikát je založen na šabloně certifikátu uživatele, který má ověření klienta uvedená jako první položku v seznamu uživatelů.Make sure the client certificate is based on a user certificate template that has Client Authentication listed as the first item in the user list. Zkontrolujte certifikát tak, že na něj kliknuli dvakrát a zobrazení rozšířené použití klíče v podrobnosti kartu.Check the certificate by double-clicking it and viewing Enhanced Key Usage in the Details tab.
  • Certifikát podepsaný svým držitelem: Postupujte podle pokynů v některém z následujících článků P2S tak, aby klientské certifikáty, které vytvoříte, budou kompatibilní s připojení P2S.Self-signed root certificate: Follow the steps in one of the following P2S certificate articles so that the client certificates you create will be compatible with your P2S connections. Kompatibilní klientský certifikát můžete vytvořit postupu v těchto článcích:The steps in these articles generate a compatible client certificate:

    • Pokyny pro Windows 10 PowerShell: Tyto pokyny vyžadují Windows 10 a PowerShell, čímž vygenerujete certifikáty.Windows 10 PowerShell instructions: These instructions require Windows 10 and PowerShell to generate certificates. Vygenerované certifikáty můžete nainstalovat na libovolný podporovaný klient P2S.The generated certificates can be installed on any supported P2S client.
    • Pokyny pro MakeCert: Použijte MakeCert, pokud nemáte přístup k počítači s Windows 10 pro generování certifikátů.MakeCert instructions: Use MakeCert if you don't have access to a Windows 10 computer for generating certificates. I když MakeCert je zastaralý, slouží stále ke generování certifikátů.Although MakeCert is deprecated, you can still use it to generate certificates. Vygenerované certifikáty můžete nainstalovat na libovolný podporovaný klient P2S.You can install the generated certificates on any supported P2S client.
    • Pokyny pro LinuxLinux instructions

    Pokud generujete klientský certifikát z certifikátu podepsaného svým držitelem, je automaticky nainstalován v počítači, který jste použili k jeho vygenerování.When you generate a client certificate from a self-signed root certificate, it's automatically installed on the computer that you used to generate it. Pokud chcete nainstalovat klientský certifikát na jiný klientský počítač, můžete ho exportujte jako soubor .pfx spolu s celý řetěz certifikátů.If you want to install a client certificate on another client computer, export it as a .pfx file, along with the entire certificate chain. Díky tomu se vytvoří soubor .pfx, který obsahuje informace o kořenovém certifikátu potřebné pro klienta k ověření.Doing so will create a .pfx file that contains the root certificate information required for the client to authenticate.

Export certifikátuTo export the certificate

Postup exportování certifikátu najdete v tématu generování a export certifikátů pro Point-to-Site pomocí Powershellu.For steps to export a certificate, see Generate and export certificates for Point-to-Site using PowerShell.

6. Nahrání informací o veřejném klíči kořenového certifikátu6. Upload the root certificate public key information

Ověřte, že se dokončilo vytváření brány VPN.Verify that your VPN gateway has finished creating. Po dokončení můžete nahrát soubor .cer (obsahující informace o veřejném klíči) důvěryhodného kořenového certifikátu do Azure.Once it has completed, you can upload the .cer file (which contains the public key information) for a trusted root certificate to Azure. Jakmile je soubor .cer nahraný, Azure ho může použít k ověřování klientů s nainstalovaným klientským certifikátem vygenerovaným z důvěryhodného kořenového certifikátu.Once a.cer file is uploaded, Azure can use it to authenticate clients that have installed a client certificate generated from the trusted root certificate. Později můžete podle potřeby nahrát další soubory s důvěryhodnými kořenovými certifikáty – celkem až 20.You can upload additional trusted root certificate files - up to a total of 20 - later, if needed.

Tyto informace nemůžete nahrát pomocí Azure Cloud Shell.You can't upload this information using Azure Cloud Shell. V počítači můžete buď místně použít PowerShell, Azure Portal kroky.You can either use PowerShell locally on your computer, the Azure portal steps.

  1. Deklarujte proměnnou pro název certifikátu a nahraďte hodnotu vlastní hodnotou.Declare the variable for your certificate name, replacing the value with your own.

    $P2SRootCertName = "P2SRootCert.cer"
    
  2. Cestu k souboru nahraďte vlastní cestou a potom spusťte rutiny.Replace the file path with your own, and then run the cmdlets.

    $filePathForCert = "C:\cert\P2SRootCert.cer"
    $cert = new-object System.Security.Cryptography.X509Certificates.X509Certificate2($filePathForCert)
    $CertBase64 = [system.convert]::ToBase64String($cert.RawData)
    $p2srootcert = New-AzVpnClientRootCertificate -Name $P2SRootCertName -PublicCertData $CertBase64
    
  3. Nahrajte informace o veřejném klíči do Azure.Upload the public key information to Azure. Po nahrání informací o certifikátu považuje Azure za důvěryhodného kořenového certifikátu.Once the certificate information is uploaded, Azure considers it to be a trusted root certificate.

    Add-AzVpnClientRootCertificate -VpnClientRootCertificateName $P2SRootCertName -VirtualNetworkGatewayname "VNet1GW" -ResourceGroupName "TestRG" -PublicCertData $CertBase64
    

7. Instalace exportovaného klientského certifikátu7. Install an exported client certificate

Pokud chcete vytvořit připojení P2S z jiného klientského počítače, než který jste použili k vytvoření klientských certifikátů, budete muset klientský certifikát nainstalovat.If you want to create a P2S connection from a client computer other than the one you used to generate the client certificates, you need to install a client certificate. Při instalaci klientského certifikátu budete potřebovat heslo, které bylo vytvořeno při jeho exportu.When installing a client certificate, you need the password that was created when the client certificate was exported.

Zkontrolujte, že se klientský certifikát vyexportoval jako soubor .pfx spolu s celým řetězem certifikátů (to je výchozí nastavení).Make sure the client certificate was exported as a .pfx along with the entire certificate chain (which is the default). Jinak informace o kořenovém certifikátu na klientském počítači nejsou a klient se nebude moct správně ověřit.Otherwise, the root certificate information isn't present on the client computer and the client won't be able to authenticate properly.

Postup instalace najdete v tématu věnovaném instalaci klientského certifikátu.For install steps, see Install a client certificate.

8. Konfigurace nativního klienta VPN8. Configure the native VPN client

Konfigurační soubory klienta VPN obsahují nastavení pro konfiguraci zařízení, která umožňuje připojit se k virtuální síti přes připojení P2S.The VPN client configuration files contain settings to configure devices to connect to a VNet over a P2S connection. Pokyny pro generování a instalaci konfiguračních souborů klienta VPN najdete v tématu věnovaném vytvoření a instalaci konfiguračních souborů klienta VPN pro konfigurace PS2 s nativním ověřováním certifikátů Azure.For instructions to generate and install VPN client configuration files, see Create and install VPN client configuration files for native Azure certificate authentication P2S configurations.

9. Připojení k Azure9. Connect to Azure

Připojení z klienta VPN systému WindowsTo connect from a Windows VPN client

Poznámka

Na klientském počítači s Windows, že kterého se připojujete, musíte mít oprávnění správce.You must have Administrator rights on the Windows client computer from which you are connecting.

  1. Chcete-li se připojit ke své síti VNet, přejděte na klientském počítači na připojení VPN a vyhledejte připojení VPN, které jste vytvořili.To connect to your VNet, on the client computer, navigate to VPN connections and locate the VPN connection that you created. Bude mít stejný název jako vaše virtuální síť.It is named the same name as your virtual network. Klikněte na Připojit.Click Connect. Může se zobrazit místní zpráva týkající se použití certifikátu.A pop-up message may appear that refers to using the certificate. Klikněte na Pokračovat pro použití zvýšených oprávnění.Click Continue to use elevated privileges.

  2. Připojení spustíte kliknutím na tlačítko Připojit na stavové stránce Připojení.On the Connection status page, click Connect to start the connection. Pokud uvidíte obrazovku Výběr certifikátu, ujistěte se, že zobrazený klientský certifikát je ten, který chcete pro připojení použít.If you see a Select Certificate screen, verify that the client certificate showing is the one that you want to use to connect. Pokud není, vyberte pomocí šipky rozevíracího seznamu správný certifikát, a poté klikněte na OK.If it is not, use the drop-down arrow to select the correct certificate, and then click OK.

    Připojení klienta VPN k Azure

  3. Vaše připojení bylo vytvořeno.Your connection is established.

    Vytvořené připojení

Řešení potíží s připojeními P2S u klientů se systémem WindowsTroubleshooting Windows client P2S connections

Pokud máte potíže s připojením, zkontrolujte následující položky:If you have trouble connecting, check the following items:

  • Pokud jste exportovali klientský certifikát s Průvodce exportem certifikátu, ujistěte se, že jste ho exportovali jako soubor .pfx a vybrali zahrnout všechny certifikáty cestě k certifikátu, pokud je to možné.If you exported a client certificate with Certificate Export Wizard, make sure that you exported it as a .pfx file and selected Include all certificates in the certification path if possible. Při exportu s touto hodnotou, se exportují také informace o kořenovém certifikátu.When you export it with this value, the root certificate information is also exported. Po instalaci certifikátu v klientském počítači se nainstaluje i kořenový certifikát v souboru .pfx.After you install the certificate on the client computer, the root certificate in the .pfx file is also installed. Chcete-li ověřit, že se nainstaluje kořenový certifikát, otevřete správu uživatelských certifikátů a vyberte důvěryhodné kořenové certifikační autority\Certifikáty.To verify that the root certificate is installed, open Manage user certificates and select Trusted Root Certification Authorities\Certificates. Ověřte, zda je uveden kořenový certifikát, který musí být k dispozici, aby ověřování fungovalo.Verify that the root certificate is listed, which must be present for authentication to work.

  • Pokud jste použili certifikát vydaný řešením CA organizace a nemůže ověřit, zkontrolujte pořadí ověřování na klientském certifikátu.If you used a certificate that was issued by an Enterprise CA solution and you can't authenticate, verify the authentication order on the client certificate. Zkontrolujte pořadí seznamu ověřování tak, že poklikáte klientský certifikát, vyberete podrobnosti kartu a pak vyberete rozšířené použití klíče.Check the authentication list order by double-clicking the client certificate, selecting the Details tab, and then selecting Enhanced Key Usage. Ujistěte se, že ověření klienta představuje první položku v seznamu.Make sure Client Authentication is the first item in the list. Pokud tomu tak není, vydat klientský certifikát založený na šabloně uživatele, který má ověření klienta jako první položku v seznamu.If it isn't, issue a client certificate based on the user template that has Client Authentication as the first item in the list.

  • Další informace o řešení potíží s P2S najdete v tématu Řešení potíží s připojeními P2S.For additional P2S troubleshooting information, see Troubleshoot P2S connections.

Připojení z klienta VPN systému MacTo connect from a Mac VPN client

V dialogovém okně Síť vyhledejte klientský profil, který chcete použít, a potom klikněte na Připojit.From the Network dialog box, locate the client profile that you want to use, then click Connect. Podrobné pokyny najdete v tématu install-Mac (OS X) .Check Install - Mac (OS X) for detailed instructions. Pokud máte potíže s připojením, ověřte, že brána virtuální sítě nepoužívá základní SKU.If you are having trouble connecting, verify that the virtual network gateway is not using a Basic SKU. Základní SKU není pro klienty Mac podporováno.Basic SKU is not supported for Mac clients.

Připojení v systému Mac

Ověření stavu připojeníTo verify your connection

Tyto pokyny platí pro klienty se systémem Windows.These instructions apply to Windows clients.

  1. Chcete-li ověřit, zda je připojení VPN aktivní, v příkazovém řádku se zvýšenými oprávněními spusťte příkaz ipconfig/all.To verify that your VPN connection is active, open an elevated command prompt, and run ipconfig/all.

  2. Zkontrolujte výsledky.View the results. Všimněte si, že IP adresa, kterou jste obdrželi, je jedna z adres z fondu adres klienta VPN připojení Point-to-Site, který jste určili během konfigurace.Notice that the IP address you received is one of the addresses within the Point-to-Site VPN Client Address Pool that you specified in your configuration. Výsledky jsou podobné tomuto příkladu:The results are similar to this example:

    PPP adapter VNet1:
       Connection-specific DNS Suffix .:
       Description.....................: VNet1
       Physical Address................:
       DHCP Enabled....................: No
       Autoconfiguration Enabled.......: Yes
       IPv4 Address....................: 172.16.201.3(Preferred)
       Subnet Mask.....................: 255.255.255.255
       Default Gateway.................:
       NetBIOS over Tcpip..............: Enabled
    

Připojení k virtuálnímu počítačiTo connect to a virtual machine

Tyto pokyny platí pro klienty se systémem Windows.These instructions apply to Windows clients.

K virtuálnímu počítači nasazenému ve vaší virtuální síti se můžete připojit vytvořením Připojení ke vzdálené ploše tohoto virtuálního počítače.You can connect to a VM that is deployed to your VNet by creating a Remote Desktop Connection to your VM. Nejlepším způsobem, jak na začátku ověřit, že se k virtuálnímu počítači můžete připojit, je použít k připojení privátní IP adresu místo názvu počítače.The best way to initially verify that you can connect to your VM is to connect by using its private IP address, rather than computer name. Tímto způsobem testujete, jestli se můžete připojit, a ne, jestli je správně nakonfigurovaný překlad IP adres.That way, you are testing to see if you can connect, not whether name resolution is configured properly.

  1. Vyhledejte privátní IP adresu.Locate the private IP address. Privátní IP adresu virtuálního počítače najdete tak, že si zobrazíte jeho vlastnosti na webu Azure Portal nebo pomocí PowerShellu.You can find the private IP address of a VM by either looking at the properties for the VM in the Azure portal, or by using PowerShell.

    • Azure Portal – Vyhledejte virtuální počítač na webu Azure Portal.Azure portal - Locate your virtual machine in the Azure portal. Zobrazte vlastnosti virtuálního počítače.View the properties for the VM. Ve výpisu uvidíte privátní IP adresu.The private IP address is listed.

    • PowerShell – Pomocí příkladu zobrazte seznam virtuálních počítačů a privátních IP adres z vašich skupin prostředků.PowerShell - Use the example to view a list of VMs and private IP addresses from your resource groups. Tento příklad nemusíte před použitím upravovat.You don't need to modify this example before using it.

      $VMs = Get-AzVM
      $Nics = Get-AzNetworkInterface | Where VirtualMachine -ne $null
      
      foreach($Nic in $Nics)
      {
      $VM = $VMs | Where-Object -Property Id -eq $Nic.VirtualMachine.Id
      $Prv = $Nic.IpConfigurations | Select-Object -ExpandProperty PrivateIpAddress
      $Alloc = $Nic.IpConfigurations | Select-Object -ExpandProperty PrivateIpAllocationMethod
      Write-Output "$($VM.Name): $Prv,$Alloc"
      }
      
  2. Zkontrolujte, že jste k virtuální síti připojeni pomocí připojení VPN typu Point-to-Site.Verify that you are connected to your VNet using the Point-to-Site VPN connection.

  3. Otevřete Připojení ke vzdálené ploše tak, že do vyhledávacího pole na hlavním panelu zadáte „RDP“ nebo „Připojení ke vzdálené ploše“ a pak vyberete Připojení ke vzdálené ploše.Open Remote Desktop Connection by typing "RDP" or "Remote Desktop Connection" in the search box on the taskbar, then select Remote Desktop Connection. Připojení ke vzdálené ploše můžete otevřít také v PowerShellu pomocí příkazu mstsc.You can also open Remote Desktop Connection using the 'mstsc' command in PowerShell.

  4. V Připojení ke vzdálené ploše zadejte privátní IP adresu virtuálního počítače.In Remote Desktop Connection, enter the private IP address of the VM. Můžete kliknout na Zobrazit možnosti a upravit další nastavení, pak se připojte.You can click "Show Options" to adjust additional settings, then connect.

Řešení potíží s připojením ke vzdálené ploše virtuálního počítačeTo troubleshoot an RDP connection to a VM

Pokud se vám nedaří připojit k virtuálnímu počítači přes připojení VPN, zkontrolujte následující:If you are having trouble connecting to a virtual machine over your VPN connection, check the following:

  • Ověřte, že je úspěšně navázáno připojení VPN.Verify that your VPN connection is successful.
  • Ověřte, že se připojujete k privátní IP adrese virtuálního počítače.Verify that you are connecting to the private IP address for the VM.
  • Pomocí příkazu ipconfig zkontrolujte IPv4 adresu přiřazenou adaptéru Ethernet na počítači, ze kterého se připojujete.Use 'ipconfig' to check the IPv4 address assigned to the Ethernet adapter on the computer from which you are connecting. Pokud je IP adresa v rámci rozsahu adres virtuální sítě, ke které se připojujete, nebo v rámci rozsahu adres VPNClientAddressPool, tato situace se označuje jako překrývající se adresní prostor.If the IP address is within the address range of the VNet that you are connecting to, or within the address range of your VPNClientAddressPool, this is referred to as an overlapping address space. Když se adresní prostor tímto způsobem překrývá, síťový provoz nemá přístup do Azure a zůstane v místní síti.When your address space overlaps in this way, the network traffic doesn't reach Azure, it stays on the local network.
  • Pokud se k virtuálnímu počítači můžete připojit s použitím privátní IP adresy, ale ne pomocí názvu počítače, ověřte, že jste správně nakonfigurovali DNS.If you can connect to the VM using the private IP address, but not the computer name, verify that you have configured DNS properly. Další informace o tom, jak funguje překlad IP adres pro virtuální počítače, najdete v tématu Překlad IP adres pro virtuální počítače.For more information about how name resolution works for VMs, see Name Resolution for VMs.
  • Ověřte, že se po zadání IP adres serveru DNS pro virtuální síť vygeneroval balíček pro konfiguraci klienta VPN.Verify that the VPN client configuration package was generated after the DNS server IP addresses were specified for the VNet. Pokud jste aktualizovali IP adresy serveru DNS, vygenerujte a nainstalujte nový balíček pro konfiguraci klienta VPN.If you updated the DNS server IP addresses, generate and install a new VPN client configuration package.
  • Další informace o připojení ke vzdálené ploše najdete v tématu Řešení potíží s připojením ke vzdálené ploše virtuálního počítače.For more information about RDP connections, see Troubleshoot Remote Desktop connections to a VM.

Přidání nebo odebrání kořenového certifikátuTo add or remove a root certificate

Důvěryhodný kořenový certifikát můžete do Azure přidat nebo ho z Azure odebrat.You can add and remove trusted root certificates from Azure. Když odeberete kořenový certifikát, klienti s certifikátem vygenerovaným z kořenového certifikátu se nebudou moc ověřit ani připojit.When you remove a root certificate, clients that have a certificate generated from the root certificate can't authenticate and won't be able to connect. Pokud chcete, aby se klient mohl i nadále ověřovat a připojovat, je nutné nainstalovat nový klientský certifikát vygenerovaný z kořenového certifikátu, který Azure považuje za důvěryhodný (je do Azure nahraný).If you want a client to authenticate and connect, you need to install a new client certificate generated from a root certificate that is trusted (uploaded) to Azure.

Přidání důvěryhodného kořenového certifikátuTo add a trusted root certificate

Do Azure můžete přidat až 20 souborů .cer s kořenovými certifikáty.You can add up to 20 root certificate .cer files to Azure. Kořenový certifikát můžete přidat provedením následujících kroků:The following steps help you add a root certificate:

Metoda 1Method 1

Tato metoda představuje nejúčinnější způsob, jak nahrát kořenový certifikát.This method is the most efficient way to upload a root certificate. Vyžaduje, aby byly rutiny Azure PowerShell nainstalované místně na vašem počítači (ne Azure Cloud Shell).It requires Azure PowerShell cmdlets installed locally on your computer (not Azure Cloud Shell).

  1. Připravte soubor .cer k nahrání:Prepare the .cer file to upload:

    $filePathForCert = "C:\cert\P2SRootCert3.cer"
    $cert = new-object System.Security.Cryptography.X509Certificates.X509Certificate2($filePathForCert)
    $CertBase64_3 = [system.convert]::ToBase64String($cert.RawData)
    $p2srootcert = New-AzVpnClientRootCertificate -Name $P2SRootCertName -PublicCertData $CertBase64_3
    
  2. Nahrajte soubor.Upload the file. Najednou můžete nahrát jenom jeden soubor.You can only upload one file at a time.

    Add-AzVpnClientRootCertificate -VpnClientRootCertificateName $P2SRootCertName -VirtualNetworkGatewayname "VNet1GW" -ResourceGroupName "TestRG" -PublicCertData $CertBase64_3
    
  3. Ověřte nahrání souboru certifikátu:To verify that the certificate file uploaded:

    Get-AzVpnClientRootCertificate -ResourceGroupName "TestRG" `
    -VirtualNetworkGatewayName "VNet1GW"
    

Metoda 2 – Azure PortalMethod 2 - Azure portal

Tato metoda zahrnuje více kroků než metoda 1, ale má stejný výsledek.This method has more steps than Method 1, but has the same result. Přikládáme ji pro případ, že potřebujete zobrazit data certifikátu.It is included in case you need to view the certificate data. Vyžaduje, aby byly rutiny Azure PowerShell nainstalované místně na vašem počítači (ne Azure Cloud Shell).It requires Azure PowerShell cmdlets installed locally on your computer (not Azure Cloud Shell).

  1. Vytvořte a připravte nový kořenový certifikát, který chcete přidat do Azure.Create and prepare the new root certificate to add to Azure. Exportujte veřejný klíč ve formátu X.509, kódování Base-64 (CER) a otevřete jej v textovém editoru.Export the public key as a Base-64 encoded X.509 (.CER) and open it with a text editor. Zkopírujte hodnoty, jak je znázorněno v následujícím příkladu:Copy the values, as shown in the following example:

    certifikát

    Poznámka

    Při kopírování dat certifikátu se ujistěte, že kopírujete text jako jeden souvislý řádek bez konců řádků nebo odřádkování.When copying the certificate data, make sure that you copy the text as one continuous line without carriage returns or line feeds. Pokud chcete zobrazit konce řádků a odřádkování, může být nutné upravit zobrazení v textovém editoru na Zobrazit symbol / Zobrazit všechny znaky.You may need to modify your view in the text editor to 'Show Symbol/Show all characters' to see the carriage returns and line feeds.

  2. Zadejte název certifikátu a informace o klíči jako proměnnou.Specify the certificate name and key information as a variable. Nahraďte tyto informace svými vlastními, jak je ukázáno na následujícím příkladu:Replace the information with your own, as shown in the following example:

    $P2SRootCertName2 = "ARMP2SRootCert2.cer"
    $MyP2SCertPubKeyBase64_2 = "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"
    
  3. Přidejte nový kořenový certifikát.Add the new root certificate. Nelze přidat více certifikátů současně.You can only add one certificate at a time.

    Add-AzVpnClientRootCertificate -VpnClientRootCertificateName $P2SRootCertName2 -VirtualNetworkGatewayname "VNet1GW" -ResourceGroupName "TestRG" -PublicCertData $MyP2SCertPubKeyBase64_2
    
  4. Pomocí následujícího příkladu můžete ověřit, zda byl nový certifikát přidán správně:You can verify that the new certificate was added correctly by using the following example:

    Get-AzVpnClientRootCertificate -ResourceGroupName "TestRG" `
    -VirtualNetworkGatewayName "VNet1GW"
    

Odebrání kořenového certifikátuTo remove a root certificate

  1. Deklarujte proměnné.Declare the variables.

    $GWName = "Name_of_virtual_network_gateway"
    $RG = "Name_of_resource_group"
    $P2SRootCertName2 = "ARMP2SRootCert2.cer"
    $MyP2SCertPubKeyBase64_2 = "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"
    
  2. Odeberte certifikát.Remove the certificate.

    Remove-AzVpnClientRootCertificate -VpnClientRootCertificateName $P2SRootCertName2 -VirtualNetworkGatewayName $GWName -ResourceGroupName $RG -PublicCertData $MyP2SCertPubKeyBase64_2
    
  3. Pomocí následujícího příkladu můžete ověřit, zda byl certifikát úspěšně odebrán.Use the following example to verify that the certificate was removed successfully.

    Get-AzVpnClientRootCertificate -ResourceGroupName "TestRG" `
    -VirtualNetworkGatewayName "VNet1GW"
    

Odvolání klientského certifikátuTo revoke a client certificate

Certifikáty klientů lze odvolat.You can revoke client certificates. Seznam odvolaných certifikátů umožňuje selektivně odepřít připojení Point-to-Site na základě jednotlivých klientských certifikátů.The certificate revocation list allows you to selectively deny Point-to-Site connectivity based on individual client certificates. To se liší od odebrání důvěryhodného kořenového certifikátu.This is different than removing a trusted root certificate. Pokud odeberete z Azure důvěryhodný kořenový certifikát v souboru .cer, dojde k odvolání přístupu pro všechny klientské certifikáty, které byly tímto odvolaným kořenovým certifikátem vygenerovány nebo podepsány.If you remove a trusted root certificate .cer from Azure, it revokes the access for all client certificates generated/signed by the revoked root certificate. Odvolání klientského certifikátu namísto kořenového certifikátu umožňuje používat k ověřování další certifikáty vygenerované z kořenového certifikátu.Revoking a client certificate, rather than the root certificate, allows the other certificates that were generated from the root certificate to continue to be used for authentication.

Běžnou praxí je použití kořenového certifikátu pro řízení přístupu na úrovni týmu nebo organizace, přičemž odvolání klientských certifikátů slouží pro detailní kontrolu přístupu jednotlivých uživatelů.The common practice is to use the root certificate to manage access at team or organization levels, while using revoked client certificates for fine-grained access control on individual users.

Odvolání klientského certifikátuRevoke a client certificate

  1. Načtěte kryptografický otisk klientského certifikátu.Retrieve the client certificate thumbprint. Další informace najdete v tématu Postup načtení kryptografického otisku certifikátu.For more information, see How to retrieve the Thumbprint of a Certificate.

  2. Zkopírujte údaje do textového editoru a smažte všechny mezery, aby vznikl souvislý řetězec.Copy the information to a text editor and remove all spaces so that it is a continuous string. Řetězec je v dalším kroku deklarován jako proměnná.This string is declared as a variable in the next step.

  3. Deklarujte proměnné.Declare the variables. Ujistěte se, že deklarujete kryptografický otisk, který jste získali v předchozím kroku.Make sure to declare the thumbprint you retrieved in the previous step.

    $RevokedClientCert1 = "NameofCertificate"
    $RevokedThumbprint1 = "‎51ab1edd8da4cfed77e20061c5eb6d2ef2f778c7"
    $GWName = "Name_of_virtual_network_gateway"
    $RG = "Name_of_resource_group"
    
  4. Přidejte kryptografický otisk do seznamu odvolaných certifikátů.Add the thumbprint to the list of revoked certificates. Po přidání kryptografického otisku se zobrazí zpráva „Úspěch“.You see "Succeeded" when the thumbprint has been added.

    Add-AzVpnClientRevokedCertificate -VpnClientRevokedCertificateName $RevokedClientCert1 `
    -VirtualNetworkGatewayName $GWName -ResourceGroupName $RG `
    -Thumbprint $RevokedThumbprint1
    
  5. Zkontrolujte, zda byl daný kryptografický otisk přidán do seznamu odvolaných certifikátů.Verify that the thumbprint was added to the certificate revocation list.

    Get-AzVpnClientRevokedCertificate -VirtualNetworkGatewayName $GWName -ResourceGroupName $RG
    
  6. Po přidání kryptografického otisku už nebude možné certifikát použít k připojení.After the thumbprint has been added, the certificate can no longer be used to connect. Klientům, kteří se pokusí připojit pomocí tohoto certifikátu, se zobrazí zpráva s informací o neplatnosti certifikátu.Clients that try to connect using this certificate receive a message saying that the certificate is no longer valid.

Obnovení klientského certifikátuTo reinstate a client certificate

Klientský certifikát lze obnovit odebráním jeho kryptografického otisku ze seznamu odvolaných klientských certifikátů.You can reinstate a client certificate by removing the thumbprint from the list of revoked client certificates.

  1. Deklarujte proměnné.Declare the variables. Ujistěte se, že deklarujete správný kryptografický otisk pro certifikát, který chcete obnovit.Make sure you declare the correct thumbprint for the certificate that you want to reinstate.

    $RevokedClientCert1 = "NameofCertificate"
    $RevokedThumbprint1 = "‎51ab1edd8da4cfed77e20061c5eb6d2ef2f778c7"
    $GWName = "Name_of_virtual_network_gateway"
    $RG = "Name_of_resource_group"
    
  2. Odeberte kryptografický otisk certifikátu ze seznamu odvolaných certifikátů.Remove the certificate thumbprint from the certificate revocation list.

    Remove-AzVpnClientRevokedCertificate -VpnClientRevokedCertificateName $RevokedClientCert1 `
    -VirtualNetworkGatewayName $GWName -ResourceGroupName $RG -Thumbprint $RevokedThumbprint1
    
  3. Zkontrolujte, za byl kryptografický otisk ze seznamu odebrán.Check if the thumbprint is removed from the revoked list.

    Get-AzVpnClientRevokedCertificate -VirtualNetworkGatewayName $GWName -ResourceGroupName $RG
    

Nejčastější dotazy týkající se připojení Point-to-SitePoint-to-Site FAQ

Kolik koncových bodů klienta VPN je možné mít v konfiguraci připojení Point-to-Site?How many VPN client endpoints can I have in my Point-to-Site configuration?

To závisí na SKU brány.It depends on the gateway SKU. Další informace o počtu připojení podporovány, naleznete v tématu skladové položky brány.For more information on the number of connections supported, see Gateway SKUs.

Které klientské operační systémy je možné používat s připojeními typu Point-to-Site?What client operating systems can I use with Point-to-Site?

Podporovány jsou následující operační systémy:The following client operating systems are supported:

  • Windows 7 (32bitové a 64bitové verze)Windows 7 (32-bit and 64-bit)
  • Windows Server 2008 R2 (pouze 64bitové verze)Windows Server 2008 R2 (64-bit only)
  • Windows 8.1 (32bitové a 64bitové verze)Windows 8.1 (32-bit and 64-bit)
  • Windows Server 2012 (pouze 64bitové verze)Windows Server 2012 (64-bit only)
  • Windows Server 2012 R2 (pouze 64bitové verze)Windows Server 2012 R2 (64-bit only)
  • Windows Server 2016 (pouze 64bitové verze)Windows Server 2016 (64-bit only)
  • Windows 10Windows 10
  • Verze Mac OS X 10.11 nebo novějšíMac OS X version 10.11 or above
  • Linux (StrongSwan)Linux (StrongSwan)
  • iOSiOS

Poznámka

Od 1. července 2018 se začíná rušit podpora protokolu TLS 1.0 a 1.1 ve službě Azure VPN Gateway.Starting July 1, 2018, support is being removed for TLS 1.0 and 1.1 from Azure VPN Gateway. Služba VPN Gateway bude podporovat pouze protokol TLS 1.2.VPN Gateway will support only TLS 1.2. Kvůli zachování podpory najdete v článku aktualizace povolení podpory pro TLS1.2.To maintain support, see the updates to enable support for TLS1.2.

Kromě toho tyto starší verze algoritmy se také přestanou používat TLS na 1. červencem 2018:Additionally, the following legacy algorithms will also be deprecated for TLS on July 1, 2018:

  • RC4 (Rivest Cipher 4)RC4 (Rivest Cipher 4)
  • DES (Data Encryption Algorithm)DES (Data Encryption Algorithm)
  • 3DES (Triple Data Encryption Algorithm)3DES (Triple Data Encryption Algorithm)
  • MD5 (Message Digest 5)MD5 (Message Digest 5)

Jak povolit podporu protokolu TLS 1.2 ve Windows 7 a Windows 8.1?How do I enable support for TLS 1.2 in Windows 7 and Windows 8.1?

  1. Otevřete příkazový řádek se zvýšenými oprávněními kliknutím pravým tlačítkem na příkazového řádku a vyberete spustit jako správce.Open a command prompt with elevated privileges by right-clicking on Command Prompt and selecting Run as administrator.

  2. Na příkazovém řádku spusťte následující příkazy:Run the following commands in the command prompt:

    reg add HKLM\SYSTEM\CurrentControlSet\Services\RasMan\PPP\EAP\13 /v TlsVersion /t REG_DWORD /d 0xfc0
    reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp" /v DefaultSecureProtocols /t REG_DWORD /d 0xaa0
    if %PROCESSOR_ARCHITECTURE% EQU AMD64 reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp" /v DefaultSecureProtocols /t REG_DWORD /d 0xaa0
    
  3. Nainstalujte následující aktualizace:Install the following updates:

  4. Restartujte počítač.Reboot the computer.

  5. Připojení k síti VPN.Connect to the VPN.

Poznámka

Budete muset nastavit výše uvedené klíče registru, pokud používáte starší verzi Windows 10 (10240).You will have to set the above registry key if you are running an older version of Windows 10 (10240).

Je možné procházet proxy servery a brány firewall s využitím schopnosti Point-to-Site?Can I traverse proxies and firewalls using Point-to-Site capability?

Azure podporuje tři typy možností Point-to-site VPN:Azure supports three types of Point-to-site VPN options:

  • SSTP (Secure Socket Tunneling Protocol).Secure Socket Tunneling Protocol (SSTP). SSTP je Microsoft proprietární založený na protokolu SSL řešení, které umožňuje pronikat branami firewall, protože většina bran firewall otevřít odchozí port TCP, který používá protokol SSL 443.SSTP is a Microsoft proprietary SSL-based solution that can penetrate firewalls since most firewalls open the outbound TCP port that 443 SSL uses.

  • OpenVPN.OpenVPN. OpenVPN je založený na protokolu SSL řešení, které umožňuje pronikat branami firewall, protože většina bran firewall otevřít odchozí port TCP, který používá protokol SSL 443.OpenVPN is a SSL-based solution that can penetrate firewalls since most firewalls open the outbound TCP port that 443 SSL uses.

  • IKEv2 VPN.IKEv2 VPN. Je IKEv2 VPN řešení IPsec VPN založené na standardech, které již používá Odchozí porty UDP 500 a 4500 a protokol IP.IKEv2 VPN is a standards-based IPsec VPN solution that uses outbound UDP ports 500 and 4500 and IP protocol no. 50.50. Brány firewall tyto porty neotvírají vždycky, takže je možné, že IKEv2 VPN nebude moct procházet servery proxy a branami firewall.Firewalls do not always open these ports, so there is a possibility of IKEv2 VPN not being able to traverse proxies and firewalls.

Pokud restartuji klientský počítač nakonfigurovaný pro připojení Point-to-Site, připojí se síť VPN automaticky znovu?If I restart a client computer configured for Point-to-Site, will the VPN automatically reconnect?

Ve výchozím nastavení nebude klientský počítač vytvářet připojení k síti VPN automaticky znovu.By default, the client computer will not reestablish the VPN connection automatically.

Podporuje připojení Point-to-Site automatické připojení a DDNS u klientů sítě VPN?Does Point-to-Site support auto-reconnect and DDNS on the VPN clients?

Automatické opětné připojení a DDNS se u sítí VPN s připojením Point-to-Site aktuálně nepodporují.Auto-reconnect and DDNS are currently not supported in Point-to-Site VPNs.

Je možné současně používat konfigurace Site-to-Site a Point-to-Site pro stejnou virtuální síť?Can I have Site-to-Site and Point-to-Site configurations coexist for the same virtual network?

Ano.Yes. Pro model nasazení Resource Manageru musíte mít bránu typu VPN RouteBased.For the Resource Manager deployment model, you must have a RouteBased VPN type for your gateway. Pro model nasazení Classic je potřebná dynamická brána.For the classic deployment model, you need a dynamic gateway. Připojení Point-to-Site se pro brány VPN se statickým směrováním ani pro brány VPN PolicyBased nepodporuje.We do not support Point-to-Site for static routing VPN gateways or PolicyBased VPN gateways.

Je možné nakonfigurovat klienta Point-to-Site tak, aby se připojoval k několik virtuálním sítím současně?Can I configure a Point-to-Site client to connect to multiple virtual networks at the same time?

Ne.No. Klient typu Point-to-Site se může připojit jenom k prostředkům ve virtuální síti, ve které je umístěná brána virtuální sítě.A Point-to-Site client can only connect to resources in the VNet in which the virtual network gateway resides.

Jakou propustnost je možné očekávat u připojení typu Site-to-Site nebo Point-to-Site?How much throughput can I expect through Site-to-Site or Point-to-Site connections?

Určit přesnou propustnost tunelových propojení sítí VPN je obtížné.It's difficult to maintain the exact throughput of the VPN tunnels. IPsec a SSTP jsou kryptograficky náročné protokoly sítě VPN.IPsec and SSTP are crypto-heavy VPN protocols. Propustnost je také omezena latencí a šířkou pásma mezi vaší lokalitou a internetem.Throughput is also limited by the latency and bandwidth between your premises and the Internet. U služby VPN Gateway s připojeními Point-to-Site VPN jenom typu IKEv2 bude celková propustnost, kterou můžete očekávat, záviset na skladové jednotce Gateway.For a VPN Gateway with only IKEv2 Point-to-Site VPN connections, the total throughput that you can expect depends on the Gateway SKU. Další informace o propustnosti najdete v části Skladové jednotky (SKU) brány.For more information on throughput, see Gateway SKUs.

Je možné pro připojení Point-to-Site použít libovolného softwarového klienta sítě VPN, pokud podporuje protokol SSTP a/nebo IKEv2?Can I use any software VPN client for Point-to-Site that supports SSTP and/or IKEv2?

Ne.No. Pro SSTP můžete použít jenom nativního klienta VPN v systému Windows a pro IKEv2 nativního klienta VPN v systému Mac.You can only use the native VPN client on Windows for SSTP, and the native VPN client on Mac for IKEv2. Můžete však použít OpenVPN klienta na všech platformách pro připojení přes protokol OpenVPN.However, you can use the OpenVPN client on all platforms to connect over OpenVPN protocol. Podrobnosti najdete v seznamu podporovaných klientských operačních systémů.Refer to the list of supported client operating systems.

Podporuje Azure IKEv2 VPN s Windows?Does Azure support IKEv2 VPN with Windows?

IKEv2 se podporuje v systémech Windows 10 a Server 2016.IKEv2 is supported on Windows 10 and Server 2016. Pokud ale chcete používat IKEv2, musíte nainstalovat aktualizace a nastavit hodnotu klíče registru v místním prostředí.However, in order to use IKEv2, you must install updates and set a registry key value locally. Verze operačního systému starší než Windows 10 nejsou podporovány a mohou používat pouze SSTP nebo OpenVPN® protokol.OS versions prior to Windows 10 are not supported and can only use SSTP or OpenVPN® Protocol.

Postup přípravy systému Windows 10 nebo Server 2016 na IKEv2:To prepare Windows 10 or Server 2016 for IKEv2:

  1. Nainstalujte aktualizaci.Install the update.

    Verze operačního systémuOS version DatumDate Číslo/odkazNumber/Link
    Windows Server 2016Windows Server 2016
    Windows 10 verze 1607Windows 10 Version 1607
    17. ledna 2018January 17, 2018 KB4057142KB4057142
    Windows 10 verze 1703Windows 10 Version 1703 17. ledna 2018January 17, 2018 KB4057144KB4057144
    Windows 10 Version 1709Windows 10 Version 1709 22. března 2018March 22, 2018 KB4089848KB4089848
  2. Nastavte hodnotu klíče registru.Set the registry key value. Vytvořte nebo nastavte klíč REG_DWORD HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\ IKEv2\DisableCertReqPayload v registru na hodnotu 1.Create or set “HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\ IKEv2\DisableCertReqPayload” REG_DWORD key in the registry to 1.

Co se stane, když se pro připojení P2S VPN nakonfiguruje SSTP i IKEv2?What happens when I configure both SSTP and IKEv2 for P2S VPN connections?

Když nakonfigurujete SSTP a IKEv2 ve smíšeném prostředí (které se skládá ze zařízení se systémy Windows a Mac), klient VPN systému Windows vždycky nejdřív zkusí využít tunel IKEv2, ale pokud připojení IKEv2 není úspěšné, vrátí se k SSTP.When you configure both SSTP and IKEv2 in a mixed environment (consisting of Windows and Mac devices), the Windows VPN client will always try IKEv2 tunnel first, but will fall back to SSTP if the IKEv2 connection is not successful. MacOSX se bude připojovat jenom prostřednictvím protokolu IKEv2.MacOSX will only connect via IKEv2.

Které další platformy (mimo Windows a Mac) Azure podporuje pro P2S VPN?Other than Windows and Mac, which other platforms does Azure support for P2S VPN?

Pro P2S VPN Azure podporuje Windows, Mac a Linux.Azure supports Windows, Mac and Linux for P2S VPN.

Už mám nasazenou Azure VPN Gateway.I already have an Azure VPN Gateway deployed. Můžu na ní povolit RADIUS, případně IKEv2 VPN?Can I enable RADIUS and/or IKEv2 VPN on it?

Ano, tyto funkce můžete na už nasazených bránách povolit pomocí PowerShellu nebo webu Azure Portal za předpokladu, že použitá jednotka SKU brány podporuje RADIUS a/nebo IKEv2.Yes, you can enable these new features on already deployed gateways using Powershell or the Azure portal, provided that the gateway SKU that you are using supports RADIUS and/or IKEv2. Například SKU VPN Gateway Basic nepodporuje RADIUS ani IKEv2.For example, the VPN gateway Basic SKU does not support RADIUS or IKEv2.

Můžu použít vlastní interní kořenovou certifikační autoritu PKI ke generování certifikátů pro připojení Point-to-site?Can I use my own internal PKI root CA to generate certificates for Point-to-Site connectivity?

Ano.Yes. Dříve bylo možné používat pouze kořenové certifikáty podepsané svým držitelem.Previously, only self-signed root certificates could be used. I nyní je možné nahrát 20 kořenových certifikátů.You can still upload 20 root certificates.

Můžu použít certifikáty z Azure Key Vault?Can I use certificates from Azure Key Vault?

Ne.No.

Jaké nástroje se dají použít k vytvoření certifikátů?What tools can I use to create certificates?

Můžete využít vaše podnikové řešení infrastruktury veřejných klíčů (vaše interní PKI), Azure PowerShell, MakeCert a OpenSSL.You can use your Enterprise PKI solution (your internal PKI), Azure PowerShell, MakeCert, and OpenSSL.

Existují nějaké pokyny pro parametry a nastavení certifikátů?Are there instructions for certificate settings and parameters?

  • Interní řešení PKI/podnik PKI: Přečtěte si postup pro generování certifikátů.Internal PKI/Enterprise PKI solution: See the steps to Generate certificates.

  • Azure PowerShell: Postup najdete v článku o Azure PowerShell .Azure PowerShell: See the Azure PowerShell article for steps.

  • MakeCert: Postup najdete v článku Makecert .MakeCert: See the MakeCert article for steps.

  • OpenSSL:OpenSSL:

    • Při exportu certifikátů nezapomeňte převést kořenový certifikát na Base64.When exporting certificates, be sure to convert the root certificate to Base64.

    • Pro klientský certifikát:For the client certificate:

      • Při vytváření privátního klíče zadejte délku 4096.When creating the private key, specify the length as 4096.
      • Při vytváření certifikátu jako parametr -extensions zadejte usr_cert.When creating the certificate, for the -extensions parameter, specify usr_cert.

Další krokyNext steps

Po dokončení připojení můžete do virtuálních sítí přidávat virtuální počítače.Once your connection is complete, you can add virtual machines to your virtual networks. Další informace najdete v tématu Virtuální počítače.For more information, see Virtual Machines. Bližší informace o sítích a virtuálních počítačích najdete v tématu s přehledem sítě virtuálních počítačů s Linuxem v Azure.To understand more about networking and virtual machines, see Azure and Linux VM network overview.

Informace o řešení potíží s P2S najdete v těchto potížích: Problémy spřipojením k bodům Azure Point-to-site.For P2S troubleshooting information, Troubleshooting: Azure point-to-site connection problems.