Konfigurieren einer Point-to-Site-Verbindung mit einem VNET unter Verwendung der nativen Azure-Zertifikatauthentifizierung: Azure-PortalConfigure a Point-to-Site connection to a VNet using native Azure certificate authentication: Azure portal

Dieser Artikel enthält Informationen zum sicheren Verbinden von einzelnen Clients, auf denen Windows, Linux oder Mac OS X ausgeführt wird, mit einem Azure-VNET.This article helps you securely connect individual clients running Windows, Linux, or Mac OS X to an Azure VNet. Eine P2S-VPN-Verbindung ist nützlich, wenn Sie an einem Remotestandort (beispielsweise bei der Telearbeit zu Hause oder in einer Konferenz) eine Verbindung mit Ihrem VNET herstellen möchten.Point-to-Site VPN connections are useful when you want to connect to your VNet from a remote location, such when you are telecommuting from home or a conference. Sie können anstelle einer Site-to-Site-VPN-Verbindung auch P2S verwenden, wenn nur einige wenige Clients eine Verbindung mit einem VNET herstellen müssen.You can also use P2S instead of a Site-to-Site VPN when you have only a few clients that need to connect to a VNet. Point-to-Site-Verbindungen erfordern weder ein VPN-Gerät noch eine öffentliche IP-Adresse.Point-to-Site connections do not require a VPN device or a public-facing IP address. P2S erstellt die VPN-Verbindung entweder über SSTP (Secure Socket Tunneling Protocol) oder IKEv2.P2S creates the VPN connection over either SSTP (Secure Socket Tunneling Protocol), or IKEv2. Weitere Informationen zu Point-to-Site-VPN-Verbindungen finden Sie unter Informationen zu Point-to-Site-VPN.For more information about Point-to-Site VPN, see About Point-to-Site VPN.

Herstellen einer Verbindung zwischen einem Computer und einem Azure VNet – Point-to-Site-Verbindungsdiagramm

ArchitectureArchitecture

Für native Point-to-Site-Verbindungen mit Azure-Zertifikatauthentifizierung werden die folgenden Komponenten verwendet, die Sie in dieser Übung konfigurieren:Point-to-Site native Azure certificate authentication connections use the following items, which you configure in this exercise:

  • Ein RouteBased-VPN-Gateway.A RouteBased VPN gateway.
  • Der öffentliche Schlüssel (CER-Datei) für ein Stammzertifikat (in Azure hochgeladen).The public key (.cer file) for a root certificate, which is uploaded to Azure. Sobald das Zertifikat hochgeladen wurde, wird es als vertrauenswürdiges Zertifikat betrachtet und für die Authentifizierung verwendet.Once the certificate is uploaded, it is considered a trusted certificate and is used for authentication.
  • Ein Clientzertifikat, das von der Stammzertifizierungsstelle generiert wird.A client certificate that is generated from the root certificate. Das auf jedem Clientcomputer, für den eine Verbindung mit dem VNET hergestellt wird, installierte Clientzertifikat.The client certificate installed on each client computer that will connect to the VNet. Dieses Zertifikat wird für die Clientauthentifizierung verwendet.This certificate is used for client authentication.
  • Eine VPN-Clientkonfiguration.A VPN client configuration. Die VPN-Clientkonfigurationsdateien enthalten die erforderlichen Informationen, damit der Client eine Verbindung mit dem VNET herstellen kann.The VPN client configuration files contain the necessary information for the client to connect to the VNet. Die Dateien konfigurieren den vorhandenen nativen VPN-Client des Betriebssystems.The files configure the existing VPN client that is native to the operating system. Jeder Client, der eine Verbindung herstellt, muss mit den Einstellungen in den Konfigurationsdateien konfiguriert werden.Each client that connects must be configured using the settings in the configuration files.

BeispielwerteExample values

Sie können die folgenden Werte zum Erstellen einer Testumgebung oder zum besseren Verständnis der Beispiele in diesem Artikel nutzen:You can use the following values to create a test environment, or refer to these values to better understand the examples in this article:

  • VNET-Name: VNet1VNet Name: VNet1
  • Adressraum: 192.168.0.0/16Address space: 192.168.0.0/16
    In diesem Beispiel verwenden wir nur einen einzelnen Adressraum.For this example, we use only one address space. Sie können für Ihr VNet aber auch mehrere Adressräume verwenden.You can have more than one address space for your VNet.
  • Subnetzname: FrontEndSubnet name: FrontEnd
  • Subnetzadressbereich: 192.168.1.0/24Subnet address range: 192.168.1.0/24
  • Abonnement: Falls Sie über mehrere Abonnements verfügen, sollten Sie sich vergewissern, dass Sie das richtige Abonnement verwenden.Subscription: If you have more than one subscription, verify that you are using the correct one.
  • Ressourcengruppe: TestRGResource Group: TestRG
  • Standort: USA, OstenLocation: East US
  • GatewaySubnet: 192.168.200.0/24GatewaySubnet: 192.168.200.0/24
  • DNS-Server: (optional) IP-Adresse des DNS-Servers, der für die Namensauflösung verwendet werden sollDNS Server: (optional) IP address of the DNS server that you want to use for name resolution.
  • Name des Gateways für virtuelle Netzwerke: VNet1GWVirtual network gateway name: VNet1GW
  • Gatewaytyp: VPNGateway type: VPN
  • VPN-Typ: RoutenbasiertVPN type: Route-based
  • Öffentliche IP-Adresse: VNet1GWpipPublic IP address name: VNet1GWpip
  • Verbindungstyp: Point-to-SiteConnection type: Point-to-site
  • Clientadresspool: 172.16.201.0/24Client address pool: 172.16.201.0/24
    VPN-Clients, die über diese Point-to-Site-Verbindung eine Verbindung mit dem VNet herstellen, erhalten eine IP-Adresse aus dem Clientadresspool.VPN clients that connect to the VNet using this Point-to-Site connection receive an IP address from the client address pool.

1. Erstellen eines virtuellen Netzwerks1. Create a virtual network

Stellen Sie zunächst sicher, dass Sie über ein Azure-Abonnement verfügen.Before beginning, verify that you have an Azure subscription. Wenn Sie noch kein Azure-Abonnement besitzen, können Sie Ihre MSDN-Abonnentenvorteile aktivieren oder sich für ein kostenloses Konto registrieren.If you don't already have an Azure subscription, you can activate your MSDN subscriber benefits or sign up for a free account.

Wenn Sie mit dem Azure-Portal ein VNET im Resource Manager-Bereitstellungsmodell erstellen, führen Sie die Schritte unten aus.To create a VNet in the Resource Manager deployment model by using the Azure portal, follow the steps below. Die Screenshots dienen als Beispiele.The screenshots are provided as examples. Achten Sie darauf, dass Sie die Werte durch Ihre eigenen Werte ersetzen.Be sure to replace the values with your own. Weitere Informationen zur Arbeit mit virtuellen Netzwerken finden Sie unter Virtuelle Netzwerke im Überblick.For more information about working with virtual networks, see the Virtual Network Overview.

Hinweis

Wenn dieses VNET eine Verbindung mit einem lokalen Speicherort herstellen soll (zusätzlich zur Erstellung einer P2S-Konfiguration), müssen Sie in Zusammenarbeit mit Ihrem Administrator des lokalen Netzwerks einen IP-Adressbereich festlegen, den Sie speziell für dieses virtuelle Netzwerk verwenden können.If you want this VNet to connect to an on-premises location (in addition to creating a P2S configuration), you need to coordinate with your on-premises network administrator to carve out an IP address range that you can use specifically for this virtual network. Falls ein Adressbereich auf beiden Seiten der VPN-Verbindung und somit doppelt vorhanden ist, wird Datenverkehr unter Umständen nicht wie erwartet weitergeleitet.If a duplicate address range exists on both sides of the VPN connection, traffic does not route the way you may expect it to. Wenn Sie für dieses VNet eine Verbindung mit einem anderen VNet herstellen möchten, darf sich der Adressraum außerdem nicht mit dem anderen VNet überlappen.Additionally, if you want to connect this VNet to another VNet, the address space cannot overlap with other VNet. Achten Sie darauf, dass Sie Ihre Netzwerkkonfiguration entsprechend planen.Take care to plan your network configuration accordingly.

  1. Navigieren Sie in einem Browser zum Azure-Portal , und melden Sie sich, falls erforderlich, mit Ihrem Azure-Konto an.From a browser, navigate to the Azure portal and, if necessary, sign in with your Azure account.
  2. Klicken Sie unten auf der Seite auf +.Click +. Geben Sie im Feld Marketplace durchsuchen die Zeichenfolge „Virtual Network“ ein.In the Search the marketplace field, type "Virtual Network". Klicken Sie in der zurückgegebenen Liste auf Virtual Network, um die Seite Virtual Network zu öffnen.Locate Virtual Network from the returned list and click to open the Virtual Network page.

    Zur Seite mit den Ressourcen des virtuellen Netzwerks navigierenLocate Virtual Network resource page

  3. Wählen Sie unten auf der Seite „Virtuelles Netzwerk“ in der Liste Bereitstellungsmodell auswählen die Option Resource Manager aus, und klicken Sie dann auf Erstellen.Near the bottom of the Virtual Network page, from the Select a deployment model list, select Resource Manager, and then click Create.

    Resource Manager auswählenSelect Resource Manager

  4. Konfigurieren Sie auf der Seite Virtuelles Netzwerk erstellen die VNET-Einstellungen.On the Create virtual network page, configure the VNet settings. Beim Ausfüllen der Felder ändert sich das rote Ausrufezeichen in ein grünes Häkchen, sofern die in das Feld eingegebenen Zeichen zulässig sind.When you fill in the fields, the red exclamation mark becomes a green check mark when the characters entered in the field are valid. Unter Umständen wurden bestimmte Werte bereits automatisch ausgefüllt.There may be values that are auto-filled. Ersetzen Sie sie in diesem Fall durch Ihre eigenen Werte.If so, replace the values with your own. Die Seite Virtuelles Netzwerk erstellen sieht in etwa wie im folgenden Beispiel aus:The Create virtual network page looks similar to the following example:

    FeldüberprüfungField validation

  5. Name: Geben Sie den Namen für Ihr virtuelles Netzwerk ein.Name: Enter the name for your Virtual Network.
  6. Adressraum: Geben Sie den Adressraum ein.Address space: Enter the address space. Falls Sie mehrere Adressräume hinzufügen möchten, fügen Sie Ihren ersten Adressraum hinzu.If you have multiple address spaces to add, add your first address space. Weitere Adressräume können später (nach Erstellung des VNets) hinzugefügt werden.You can add additional address spaces later, after creating the VNet.
  7. Abonnement: Vergewissern Sie sich, dass das richtige Abonnement angegeben ist.Subscription: Verify that the Subscription listed is the correct one. Das Abonnement kann über die Dropdownliste geändert werden.You can change subscriptions by using the drop-down.
  8. Ressourcengruppe: Wählen Sie entweder eine bereits vorhandene Ressourcengruppe aus, oder geben Sie einen Namen für eine neue Ressourcengruppe ein.Resource group: Select an existing resource group, or create a new one by typing a name for your new resource group. Geben Sie der Ressourcengruppe beim Erstellen einer neuen Gruppe einen Namen, der zu Ihren geplanten Konfigurationswerten passt.If you are creating a new group, name the resource group according to your planned configuration values. Weitere Informationen zu Ressourcengruppen finden Sie unter Übersicht über den Azure-Ressourcen-Manager.For more information about resource groups, visit Azure Resource Manager Overview.
  9. Standort: Wählen Sie den Standort für Ihr VNET aus.Location: Select the location for your VNet. Der Standort gibt an, wo sich die in diesem VNet bereitgestellten Ressourcen befinden.The location determines where the resources that you deploy to this VNet will reside.
  10. Subnetz: Fügen Sie Name und Adressbereich des Subnetzes hinzu.Subnet: Add the subnet name and subnet address range. Weitere Subnetze können später (nach Erstellung des VNets) hinzugefügt werden.You can add additional subnets later, after creating the VNet.
  11. Wählen Sie An Dashboard anheften aus, wenn das VNET komfortabel auf dem Dashboard zur Verfügung stehen soll, und klicken Sie dann auf Erstellen.Select Pin to dashboard if you want to be able to find your VNet easily on the dashboard, and then click Create.

    An Dashboard anheftenPin to dashboard

  12. Nach dem Klicken auf Erstellen wird auf dem Dashboard eine Kachel angezeigt, auf der der Status des VNET angegeben wird.After clicking Create, you will see a tile on your dashboard that will reflect the progress of your VNet. Die Kachel verändert sich, wenn das VNet erstellt wird.The tile changes as the VNet is being created.

    Kachel „Virtuelles Netzwerk wird erstellt“Creating virtual network tile

2. Hinzufügen eines Gatewaysubnetzes2. Add a gateway subnet

Bevor Sie das virtuelle Netzwerk mit einem Gateway verbinden, müssen Sie das Gatewaysubnetz für das virtuelle Netzwerk erstellen, mit dem Sie eine Verbindung herstellen möchten.Before connecting your virtual network to a gateway, you first need to create the gateway subnet for the virtual network to which you want to connect. Für die Gatewaydienste werden die im Gatewaysubnetz angegebenen IP-Adressen verwendet.The gateway services use the IP addresses specified in the gateway subnet. Erstellen Sie nach Möglichkeit ein Gatewaysubnetz mit einem CIDR-Block vom Typ „/28“ oder „/27“, damit genügend IP-Adressen für zukünftige zusätzliche Konfigurationsanforderungen zur Verfügung stehen.If possible, create a gateway subnet using a CIDR block of /28 or /27 to provide enough IP addresses to accommodate additional future configuration requirements.

  1. Navigieren Sie im Portal zum virtuellen Resource Manager-Netzwerk, für das Sie ein virtuelles Netzwerkgateway erstellen möchten.In the portal, navigate to the Resource Manager virtual network for which you want to create a virtual network gateway.
  2. Klicken Sie auf der VNET-Seite im Abschnitt Einstellungen auf Subnetze, um die Seite Subnetze zu erweitern.In the Settings section of your VNet page, click Subnets to expand the Subnets page.
  3. Klicken Sie auf der Seite Subnetze auf +Gatewaysubnetz, um die Seite Subnetz hinzufügen zu öffnen.On the Subnets page, click +Gateway subnet to open the Add subnet page.

    Hinzufügen des GatewaysubnetzesAdd the gateway subnet

  4. Als Name für Ihr Subnetz wird automatisch der Wert „GatewaySubnet“ eingefügt.The Name for your subnet is automatically filled in with the value 'GatewaySubnet'. Dieser Wert ist erforderlich, damit Azure das Subnetz als Gatewaysubnetz erkennt.This value is required in order for Azure to recognize the subnet as the gateway subnet. Passen Sie die automatisch ausgefüllten Werte für Adressbereich gemäß Ihren Konfigurationsanforderungen an, und klicken Sie unten auf der Seite auf OK, um das Subnetz zu erstellen.Adjust the auto-filled Address range values to match your configuration requirements, then click OK at the bottom of the page to create the subnet.

    Hinzufügen des SubnetzesAdding the subnet

3. Angeben eines DNS-Servers (optional)3. Specify a DNS server (optional)

Nach Erstellung des virtuellen Netzwerks können Sie für die Namensauflösung die IP-Adresse eines DNS-Servers hinzufügen.After you create your virtual network, you can add the IP address of a DNS server to handle name resolution. Der DNS-Server ist für diese Konfiguration optional, für die Namensauflösung jedoch erforderlich.The DNS server is optional for this configuration, but required if you want name resolution. Wenn ein Wert angegeben wird, wird kein neuer DNS-Server erstellt.Specifying a value does not create a new DNS server. Die IP-Adresse des angegebenen DNS-Servers muss dazu in der Lage sein, die Namen für die Ressourcen aufzulösen, mit denen Sie eine Verbindung herstellen möchten.The DNS server IP address that you specify should be a DNS server that can resolve the names for the resources you are connecting to. In diesem Beispiel wurde eine private IP-Adresse verwendet. Bei dieser IP-Adresse handelt es sich aber wahrscheinlich nicht um die IP-Adresse Ihres DNS-Servers.For this example, we used a private IP address, but it is likely that this is not the IP address of your DNS server. Achten Sie darauf, dass Sie Ihre eigenen Werte verwenden.Be sure to use your own values. Der angegebene Wert wird nicht von der P2S-Verbindung oder dem VPN-Client, sondern von den Ressourcen verwendet, die Sie im VNET bereitstellen.The value you specify is used by the resources that you deploy to the VNet, not by the P2S connection or the VPN client.

  1. Wechseln Sie auf der Seite Einstellungen für Ihr virtuelles Netzwerk zu DNS-Server, und klicken Sie darauf, um die Seite DNS-Server zu öffnen.On the Settings page for your virtual network, navigate to DNS Servers and click to open the DNS servers page.

    Angeben eines DNS-ServersSpecify a DNS server

    • DNS-Server: Wählen Sie Benutzerdefiniert aus.DNS Servers: Select Custom.
    • DNS-Server hinzufügen: Geben Sie die IP-Adresse des DNS-Servers ein, der für die Namensauflösung verwendet werden soll.Add DNS server: Enter the IP address of the DNS server that you want to use for name resolution.
  2. Wenn Sie die DNS-Server hinzugefügt haben, klicken Sie oben auf der Seite auf Speichern.When you are done adding DNS servers, click Save at the top of the page.

4. Erstellen eines Gateways für das virtuelle Netzwerk4. Create a virtual network gateway

  1. Klicken Sie im Portal auf der linken Seite auf + Ressource erstellen, und geben Sie für die Suche „Gateway für virtuelle Netzwerke“ ein.In the portal, on the left side, click + Create a resource and type 'Virtual Network Gateway' in search. Suchen Sie in der Ausgabe nach Virtuelles Netzwerkgateway, und klicken Sie auf den Eintrag.Locate Virtual network gateway in the search return and click the entry. Klicken Sie auf der Seite Gateway für virtuelle Netzwerke unten auf Erstellen, um die Seite Gateway für virtuelle Netzwerke erstellen zu öffnen.On the Virtual network gateway page, click Create at the bottom of the page to open the Create virtual network gateway page.
  2. Geben Sie auf der Seite Gateway für virtuelle Netzwerke erstellen die Werte für das Gateway für virtuelle Netzwerke an.On the Create virtual network gateway page, fill in the values for your virtual network gateway.

    Felder der Seite „Gateway für virtuelle Netzwerke erstellen“Create virtual network gateway page fields

  3. Geben Sie auf der Seite Gateway für virtuelle Netzwerke erstellen die Werte für das Gateway für virtuelle Netzwerke an.On the Create virtual network gateway page, specify the values for your virtual network gateway.

    • Name: Benennen Sie Ihr Gateway.Name: Name your gateway. Dies ist nicht das Gleiche wie das Benennen eines Gatewaysubnetzes.This is not the same as naming a gateway subnet. Hierbei handelt es sich um den Namen des Gatewayobjekts, das Sie erstellen.It's the name of the gateway object you are creating.
    • Gatewaytyp: Wählen Sie VPN aus.Gateway type: Select VPN. Bei VPN-Gateways wird ein virtuelles Netzwerkgateway vom Typ VPN verwendet.VPN gateways use the virtual network gateway type VPN.
    • VPN-Typ: Wählen Sie den für Ihre Konfiguration angegebenen VPN-Typ aus.VPN type: Select the VPN type that is specified for your configuration. Bei den meisten Konfigurationen wird ein routenbasierter VPN-Typ benötigt.Most configurations require a Route-based VPN type.
    • SKU: Wählen Sie in der Dropdownliste die Gateway-SKU aus.SKU: Select the gateway SKU from the dropdown. Welche SKUs in der Dropdownliste aufgeführt werden, hängt vom ausgewählten VPN-Typ ab.The SKUs listed in the dropdown depend on the VPN type you select. Weitere Informationen zu Gateway-SKUs finden Sie unter Gateway-SKUs.For more information about gateway SKUs, see Gateway SKUs.
    • Standort: Unter Umständen müssen Sie einen Bildlauf durchführen, um diese Option anzuzeigen.Location: You may need to scroll to see Location. Passen Sie das Feld Standort an, um auf den Standort zu verweisen, an dem sich das virtuelle Netzwerk befindet.Adjust the Location field to point to the location where your virtual network is located. Wenn der Standort nicht auf die Region verweist, in der sich Ihr virtuelles Netzwerk befindet, wird das virtuelle Netzwerk nicht in der Dropdownliste angezeigt, wenn Sie im nächsten Schritt ein virtuelles Netzwerk auswählen.If the location is not pointing to the region where your virtual network resides, when you select a virtual network in the next step, it will not appear in the drop-down list.
    • Virtuelles Netzwerk: Wählen Sie das virtuelle Netzwerk aus, dem Sie dieses Gateway hinzufügen möchten.Virtual network: Choose the virtual network to which you want to add this gateway. Klicken Sie auf Virtuelles Netzwerk, um die Seite „Virtuelles Netzwerk auswählen“ zu öffnen.Click Virtual network to open the 'Choose a virtual network' page. Wählen Sie das VNet aus.Select the VNet. Sollte Ihr VNet nicht angezeigt werden, vergewissern Sie sich, dass das Feld „Speicherort“ auf die Region verweist, in der sich Ihr virtuelles Netzwerk befindet.If you don't see your VNet, make sure the Location field is pointing to the region in which your virtual network is located.
    • Adressbereich für Gatewaysubnetz: Diese Einstellung wird nur angezeigt, wenn Sie zuvor kein Gatewaysubnetz für Ihr virtuelles Netzwerk erstellt haben.Gateway subnet address range: You will only see this setting if you did not previously create a gateway subnet for your virtual network. Falls Sie zuvor ein gültiges Gatewaysubnetz erstellt haben, wird diese Einstellung nicht angezeigt.If you previously created a valid gateway subnet, this setting will not appear.
    • Erste IP-Konfiguration: Auf der Seite „Öffentliche IP-Adresse wählen“ wird ein Objekt für eine öffentliche IP-Adresse erstellt, die dem VPN-Gateway zugeordnet wird.First IP configuration: The 'Choose public IP address' page creates a public IP address object that gets associated to the VPN gateway. Die öffentliche IP-Adresse wird bei der Erstellung des VPN-Gateways diesem Objekt dynamisch zugewiesen.The public IP address is dynamically assigned to this object when the VPN gateway is created. VPN Gateway unterstützt derzeit nur die dynamische Zuweisung öffentlicher IP-Adressen.VPN Gateway currently only supports Dynamic Public IP address allocation. Das bedeutet jedoch nicht, dass sich die IP-Adresse ändert, nachdem sie Ihrem VPN-Gateway zugewiesen wurde.However, this does not mean that the IP address changes after it has been assigned to your VPN gateway. Die öffentliche IP-Adresse ändert sich nur, wenn das Gateway gelöscht und neu erstellt wird.The only time the Public IP address changes is when the gateway is deleted and re-created. Sie ändert sich nicht, wenn die Größe geändert wird, das VPN-Gateway zurückgesetzt wird oder andere interne Wartungs-/Upgradevorgänge für das VPN-Gateway durchgeführt werden.It doesn't change across resizing, resetting, or other internal maintenance/upgrades of your VPN gateway.

      • Klicken Sie zunächst auf Gateway-IP-Konfiguration erstellen, um die Seite „Öffentliche IP-Adresse wählen“ zu öffnen, und klicken Sie dann auf + Neu erstellen, um die Seite „Öffentliche IP-Adresse erstellen“ zu öffnen.First, click Create gateway IP configuration to open the 'Choose public IP address' page, then click +Create new to open the 'Create public IP address' page.
      • Geben Sie anschließend einen Namen für die öffentliche IP-Adresse ein.Next, input a Name for your public IP address. Behalten Sie als SKU Basic bei, es sei denn, es gibt einen bestimmten Grund dafür, einen anderen Wert festzulegen. Klicken Sie dann unten auf dieser Seite auf OK, um die Änderungen zu speichern.Leave the SKU as Basic unless there is a specific reason to change it to something else, then click OK at the bottom of this page to save your changes.

        Anfordern der öffentlichen IP-AdresseRequest public IP address

  4. Überprüfen Sie die Einstellungen.Verify the settings. Sie können unten auf der Seite auf An Dashboard anheften klicken, wenn das Gateway auf dem Dashboard angezeigt werden soll.You can select Pin to dashboard at the bottom of the page if you want your gateway to appear on the dashboard.

  5. Klicken Sie auf Erstellen, um das VPN-Gateway zu erstellen.Click Create to begin creating the VPN gateway. Die Einstellungen werden überprüft, und auf dem Dashboard wird die Kachel mit dem Hinweis angezeigt, dass das Gateway des virtuellen Netzwerks bereitgestellt wird.The settings are validated and you'll see the "Deploying Virtual network gateway" tile on the dashboard. Die Erstellung eines Gateways kann bis zu 45 Minuten dauern.Creating a gateway can take up to 45 minutes. Unter Umständen müssen Sie die Portalseite aktualisieren, um den Status „Abgeschlossen“ anzuzeigen.You may need to refresh your portal page to see the completed status.

Zeigen Sie nach der Erstellung des Gateways unter dem virtuellen Netzwerk im Portal die zugewiesene IP-Adresse an.After the gateway is created, view the IP address that has been assigned to it by looking at the virtual network in the portal. Das Gateway wird als verbundenes Gerät angezeigt.The gateway appears as a connected device. Sie können auf das verbundene Gerät (Ihr virtuelles Netzwerkgateway) klicken, um weitere Informationen anzuzeigen.You can click the connected device (your virtual network gateway) to view more information.

Hinweis

Die Basic-SKU unterstützt keine IKEv2- oder RADIUS-Authentifizierung.The Basic SKU does not support IKEv2 or RADIUS authentication.

5. Generieren von Zertifikaten5. Generate certificates

Zertifikate werden von Azure zum Authentifizieren von Clients verwendet, die eine Verbindung mit einem VNET über eine Point-to-Site-VPN-Verbindung herstellen.Certificates are used by Azure to authenticate clients connecting to a VNet over a Point-to-Site VPN connection. Nachdem Sie ein Stammzertifikat abgerufen haben, müssen Sie die Informationen des öffentlichen Schlüssels in Azure hochladen.Once you obtain a root certificate, you upload the public key information to Azure. Das Stammzertifikat wird dann von Azure als „vertrauenswürdig“ für die Verbindung mit dem virtuellen Netzwerk über P2S betrachtet.The root certificate is then considered 'trusted' by Azure for connection over P2S to the virtual network. Sie generieren darüber hinaus Clientzertifikate aus dem vertrauenswürdigen Stammzertifikat und installieren sie dann auf den einzelnen Clientcomputern.You also generate client certificates from the trusted root certificate, and then install them on each client computer. Mit dem Clientzertifikat wird der Client authentifiziert, wenn er eine Verbindung mit dem VNET initiiert.The client certificate is used to authenticate the client when it initiates a connection to the VNet.

1. Beschaffen der CER-Datei für ein Stammzertifikat1. Obtain the .cer file for the root certificate

Sie können entweder ein Stammzertifikat verwenden, das mit einer Unternehmenslösung generiert wurde (empfohlen), oder ein selbstsigniertes Zertifikat generieren.You can use either a root certificate that was generated using an enterprise solution (recommended), or you can generate a self-signed certificate. Exportieren Sie nach dem Erstellen des Stammzertifikats die Daten des öffentlichen Zertifikats (nicht den privaten Schlüssel) als Base64-codierte X.509-CER-Datei, und laden die Daten des öffentlichen Zertifikats in Azure hoch.After creating the root certificate, export the public certificate data (not the private key) as a Base-64 encoded X.509 .cer file and upload the public certificate data to Azure.

  • Unternehmenszertifikat: Bei einer Unternehmenslösung können Sie Ihre vorhandene Zertifikatkette verwenden.Enterprise certificate: If you are using an enterprise solution, you can use your existing certificate chain. Rufen Sie die CER-Datei für das Stammzertifikat ab, das Sie verwenden möchten.Obtain the .cer file for the root certificate that you want to use.
  • Selbstsigniertes Stammzertifikat: Wenn Sie keine Unternehmenszertifikatlösung verwenden, müssen Sie ein selbstsigniertes Stammzertifikat generieren.Self-signed root certificate: If you aren't using an enterprise certificate solution, you need to create a self-signed root certificate. Führen Sie unbedingt die Schritte in einem der unten aufgeführten Artikel zu P2S-Zertifikaten aus.It's important that you follow the steps in one of the P2S certificate articles below. Andernfalls sind die erstellten Zertifikate nicht mit P2S-Verbindungen kompatibel, und auf Clients wird beim Verbindungsversuch ein Verbindungsfehler angezeigt.Otherwise, the certificates you create won't be compatible with P2S connections and clients receive a connection error when trying to connect. Sie können Azure PowerShell, MakeCert oder OpenSSL verwenden.You can use Azure PowerShell, MakeCert, or OpenSSL. Mit den Schritten in den bereitgestellten Artikeln wird ein kompatibles Zertifikat generiert:The steps in the provided articles generate a compatible certificate:

2. Generieren eines Clientzertifikats2. Generate a client certificate

Auf jedem Clientcomputer, der per Punkt-zu-Standort eine Verbindung mit einem VNet herstellt, muss ein Clientzertifikat installiert sein.Each client computer that connects to a VNet using Point-to-Site must have a client certificate installed. Das Clientzertifikat wird über das Stammzertifikat generiert und auf jedem Clientcomputer installiert.The client certificate is generated from the root certificate and installed on each client computer. Wenn kein gültiges Clientzertifikat installiert ist und der Client versucht, eine Verbindung mit dem VNet herzustellen, tritt bei der Authentifizierung ein Fehler auf.If a valid client certificate is not installed and the client tries to connect to the VNet, authentication fails.

Sie können entweder ein eindeutiges Zertifikat für jeden Client generieren, oder Sie können dasselbe Zertifikat für mehrere Clients verwenden.You can either generate a unique certificate for each client, or you can use the same certificate for multiple clients. Der Vorteil beim Generieren von eindeutigen Clientzertifikaten besteht darin, dass Sie ein einzelnes Zertifikat widerrufen können.The advantage to generating unique client certificates is the ability to revoke a single certificate. Falls mehrere Clients das gleiche Clientzertifikat verwenden und Sie dieses Zertifikat widerrufen müssen, müssen Sie für alle Clients, die das Zertifikat zur Authentifizierung verwenden, neue Zertifikate generieren und installieren.Otherwise, if multiple clients are using the same client certificate and you need to revoke it, you have to generate and install new certificates for all the clients that use that certificate to authenticate.

Sie können mithilfe der folgenden Methoden Clientzertifikate generieren:You can generate client certificates using the following methods:

  • Unternehmenszertifikat:Enterprise certificate:

    • Generieren Sie bei Verwendung einer Unternehmenszertifikatlösung ein Clientzertifikat mit dem gängigen Name-Wert-Format „name@yourdomain.com“ (anstatt des Formats „Domänenname\Benutzername“).If you are using an enterprise certificate solution, generate a client certificate with the common name value format 'name@yourdomain.com', rather than the 'domain name\username' format.
    • Stellen Sie sicher, dass das Clientzertifikat auf der Zertifikatvorlage „Benutzer“ basiert, die in der Nutzungsliste als ersten Eintrag „Clientauthentifizierung“ enthält (anstatt „Smartcard-Anmeldung“ usw.). Sie können das Zertifikat überprüfen, indem Sie auf das Clientzertifikat doppelklicken und Details > Erweiterte Schlüsselverwendung anzeigen.Make sure the client certificate is based on the 'User' certificate template that has 'Client Authentication' as the first item in the use list, rather than Smart Card Logon, etc. You can check the certificate by double-clicking the client certificate and viewing Details > Enhanced Key Usage.
  • Selbstsigniertes Stammzertifikat: Führen Sie unbedingt die Schritte in einem der unten aufgeführten Artikel zu P2S-Zertifikaten aus.Self-signed root certificate: It's important that you follow the steps in one of the P2S certificate articles below. Andernfalls sind die erstellten Clientzertifikate nicht mit P2S-Verbindungen kompatibel, und an Clients wird beim Herstellen einer Verbindung ein Fehler zurückgegeben.Otherwise, the client certificates you create won't be compatible with P2S connections and clients receive an error when trying to connect. Mit den Schritten in einem der folgenden Artikeln wird ein kompatibles Clientzertifikat generiert:The steps in either of the following articles generate a compatible client certificate:

    Wenn Sie gemäß der weiter oben angegebenen Anleitung ein Clientzertifikat auf der Grundlage eines selbstsignierten Stammzertifikats generieren, wird es automatisch auf dem Computer installiert, den Sie für die Generierung verwendet haben.When you generate a client certificate from a self-signed root certificate using the preceding instructions, it's automatically installed on the computer that you used to generate it. Falls Sie ein Clientzertifikat auf einem anderen Clientcomputer installieren möchten, müssen Sie es zusammen mit der gesamten Zertifikatkette als PFX-Datei exportieren.If you want to install a client certificate on another client computer, you need to export it as a .pfx, along with the entire certificate chain. Dadurch wird eine PFX-Datei mit Angaben zum Stammzertifikat erstellt, die der Client für eine erfolgreiche Authentifizierung benötigt.This creates a .pfx file that contains the root certificate information that is required for the client to successfully authenticate. Eine Anleitung zum Exportieren eines Zertifikats finden Sie unter Exportieren eines Clientzertifikats.For steps to export a certificate, see Certificates - export a client certificate.

6. Hinzufügen des Clientadresspools6. Add the client address pool

Der Clientadresspool ist ein Bereich privater IP-Adressen, die Sie angeben.The client address pool is a range of private IP addresses that you specify. Den Clients, die eine Verbindung über ein P2S-VPN herstellen, wird dynamisch eine IP-Adresse aus diesem Bereich zugewiesen.The clients that connect over a Point-to-Site VPN dynamically receive an IP address from this range. Verwenden Sie einen privaten IP-Adressbereich, der sich nicht mit dem lokalen Standort überschneidet, aus dem Sie Verbindungen herstellen möchten. Der Bereich darf sich auch nicht mit dem VNET überschneiden, mit dem Sie Verbindungen herstellen möchten.Use a private IP address range that does not overlap with the on-premises location that you connect from, or the VNet that you want to connect to.

  1. Navigieren Sie nach Erstellung des Gateways für virtuelle Netzwerke auf dem Blatt des Gateways für virtuelle Netzwerke zum Abschnitt Einstellungen.Once the virtual network gateway has been created, navigate to the Settings section of the virtual network gateway page. Klicken Sie im Abschnitt Einstellungen auf Point-to-Site-Konfiguration.In the Settings section, click Point-to-site configuration.

    Seite „Point-to-Site“

  2. Klicken Sie auf Jetzt konfigurieren, um die Konfigurationsseite zu öffnen.Click Configure now to open the configuration page.

    Jetzt konfigurieren

  3. Fügen Sie auf der Konfigurationsseite Punkt-zu-Standort im Feld Adresspool den privaten IP-Adressbereich hinzu, den Sie verwenden möchten.On the Point-to-site configuration page, in the Address pool box, add the private IP address range that you want to use. VPN-Clients wird aus dem von Ihnen angegebenen Bereich dynamisch eine IP-Adresse zugewiesen.VPN clients dynamically receive an IP address from the range that you specify. Klicken Sie auf Speichern, um die Einstellung zu überprüfen und zu speichern.Click Save to validate and save the setting.

    Clientadresspool

    Hinweis

    Wenn der Tunneltyp oder Authentifizierungstyp im Portal auf dieser Seite nicht angezeigt wird, verwendet Ihr Gateway die Basic-SKU.If you don't see Tunnel type or Authentication type in the portal on this page, your gateway is using the Basic SKU. Die Basic-SKU unterstützt keine IKEv2- oder RADIUS-Authentifizierung.The Basic SKU does not support IKEv2 or RADIUS authentication.

7. Konfigurieren des Tunneltyps7. Configure tunnel type

Sie können den Tunneltyp auswählen.You can select the tunnel type. Die zwei Tunneloptionen lauten SSTP und IKEv2.The two tunnel options are SSTP and IKEv2. Der strongSwan-Client unter Android und Linux und der native IKEv2-VPN-Client unter iOS und OSX verwenden nur den IKEv2-Tunnel für die Verbindungsherstellung.The strongSwan client on Android and Linux and the native IKEv2 VPN client on iOS and OSX will use only IKEv2 tunnel to connect. Windows-Clients probieren zunächst IKEv2. Wird keine Verbindung hergestellt, verwenden sie SSTP.Windows clients try IKEv2 first and if that doesn’t connect, they fall back to SSTP. Sie können entscheiden, ob Sie eine der beiden Optionen oder beide aktivieren.You can choose to enable one of them or both. Aktivieren Sie die Kontrollkästchen, die für Ihre Lösung erforderlich sind.Select the checkboxes that your solution requires.

Tunneltyp

8. Konfigurieren des Authentifizierungstyps8. Configure authentication type

Wählen Sie die Option Azure-Zertifikat.Select Azure certificate.

Tunneltyp

9. Hochladen der Daten des öffentlichen Zertifikats für das Stammzertifikat9. Upload the root certificate public certificate data

Sie können weitere vertrauenswürdige Stammzertifikate hochladen (bis zu 20 insgesamt).You can upload additional trusted root certificates up to a total of 20. Nach dem Hochladen der Daten des öffentlichen Zertifikats kann Azure sie verwenden, um Clients zu authentifizieren, auf denen ein aus dem vertrauenswürdigen Stammzertifikat generiertes Clientzertifikat installiert ist.Once the public certificate data is uploaded, Azure can use it to authenticate clients that have installed a client certificate generated from the trusted root certificate. Laden Sie die Informationen des öffentlichen Schlüssels für das Stammzertifikat in Azure hoch.Upload the public key information for the root certificate to Azure.

  1. Die Zertifikate werden auf der Seite Point-to-Site-Konfiguration im Abschnitt Stammzertifikat hinzugefügt.Certificates are added on the Point-to-site configuration page in the Root certificate section.
  2. Vergewissern Sie sich, dass Sie das Stammzertifikat als X.509-CER-Datei mit Base-64-Codierung exportiert haben.Make sure that you exported the root certificate as a Base-64 encoded X.509 (.cer) file. Das Zertifikat muss in diesem Format exportiert werden, damit Sie es mit einem Text-Editor öffnen können.You need to export the certificate in this format so you can open the certificate with text editor.
  3. Öffnen Sie das Zertifikat mit einem Text-Editor (beispielsweise mit dem Windows-Editor).Open the certificate with a text editor, such as Notepad. Stellen Sie beim Kopieren der Zertifikatsdaten sicher, dass Sie den Text als fortlaufende Zeile ohne Wagenrückläufe oder Zeilenvorschübe kopieren.When copying the certificate data, make sure that you copy the text as one continuous line without carriage returns or line feeds. Es kann erforderlich sein, Ihre Ansicht im Text-Editor so zu ändern, dass die Symbole bzw. alle Zeichen angezeigt werden, damit die Wagenrückläufe bzw. Zeilenvorschübe sichtbar sind.You may need to modify your view in the text editor to 'Show Symbol/Show all characters' to see the carriage returns and line feeds. Kopieren Sie nur den folgenden Abschnitt als fortlaufende Zeile:Copy only the following section as one continuous line:

    Zertifikatdaten

  4. Fügen Sie die Zertifikatdaten im Feld Daten des öffentlichen Zertifikats ein.Paste the certificate data into the Public Certificate Data field. Geben Sie dem Zertifikat einen Namen, und klicken Sie dann auf Speichern.Name the certificate, and then click Save. Sie können bis zu 20 vertrauenswürdige Stammzertifikate hinzufügen.You can add up to 20 trusted root certificates.

    Zertifikatupload

  5. Klicken Sie oben auf der Seite auf Speichern, um alle Konfigurationseinstellungen zu speichern.Click Save at the top of the page to save all of the configuration settings.

    Speichern

10. Installieren eines exportierten Clientzertifikats10. Install an exported client certificate

Wenn Sie eine P2S-Verbindung mit einem anderen Clientcomputer als dem für die Generierung der Clientzertifikate verwendeten Computer herstellen möchten, müssen Sie ein Clientzertifikat installieren.If you want to create a P2S connection from a client computer other than the one you used to generate the client certificates, you need to install a client certificate. Beim Installieren eines Clientzertifikats benötigen Sie das Kennwort, das beim Exportieren des Clientzertifikats erstellt wurde.When installing a client certificate, you need the password that was created when the client certificate was exported.

Stellen Sie sicher, dass das Clientzertifikat zusammen mit der gesamten Zertifikatkette als PFX-Datei exportiert wurden (Standardeinstellung).Make sure the client certificate was exported as a .pfx along with the entire certificate chain (which is the default). Andernfalls sind die Stammzertifikatinformationen nicht auf dem Clientcomputer vorhanden, und der Client kann nicht ordnungsgemäß authentifiziert werden.Otherwise, the root certificate information isn't present on the client computer and the client won't be able to authenticate properly.

Die Installationsschritte finden Sie unter Installieren eines Clientzertifikats für Point-to-Site-Verbindungen mit Azure-Zertifikatauthentifizierung.For install steps, see Install a client certificate.

11. Generieren und Installieren des Konfigurationspakets für VPN-Clients11. Generate and install the VPN client configuration package

Die VPN-Clientkonfigurationsdateien enthalten Einstellungen zum Konfigurieren von Geräten, die eine P2S-Verbindung mit einem VNET herstellen.The VPN client configuration files contain settings to configure devices to connect to a VNet over a P2S connection. Anweisungen zum Erstellen und Installieren von VPN-Clientkonfigurationsdateien finden Sie unter Erstellen und Installieren von VPN-Clientkonfigurationsdateien für P2S-Konfigurationen mit nativer Azure-Zertifikatauthentifizierung.For instructions to generate and install VPN client configuration files, see Create and install VPN client configuration files for native Azure certificate authentication P2S configurations.

12. Herstellen einer Verbindung mit Azure12. Connect to Azure

So stellen Sie eine Verbindung von einem Windows-VPN-Client herTo connect from a Windows VPN client

Hinweis

Auf dem Windows-Clientcomputer, von dem aus Sie die Verbindung herstellen, müssen Sie über Administratorrechte verfügen.You must have Administrator rights on the Windows client computer from which you are connecting.

  1. Um eine Verbindung mit Ihrem VNet herzustellen, navigieren Sie auf dem Clientcomputer zu „VPN-Verbindungen“ und suchen nach der VPN-Verbindung, die Sie erstellt haben.To connect to your VNet, on the client computer, navigate to VPN connections and locate the VPN connection that you created. Sie hat den gleichen Namen wie das virtuelle Netzwerk.It is named the same name as your virtual network. Klicken Sie auf Verbinden.Click Connect. Möglicherweise wird eine Popupmeldung angezeigt, die sich auf die Verwendung des Zertifikats bezieht.A pop-up message may appear that refers to using the certificate. Klicken Sie auf Weiter, um erhöhte Rechte zu verwenden.Click Continue to use elevated privileges.

  2. Klicken Sie auf der Statusseite Verbindung auf Verbinden, um die Verbindung herzustellen.On the Connection status page, click Connect to start the connection. Wenn der Bildschirm Zertifikat auswählen angezeigt wird, vergewissern Sie sich, dass das angezeigte Clientzertifikat dem Zertifikat entspricht, die Sie zum Herstellen der Verbindung verwenden möchten.If you see a Select Certificate screen, verify that the client certificate showing is the one that you want to use to connect. Wenn dies nicht der Fall ist, verwenden Sie den Dropdownpfeil, um das richtige Zertifikat auszuwählen, und klicken Sie dann auf OK.If it is not, use the drop-down arrow to select the correct certificate, and then click OK.

    Verbindungsherstellung zwischen VPN-Client und Azure

  3. Die Verbindung wurde hergestellt.Your connection is established.

    Verbindung hergestellt

Problembehandlung für Windows-P2S-VerbindungenTroubleshoot Windows P2S connections

Überprüfen Sie die folgenden Punkte, falls bei der Verbindungsherstellung Probleme auftreten:If you are having trouble connecting, check the following items:

  • Falls Sie ein Clientzertifikat exportiert haben, vergewissern Sie sich, dass Sie es als PFX-Datei mit dem Standardwert „Wenn möglich, alle Zertifikate im Zertifizierungspfad einbeziehen“ exportiert haben.If you exported a client certificate, make sure that you exported it as a .pfx file using the default value 'Include all certificates in the certification path if possible'. Bei Verwendung dieses Werts werden auch die Stammzertifikatinformationen exportiert.When you export it using this value, the root certificate information is also exported. Wenn das Zertifikat auf dem Clientcomputer installiert wird, wird auch das in der PFX-Datei enthaltene Stammzertifikat auf dem Clientcomputer installiert.When the certificate is installed on the client computer, the root certificate which is contained in the .pfx file is then also installed on the client computer. Die Stammzertifikatinformationen müssen auf dem Clientcomputer installiert sein.The client computer must have the root certificate information installed. Öffnen Sie zur Prüfung Benutzerzertifikate verwalten, und navigieren Sie zu Vertrauenswürdige Stammzertifizierungsstellen\Zertifikate.To check, go to Manage user certificates and navigate to Trusted Root Certification Authorities\Certificates. Vergewissern Sie sich, dass das Stammzertifikat aufgeführt ist.Verify that the root certificate is listed. Das Stammzertifikat muss vorhanden sein, damit die Authentifizierung funktioniert.The root certificate must be present in order for authentication to work.

  • Wenn Sie bei Verwendung eines Zertifikats, das mit einer Lösung einer Unternehmenszertifizierungsstelle ausgestellt wurde, Probleme mit der Authentifizierung haben, ist es ratsam, die Authentifizierungsreihenfolge des Clientzertifikats zu überprüfen.If you are using a certificate that was issued using an Enterprise CA solution and are having trouble authenticating, check the authentication order on the client certificate. Sie können die Reihenfolge der Authentifizierungsliste überprüfen, indem Sie auf das Clientzertifikat doppelklicken und zu Details > Erweiterte Schlüsselverwendung navigieren.You can check the authentication list order by double-clicking the client certificate, and going to Details > Enhanced Key Usage. Achten Sie darauf, dass in der Liste „Client Authentication“ als erster Eintrag aufgeführt ist.Make sure the list shows 'Client Authentication' as the first item. Wenn nicht, müssen Sie ein Clientzertifikat basierend auf der User-Vorlage ausstellen, die als ersten Eintrag in der Liste „Client Authentication“ enthält.If not, you need to issue a client certificate based on the User template that has Client Authentication as the first item in the list.

  • Zusätzliche Informationen zur Problembehandlung für P2S finden Sie unter Problembehandlung: Azure Punkt-zu-Standort-Verbindungsprobleme.For additional P2S troubleshooting information, see Troubleshoot P2S connections.

So stellen Sie eine Verbindung von einem Mac-VPN-Client herTo connect from a Mac VPN client

Suchen Sie im Dialogfeld „Netzwerk“ nach dem gewünschten Clientprofil, geben Sie die Einstellungen aus der Datei VpnSettings.xml an, und klicken Sie dann auf Verbinden.From the Network dialog box, locate the client profile that you want to use, specify the settings from the VpnSettings.xml, and then click Connect.

Ausführliche Anweisungen finden Sie unter Installieren – Mac (OS X).Please check Install - Mac (OS X) for detailed instrcutions.

Mac-Verbindung

So überprüfen Sie Ihre VerbindungTo verify your connection

Diese Anweisungen gelten für Windows-Clients.These instructions apply to Windows clients.

  1. Um sicherzustellen, dass die VPN-Verbindung aktiv ist, öffnen Sie eine Eingabeaufforderung mit Administratorrechten, und führen Sie Ipconfig/allaus.To verify that your VPN connection is active, open an elevated command prompt, and run ipconfig/all.
  2. Zeigen Sie die Ergebnisse an.View the results. Beachten Sie, dass die erhaltene IP-Adresse eine der Adressen aus dem Clientadresspool des Punkt-zu-Standort-VPN ist, den Sie in Ihrer Konfiguration angegeben haben.Notice that the IP address you received is one of the addresses within the Point-to-Site VPN Client Address Pool that you specified in your configuration. Die Ergebnisse sehen in etwa wie in diesem Beispiel aus:The results are similar to this example:

    PPP adapter VNet1:
       Connection-specific DNS Suffix .:
       Description.....................: VNet1
       Physical Address................:
       DHCP Enabled....................: No
       Autoconfiguration Enabled.......: Yes
       IPv4 Address....................: 172.16.201.3(Preferred)
       Subnet Mask.....................: 255.255.255.255
       Default Gateway.................:
       NetBIOS over Tcpip..............: Enabled
    

Herstellen einer Verbindung mit einem virtuellen ComputerTo connect to a virtual machine

Diese Anweisungen gelten für Windows-Clients.These instructions apply to Windows clients.

Sie können eine Verbindung mit einer VM herstellen, die in Ihrem VNet bereitgestellt wird, indem Sie eine Remotedesktopverbindung mit Ihrer VM herstellen.You can connect to a VM that is deployed to your VNet by creating a Remote Desktop Connection to your VM. Die beste Möglichkeit zur anfänglichen Sicherstellung, dass eine Verbindung mit Ihrer VM hergestellt werden kann, ist die Verwendung der privaten IP-Adresse anstelle des Computernamens.The best way to initially verify that you can connect to your VM is to connect by using its private IP address, rather than computer name. Auf diese Weise können Sie testen, ob die Verbindungsherstellung möglich ist, anstatt zu überprüfen, ob die Namensauflösung richtig konfiguriert ist.That way, you are testing to see if you can connect, not whether name resolution is configured properly.

  1. Ermitteln Sie die private IP-Adresse.Locate the private IP address. Sie können die private IP-Adresse einer VM ermitteln, indem Sie sich entweder die Eigenschaften für die VM im Azure-Portal ansehen oder PowerShell verwenden.You can find the private IP address of a VM by either looking at the properties for the VM in the Azure portal, or by using PowerShell.

    • Azure-Portal: Suchen Sie im Azure-Portal nach Ihrem virtuellen Computer.Azure portal - Locate your virtual machine in the Azure portal. Zeigen Sie die Eigenschaften für die VM an.View the properties for the VM. Die private IP-Adresse ist aufgeführt.The private IP address is listed.

    • PowerShell: Verwenden Sie das Beispiel, um eine Liste mit VMs und privaten IP-Adressen aus Ihren Ressourcengruppen anzuzeigen.PowerShell - Use the example to view a list of VMs and private IP addresses from your resource groups. Es ist nicht erforderlich, dieses Beispiel vor der Verwendung zu ändern.You don't need to modify this example before using it.

      $VMs = Get-AzureRmVM
      $Nics = Get-AzureRmNetworkInterface | Where VirtualMachine -ne $null
      
      foreach($Nic in $Nics)
      {
       $VM = $VMs | Where-Object -Property Id -eq $Nic.VirtualMachine.Id
       $Prv = $Nic.IpConfigurations | Select-Object -ExpandProperty PrivateIpAddress
       $Alloc = $Nic.IpConfigurations | Select-Object -ExpandProperty PrivateIpAllocationMethod
       Write-Output "$($VM.Name): $Prv,$Alloc"
      }
      
  2. Vergewissern Sie sich, dass eine Point-to-Site-VPN-Verbindung mit Ihrem VNet besteht.Verify that you are connected to your VNet using the Point-to-Site VPN connection.

  3. Öffnen Sie eine Remotedesktopverbindung, indem Sie auf der Taskleiste im Suchfeld „RDP“ oder „Remotedesktopverbindung“ eingeben und dann „Remotedesktopverbindung“ wählen.Open Remote Desktop Connection by typing "RDP" or "Remote Desktop Connection" in the search box on the taskbar, then select Remote Desktop Connection. Sie können auch den Befehl „mstsc“ in PowerShell verwenden, um eine Remotedesktopverbindung zu öffnen.You can also open Remote Desktop Connection using the 'mstsc' command in PowerShell.
  4. Geben Sie in der Remotedesktopverbindung die private IP-Adresse der VM ein.In Remote Desktop Connection, enter the private IP address of the VM. Sie können auf „Optionen anzeigen“ klicken, um weitere Einstellungen anzupassen, und dann die Verbindung herstellen.You can click "Show Options" to adjust additional settings, then connect.

So führen Sie die Problembehandlung für die RDP-Verbindung mit einer VM durchTo troubleshoot an RDP connection to a VM

Falls Sie beim Herstellen einer Verbindung mit einem virtuellen Computer per VPN-Verbindung Probleme haben sollten, überprüfen Sie Folgendes:If you are having trouble connecting to a virtual machine over your VPN connection, check the following:

  • Stellen Sie sicher, dass die Herstellung der VPN-Verbindung erfolgreich war.Verify that your VPN connection is successful.
  • Stellen Sie sicher, dass Sie die Verbindung mit der privaten IP-Adresse für die VM herstellen.Verify that you are connecting to the private IP address for the VM.
  • Überprüfen Sie mit „ipconfig“ die IPv4-Adresse, die dem Ethernet-Adapter auf dem Computer zugewiesen ist, von dem aus Sie die Verbindung herstellen.Use 'ipconfig' to check the IPv4 address assigned to the Ethernet adapter on the computer from which you are connecting. Wenn sich die IP-Adresse im Adressbereich des VNETs befindet, mit dem Sie die Verbindung herstellen, oder im Adressbereich von „VPNClientAddressPool“ liegt, wird dies als sich überschneidender Adressraum bezeichnet.If the IP address is within the address range of the VNet that you are connecting to, or within the address range of your VPNClientAddressPool, this is referred to as an overlapping address space. Falls sich Ihr Adressraum auf diese Weise überschneidet, kommt der Netzwerkdatenverkehr nicht bei Azure an, sondern verbleibt im lokalen Netzwerk.When your address space overlaps in this way, the network traffic doesn't reach Azure, it stays on the local network.
  • Falls Sie mit der privaten IP-Adresse eine Verbindung mit der VM herstellen können, aber nicht mit dem Computernamen, sollten Sie sich vergewissern, dass das DNS richtig konfiguriert ist.If you can connect to the VM using the private IP address, but not the computer name, verify that you have configured DNS properly. Weitere Informationen zur Funktionsweise der Namensauflösung für virtuelle Computer finden Sie unter Namensauflösung für virtuelle Computer.For more information about how name resolution works for VMs, see Name Resolution for VMs.
  • Stellen Sie sicher, dass das VPN-Clientkonfigurationspaket generiert wurde, nachdem die IP-Adressen des DNS-Server für das VNET angegeben wurden.Verify that the VPN client configuration package was generated after the DNS server IP addresses were specified for the VNet. Wenn Sie die IP-Adressen des DNS-Servers aktualisiert haben, generieren Sie ein neues VPN-Clientkonfigurationspaket und installieren es.If you updated the DNS server IP addresses, generate and install a new VPN client configuration package.
  • Weitere Informationen zu RDP-Verbindungen finden Sie unter Behandeln von Problemen bei Remotedesktopverbindungen mit einem virtuellen Azure-Computer.For more information about RDP connections, see Troubleshoot Remote Desktop connections to a VM.

So können Sie vertrauenswürdige Stammzertifikate hinzufügen oder entfernenTo add or remove trusted root certificates

Sie können vertrauenswürdige Stammzertifikate hinzufügen und aus Azure entfernen.You can add and remove trusted root certificates from Azure. Wenn Sie ein Stammzertifikat entfernen, können Clients, für die über diesen Stamm ein Zertifikat generiert wurde, nicht authentifiziert werden und somit auch keine Verbindung herstellen.When you remove a root certificate, clients that have a certificate generated from that root won't be able to authenticate, and thus will not be able to connect. Wenn Sie für einen Client die Authentifizierung und Verbindungsherstellung durchführen möchten, müssen Sie ein neues Clientzertifikat installieren, das aus einem für Azure vertrauenswürdigen (hochgeladenen) Stammzertifikat generiert wurde.If you want a client to authenticate and connect, you need to install a new client certificate generated from a root certificate that is trusted (uploaded) to Azure.

So fügen Sie ein vertrauenswürdiges Stammzertifikat hinzuTo add a trusted root certificate

Sie können Azure bis zu 20 vertrauenswürdige CER-Stammzertifikatdateien hinzufügen.You can add up to 20 trusted root certificate .cer files to Azure. Eine entsprechende Anleitung finden Sie in diesem Artikel im Abschnitt zum Hochladen eines vertrauenswürdigen Stammzertifikats.For instructions, see the section Upload a trusted root certificate in this article.

Entfernen eines vertrauenswürdigen StammzertifikatsTo remove a trusted root certificate

  1. Navigieren Sie zum Entfernen eines vertrauenswürdigen Zertifikats zur Seite Punkt-zu-Standort-Konfiguration für Ihr Gateway für virtuelle Netzwerke.To remove a trusted root certificate, navigate to the Point-to-site configuration page for your virtual network gateway.
  2. Suchen Sie auf der Seite im Abschnitt Stammzertifikat nach dem Zertifikat, das Sie entfernen möchten.In the Root certificate section of the page, locate the certificate that you want to remove.
  3. Klicken Sie neben dem Zertifikat auf die Auslassungspunkte und anschließend auf „Entfernen“.Click the ellipsis next to the certificate, and then click 'Remove'.

So sperren Sie ein ClientzertifikatTo revoke a client certificate

Sie können Clientzertifikate sperren.You can revoke client certificates. Anhand der Zertifikatsperrliste können Sie basierend auf einzelnen Clientzertifikaten selektiv Punkt-zu-Standort-Verbindungen verweigern.The certificate revocation list allows you to selectively deny Point-to-Site connectivity based on individual client certificates. Das ist nicht dasselbe wie das Entfernen eines vertrauenswürdigen Stammzertifikats.This is different than removing a trusted root certificate. Wenn Sie ein vertrauenswürdiges Stammzertifikat (CER-Datei) aus Azure entfernen, wird der Zugriff für alle Clientzertifikate gesperrt, die mit dem gesperrten Stammzertifikat generiert oder signiert wurden.If you remove a trusted root certificate .cer from Azure, it revokes the access for all client certificates generated/signed by the revoked root certificate. Wenn Sie anstelle des Stammzertifikats ein Clientzertifikat sperren, können die anderen Zertifikate, die auf der Grundlage des Stammzertifikats generiert wurden, weiterhin für die Authentifizierung verwendet werden.Revoking a client certificate, rather than the root certificate, allows the other certificates that were generated from the root certificate to continue to be used for authentication.

Üblicherweise wird das Stammzertifikat zum Verwalten des Zugriffs auf Team- oder Organisationsebene verwendet. Eine genauer abgestufte Steuerung des Zugriffs für einzelne Benutzer erfolgt hingegen mit gesperrten Clientzertifikaten.The common practice is to use the root certificate to manage access at team or organization levels, while using revoked client certificates for fine-grained access control on individual users.

Sperren eines ClientzertifikatsRevoke a client certificate

Sie können ein Clientzertifikat sperren, indem Sie den Fingerabdruck der Sperrliste hinzufügen.You can revoke a client certificate by adding the thumbprint to the revocation list.

  1. Rufen Sie den Fingerabdruck des Clientzertifikats ab.Retrieve the client certificate thumbprint. Weitere Informationen finden Sie unter Vorgehensweise: Abrufen des Fingerabdrucks eines Zertifikats.For more information, see How to retrieve the Thumbprint of a Certificate.
  2. Kopieren Sie ihn in einen Text-Editor, und entfernen Sie alle Leerzeichen, sodass eine fortlaufende Zeichenfolge entsteht.Copy the information to a text editor and remove all spaces so that it is a continuous string.
  3. Navigieren Sie zur Seite Punkt-zu-Standort-Konfiguration des Gateways für virtuelle Netzwerke.Navigate to the virtual network gateway Point-to-site-configuration page. Dies ist die Seite, die Sie zum Hochladen eines vertrauenswürdigen Stammzertifikats verwendet haben.This is the same page that you used to upload a trusted root certificate.
  4. Geben Sie im Abschnitt Gesperrte Zertifikate einen Anzeigenamen für das Zertifikat ein. (Dabei muss es sich nicht um den allgemeinen Namen des Zertifikats handeln.)In the Revoked certificates section, input a friendly name for the certificate (it doesn't have to be the certificate CN).
  5. Kopieren Sie die Fingerabdruck-Zeichenfolge, und fügen Sie sie in das Feld Fingerabdruck ein.Copy and paste the thumbprint string to the Thumbprint field.
  6. Der Fingerabdruck wird überprüft und automatisch der Sperrliste hinzugefügt.The thumbprint validates and is automatically added to the revocation list. Auf dem Bildschirm wird eine Meldung mit dem Hinweis angezeigt, dass die Liste aktualisiert wird.A message appears on the screen that the list is updating.
  7. Nach Abschluss der Aktualisierung kann das Zertifikat nicht mehr für die Verbindungsherstellung verwendet werden.After updating has completed, the certificate can no longer be used to connect. Clients, die versuchen, unter Verwendung dieses Zertifikats eine Verbindung herzustellen, erhalten eine Meldung mit dem Hinweis, dass das Zertifikat nicht mehr gültig ist.Clients that try to connect using this certificate receive a message saying that the certificate is no longer valid.

Point-to-Site – Häufig gestellte FragenPoint-to-Site FAQ

Wie viele VPN-Clientendpunkte kann meine Punkt-zu-Standort-Konfiguration umfassen?How many VPN client endpoints can I have in my Point-to-Site configuration?

Wir unterstützen bis zu 128 gleichzeitige VPN-Clientverbindungen mit einem virtuellen Netzwerk.We support up to 128 VPN clients to be able to connect to a virtual network at the same time.

Welche Clientbetriebssysteme kann ich bei Point-to-Site-Verbindungen verwenden?What client operating systems can I use with Point-to-Site?

Folgende Clientbetriebssysteme werden unterstützt:The following client operating systems are supported:

  • Windows 7 (32 Bit und 64 Bit)Windows 7 (32-bit and 64-bit)
  • Windows Server 2008 R2 (nur 64 Bit)Windows Server 2008 R2 (64-bit only)
  • Windows 8.1 (32 Bit und 64 Bit)Windows 8.1 (32-bit and 64-bit)
  • Windows Server 2012 (nur 64 Bit)Windows Server 2012 (64-bit only)
  • Windows Server 2012 R2 (nur 64 Bit)Windows Server 2012 R2 (64-bit only)
  • Windows Server 2016 (nur 64 Bit)Windows Server 2016 (64-bit only)
  • Windows 10Windows 10
  • Mac OS X-Version 10.11 oder höherMac OS X version 10.11 or above
  • Linux (StrongSwan)Linux (StrongSwan)
  • iOSiOS

Hinweis

Ab dem 1. Juli 2018 wird die Unterstützung für TLS 1.0 und 1.1 vom Azure-VPN-Gateway entfernt.Starting July 1, 2018, support is being removed for TLS 1.0 and 1.1 from Azure VPN Gateway. Das VPN-Gateway unterstützt dann nur noch TLS 1.2.VPN Gateway will support only TLS 1.2. Informationen zum Beibehalten der Unterstützung finden Sie unter Updates zum Ermöglichen der Unterstützung von TLS 1.2.To maintain support, see the updates to enable support for TLS1.2.

Die folgenden älteren Algorithmen werden ebenfalls am 1. Juli 2018 für TLS als veraltet markiert:Additionally, the following legacy algorithms will also be deprecated for TLS on July 1, 2018:

  • RC4 (Rivest Cipher 4)RC4 (Rivest Cipher 4)
  • DES (Data Encryption Algorithm)DES (Data Encryption Algorithm)
  • 3DES (Triple Data Encryption Algorithm)3DES (Triple Data Encryption Algorithm)
  • MD5 (Message Digest 5)MD5 (Message Digest 5)

Wie aktiviere ich Unterstützung für TLS 1.2 unter Windows 7 und Windows 8.1?How do I enable support for TLS 1.2 in Windows 7 and Windows 8.1?

  1. Öffnen Sie eine Eingabeaufforderung mit erhöhten Rechten, indem Sie mit der rechten Maustaste auf Eingabeaufforderung klicken und die Option Als Administrator ausführen wählen.Open a command prompt with elevated privileges by right-clicking on Command Prompt and selecting Run as administrator.
  2. Führen Sie an der Eingabeaufforderung die folgenden Befehle aus:Run the following commands in the command prompt:

    reg add HKLM\SYSTEM\CurrentControlSet\Services\RasMan\PPP\EAP\13 /v TlsVersion /t REG_DWORD /d 0xfc0
    reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp" /v DefaultSecureProtocols /t REG_DWORD /d 0xaa0
    if %PROCESSOR_ARCHITECTURE% EQU AMD64 reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp" /v DefaultSecureProtocols /t REG_DWORD /d 0xaa0
    
  3. Installieren Sie die folgenden Updates:Install the following updates:

  4. Starten Sie den Computer neu.Reboot the computer.

  5. Stellen Sie eine VPN-Verbindung her.Connect to the VPN.

Können Proxys und Firewalls mit der Punkt-zu-Standort-Funktion durchlaufen werden?Can I traverse proxies and firewalls using Point-to-Site capability?

Azure unterstützt zwei Arten von P2S-VPN-Optionen:Azure supports two types of Point-to-site VPN options:

  • Secure Sockets Tunneling Protocol (SSTP).Secure Socket Tunneling Protocol (SSTP). SSTP ist eine Microsoft-eigene SSL-basierte Lösung, die Firewalls durchdringen kann, da die meisten Firewalls den von SSL verwendeten TCP-Port 443 öffnen.SSTP is a Microsoft proprietary SSL-based solution that can penetrate firewalls since most firewalls open the TCP port that 443 SSL uses.

  • IKEv2-VPN.IKEv2 VPN. IKEv2-VPN ist eine standardbasierte IPsec-VPN-Lösung, die UDP-Port 500 und 4500 und IP-ProtokollnummerIKEv2 VPN is a standards-based IPsec VPN solution that uses UDP port 500 and 4500 and IP protocol no. 50 verwendet.50. Firewalls öffnen nicht immer diese Ports, daher kann IKEv2-VPN unter Umständen Proxys und Firewalls nicht überwinden.Firewalls do not always open these ports, so there is a possibility of IKEv2 VPN not being able to traverse proxies and firewalls.

Wird die VPN-Verbindung eines für „Punkt zu Standort“ konfigurierten Clientcomputers nach einem Neustart automatisch wiederhergestellt?If I restart a client computer configured for Point-to-Site, will the VPN automatically reconnect?

Standardmäßig wird die VPN-Verbindung des Clientcomputers nicht automatisch wiederhergestellt.By default, the client computer will not reestablish the VPN connection automatically.

Werden automatische Verbindungswiederherstellung und DDNS bei Punkt-zu-Standort-Verbindungen auf den VPN-Clients unterstützt?Does Point-to-Site support auto-reconnect and DDNS on the VPN clients?

Automatische Verbindungswiederherstellung und DDNS werden in Punkt-zu-Standort-VPNs derzeit nicht unterstützt.Auto-reconnect and DDNS are currently not supported in Point-to-Site VPNs.

Kann ich im gleichen virtuellen Netzwerk sowohl Standort-zu-Standort- als auch Punkt-zu-Standort-Konfigurationen verwenden?Can I have Site-to-Site and Point-to-Site configurations coexist for the same virtual network?

Ja.Yes. Beim Resource Manager-Bereitstellungsmodell müssen Sie als VPN-Typ für Ihr Gateway „RouteBased“ festlegen.For the Resource Manager deployment model, you must have a RouteBased VPN type for your gateway. Für das klassische Bereitstellungsmodell benötigen Sie ein dynamisches Gateway.For the classic deployment model, you need a dynamic gateway. Point-to-Site-Konfigurationen werden für VPN-Gateways mit statischem Routing oder für richtlinienbasierte Gateways nicht unterstützt.We do not support Point-to-Site for static routing VPN gateways or PolicyBased VPN gateways.

Kann ich einen Punkt-zu-Standort-Client so konfigurieren, dass er gleichzeitig eine Verbindung mit mehreren virtuellen Netzwerken herstellt?Can I configure a Point-to-Site client to connect to multiple virtual networks at the same time?

Nein.No. Ein Point-to-Site-Client kann nur eine Verbindung mit Ressourcen im VNET herstellen, in dem sich das Gateway für virtuelle Netzwerke befindet.A Point-to-Site client can only connect to resources in the VNet in which the virtual network gateway resides.

Wie viel Durchsatz kann ich bei einer Standort-zu-Standort- oder bei einer Punkt-zu-Standort-Verbindung erwarten?How much throughput can I expect through Site-to-Site or Point-to-Site connections?

Der genaue Durchsatz der VPN-Tunnel lässt sich nur schwer ermitteln.It's difficult to maintain the exact throughput of the VPN tunnels. IPsec und SSTP sind VPN-Protokolle mit hohem Kryptografieaufwand.IPsec and SSTP are crypto-heavy VPN protocols. Außerdem wird der Durchsatz durch die Latenz und die Bandbreite zwischen Ihrem Standort und dem Internet eingeschränkt.Throughput is also limited by the latency and bandwidth between your premises and the Internet. Bei einem VPN-Gateway nur mit IKEv2-P2S-VPN-Verbindungen hängt der erwartete Gesamtdurchsatz von der Gateway-SKU ab.For a VPN Gateway with only IKEv2 Point-to-Site VPN connections, the total throughput that you can expect depends on the Gateway SKU. Weitere Informationen zum Durchsatz finden Sie unter Gateway-SKUs.For more information on throughput, see Gateway SKUs.

Kann ich für Point-to-Site-Verbindungen einen beliebigen VPN-Softwareclient mit SSTP- und/oder IKEv2-Unterstützung verwenden?Can I use any software VPN client for Point-to-Site that supports SSTP and/or IKEv2?

Nein.No. Sie können nur den nativen VPN-Client unter Windows für SSTP und den nativen VPN-Client unter Mac für IKEv2 verwenden.You can only use the native VPN client on Windows for SSTP, and the native VPN client on Mac for IKEv2. Informationen finden Sie in der Liste der unterstützten Clientbetriebssysteme.Refer to the list of supported client operating systems.

Unterstützt Azure IKEv2-VPN unter Windows?Does Azure support IKEv2 VPN with Windows?

IKEv2 wird unter Windows 10 und Server 2016 unterstützt.IKEv2 is supported on Windows 10 and Server 2016. Zur Verwendung von IKEv2 müssen Sie jedoch Updates installieren und lokal einen Registrierungsschlüsselwert festlegen.However, in order to use IKEv2, you must install updates and set a registry key value locally. Betriebssystemversionen vor Windows 10 werden nicht unterstützt und können nur SSTP verwenden.OS versions prior to Windows 10 are not supported and can only use SSTP.

Vorbereitung von Windows 10 oder Server 2016 für IKEv2:To prepare Windows 10 or Server 2016 for IKEv2:

  1. Installieren Sie das Update.Install the update.

    BetriebssystemversionOS version DatumDate Anzahl/LinkNumber/Link
    Windows Server 2016Windows Server 2016
    Windows 10, Version 1607Windows 10 Version 1607
    17. Januar 2018January 17, 2018 KB4057142KB4057142
    Windows 10, Version 1703Windows 10 Version 1703 17. Januar 2018January 17, 2018 KB4057144KB4057144
  2. Legen Sie den Registrierungsschlüsselwert fest.Set the registry key value. Erstellen Sie den REG_DWORD-Schlüssel „HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\ IKEv2\DisableCertReqPayload“, oder legen Sie ihn in der Registrierung auf 1 fest.Create or set “HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\ IKEv2\DisableCertReqPayload” REG_DWORD key in the registry to 1.

Was geschieht, wenn ich sowohl SSTP als auch IKEv2 für P2S-VPN-Verbindungen konfiguriere?What happens when I configure both SSTP and IKEv2 for P2S VPN connections?

Wenn Sie sowohl SSTP als auch IKEv2 in einer gemischten Umgebung (bestehend aus Windows- und Mac-Geräten) konfigurieren, versucht der Windows-VPN-Client immer zuerst den IKEv2-Tunnel, weicht jedoch auf SSTP aus, wenn die IKEv2-Verbindung nicht erfolgreich ist.When you configure both SSTP and IKEv2 in a mixed environment (consisting of Windows and Mac devices), the Windows VPN client will always try IKEv2 tunnel first, but will fall back to SSTP if the IKEv2 connection is not successful. MacOSX stellt nur eine Verbindung über IKEv2 her.MacOSX will only connect via IKEv2.

Welche anderen Plattformen, außer Windows und Mac, werden von Azure für P2S-VPN unterstützt?Other than Windows and Mac, which other platforms does Azure support for P2S VPN?

Azure unterstützt Windows, Mac und Linux für P2S-VPN.Azure supports Windows, Mac and Linux for P2S VPN.

Ich verfüge bereits über ein bereitgestelltes Azure-VPN-Gateway.I already have an Azure VPN Gateway deployed. Kann ich RADIUS und/oder IKEv2-VPN darauf aktivieren?Can I enable RADIUS and/or IKEv2 VPN on it?

Ja. Sie können diese neuen Features aus bereits bereitgestellten Gateways per PowerShell oder über das Azure-Portal aktivieren, sofern die verwendete Gateway-SKU RADIUS bzw. IKEv2 unterstützt.Yes, you can enable these new features on already deployed gateways using Powershell or the Azure portal, provided that the gateway SKU that you are using supports RADIUS and/or IKEv2. Die Basic-SKU des VPN-Gateways weist beispielsweise keine Unterstützung von RADIUS oder IKEv2 auf.For example, the VPN gateway Basic SKU does not support RADIUS or IKEv2.

Kann ich für Punkt-zu-Standort-Verbindungen meine eigene interne PKI-Stammzertifizierungsstelle verwenden?Can I use my own internal PKI root CA for Point-to-Site connectivity?

Ja.Yes. Bisher konnten nur selbstsignierte Stammzertifikate verwendet werden.Previously, only self-signed root certificates could be used. Sie können weiterhin 20 Stammzertifikate hochladen.You can still upload 20 root certificates.

Mit welchen Tools kann ich Zertifikate erstellen?What tools can I use to create certificates?

Sie können Ihre Unternehmens-PKI-Lösung (interne PKI), Azure PowerShell, MakeCert und OpenSSL verwenden.You can use your Enterprise PKI solution (your internal PKI), Azure PowerShell, MakeCert, and OpenSSL.

Gibt es Anleitungen für Zertifikateinstellungen und -parameter?Are there instructions for certificate settings and parameters?

  • Interne PKI/Unternehmens-PKI-Lösung: Sehen Sie sich die Schritte zum Generieren von Zertifikaten an.Internal PKI/Enterprise PKI solution: See the steps to Generate certificates.

  • Azure PowerShell: Entsprechende Schritte finden Sie im Artikel zu Azure PowerShell.Azure PowerShell: See the Azure PowerShell article for steps.

  • MakeCert: Die erforderlichen Schritte finden Sie im Artikel zu MakeCert.MakeCert: See the MakeCert article for steps.

  • OpenSSL:OpenSSL:

    • Stellen Sie beim Exportieren von Zertifikaten sicher, dass das Stammzertifikat in Base64 konvertiert wird.When exporting certificates, be sure to convert the root certificate to Base64.

    • Clientzertifikat:For the client certificate:

      • Geben Sie beim Erstellen des privaten Schlüssels als Länge 4096 an.When creating the private key, specify the length as 4096.
      • Geben Sie beim Erstellen des Zertifikats für den -extensions-Parameter usr_cert an.When creating the certificate, for the -extensions parameter, specify usr_cert.

Nächste SchritteNext steps

Sobald die Verbindung hergestellt ist, können Sie Ihren virtuellen Netzwerken virtuelle Computer hinzufügen.Once your connection is complete, you can add virtual machines to your virtual networks. Weitere Informationen finden Sie unter Virtuelle Computer .For more information, see Virtual Machines. Weitere Informationen zu Netzwerken und virtuellen Computern finden Sie unter Azure- und Linux-VM-Netzwerke (Übersicht).To understand more about networking and virtual machines, see Azure and Linux VM network overview.

Informationen zur P2S-Problembehandlung finden Sie unter Problembehandlung: Probleme mit Azure P2S-Verbindungen (Point-to-Site).For P2S troubleshooting information, Troubleshooting Azure point-to-site connections.