Configuración de los valores del servidor para la autenticación de certificados de VPN de P2S: PowerShell

Este artículo le ayudará a configurar una VPN de punto a sitio (P2S) para permitirle conectar de forma segura clientes individuales que ejecutan Windows, Linux o macOS a una red virtual de Azure (VNet). Las conexiones VPN de punto a sitio son útiles cuando se quiere establecer una conexión con una red virtual desde una ubicación remota, como cuando se trabaja a distancia desde casa o en una conferencia.

También puede usar P2S en lugar de una VPN de sitio a sitio cuando son pocos los clientes que necesitan conectarse a una red virtual. Las conexiones P2S no requieren un dispositivo VPN ni una dirección IP pública. P2S crea la conexión VPN sobre SSTP (Protocolo de túnel de sockets seguros) o IKEv2.

Para obtener más información sobre VPN de punto a sitio, consulte Acerca del VPN de punto a sitio. Para crear esta configuración mediante Azure Portal, consulte Configuración de una conexión VPN de punto a sitio con Azure Portal.

Las conexiones con autenticación mediante certificado de Azure de punto a sitio usan los siguientes elementos, que se configuran en este ejercicio:

• Una puerta de enlace de VPN RouteBased.
• La clave pública (archivo .cer) de un certificado raíz, que se carga en Azure. Una vez cargado el certificado, se considera un certificado de confianza y se usa para la autenticación.
• Un certificado de cliente que se genera a partir del certificado raíz. El certificado de cliente se instalará en todos los equipos cliente que se conecten a la red virtual. Este certificado se usa para la autenticación de cliente.
• Archivos de configuración del cliente VPN. El cliente VPN se configura mediante los archivos de configuración de cliente de VPN. Estos archivos contienen la información necesaria para que el cliente se conecte a la red virtual. Cada cliente que se conecta debe configurarse con los valores de los archivos de configuración.

Requisitos previos

Compruebe que tiene una suscripción a Azure. Si todavía no la tiene, puede activar sus ventajas como suscriptor de MSDN o registrarse para obtener una cuenta gratuita.

Azure PowerShell

Puede usar Azure Cloud Shell o ejecutar PowerShell localmente. Para obtener más información, consulte Instalación y configuración de Azure PowerShell.

• Para muchos de los pasos descritos en este artículo puede usar Azure Cloud Shell. Sin embargo, no puede usar Cloud Shell para generar certificados. Además, para cargar la clave pública del certificado raíz, debe usar Azure PowerShell localmente o Azure Portal.

• Puede que vea advertencias que indican que "el tipo de objeto de salida de este cmdlet se va a modificar en una versión futura". Este es el comportamiento esperado y puede ignorar estas advertencias.

Iniciar sesión

Si usa Azure Cloud Shell, se le solicitará automáticamente que inicie sesión en su cuenta después de abrir CloudShell. No es necesario ejecutar Connect-AzAccount. Una vez que haya iniciado sesión, podrá cambiar las suscripciones si fuera necesario mediante Get-AzSubscription y Select-AzSubscription.

Si PowerShell se ejecuta localmente, abra la consola de PowerShell con privilegios elevados y conéctese a su cuenta de Azure. El cmdlet Connect-AzAccount le pedirá sus credenciales. Después de la autenticación, descarga la configuración de la cuenta para que esté disponible en Azure PowerShell. Puede cambiar la suscripción mediante Get-AzSubscription y Select-AzSubscription -SubscriptionName "Name of subscription".

Creación de una red virtual

1. Cree un grupo de recursos con New-AzResourceGroup.

   New-AzResourceGroup -Name "TestRG1" -Location "EastUS"
   

2. Cree una red virtual con New-AzVirtualNetwork.

   $vnet = New-AzVirtualNetwork `
   -ResourceGroupName "TestRG1" `
   -Location "EastUS" `
   -Name "VNet1" `
   -AddressPrefix 10.1.0.0/16
   

3. Cree subredes mediante New-AzVirtualNetworkSubnetConfig con los nombres siguientes: FrontEnd y GatewaySubnet (una subred de puerta de enlace debe denominarse GatewaySubnet).

   $subnetConfigFrontend = Add-AzVirtualNetworkSubnetConfig `
     -Name Frontend `
     -AddressPrefix 10.1.0.0/24 `
     -VirtualNetwork $vnet
   
   $subnetConfigGW = Add-AzVirtualNetworkSubnetConfig `
     -Name GatewaySubnet `
     -AddressPrefix 10.1.255.0/27 `
     -VirtualNetwork $vnet
   

4. Escriba las configuraciones de subred en la red virtual con Set-AzVirtualNetwork, lo que crea las subredes en la red virtual:

   $vnet | Set-AzVirtualNetwork
   

Creación de la puerta de enlace VPN

Solicitar una dirección IP pública

Una puerta de enlace VPN debe tener una dirección IP pública. Primero se solicita el recurso de la dirección IP y, después, se hace referencia a él al crear la puerta de enlace de red virtual. La dirección IP se asigna estáticamente al recurso cuando se crea la puerta de enlace VPN. La única vez que la dirección IP pública cambia es cuando la puerta de enlace se elimina y se vuelve a crear. No cambia cuando se cambia el tamaño, se restablece o se realizan actualizaciones u otras operaciones de mantenimiento interno de una puerta de enlace VPN.

1. Solicite una dirección IP pública para su puerta de enlace de VPN mediante New-AzPublicIpAddress.

   $gwpip = New-AzPublicIpAddress -Name "GatewayIP" -ResourceGroupName "TestRG1" -Location "EastUS" -AllocationMethod Static -Sku Standard
   

2. Cree la configuración de la dirección IP de la puerta de enlace mediante New-AzVirtualNetworkGatewayIpConfig. Esta configuración es referida al crear la puerta de enlace de VPN.

   $vnet = Get-AzVirtualNetwork -Name "VNet1" -ResourceGroupName "TestRG1"
   $gwsubnet = Get-AzVirtualNetworkSubnetConfig -Name 'GatewaySubnet' -VirtualNetwork $vnet
   $gwipconfig = New-AzVirtualNetworkGatewayIpConfig -Name gwipconfig1 -SubnetId $gwsubnet.Id -PublicIpAddressId $gwpip.Id
   

Creación de la puerta de enlace VPN

En este paso, configurará y creará la puerta de enlace de red virtual para la red virtual. Para más información sobre el tipo de autenticación y de túnel, consulte Especificación del tipo de túnel y autenticación en la versión de Azure Portal de este artículo.

• El valor de -GatewayType debe ser Vpn y el valor de -VpnType debe ser RouteBased.
• -VpnClientProtocol se utiliza para especificar los tipos de túneles que desea habilitar. Las opciones de túnel son OpenVPN, SSTP y IKEv2. Puede habilitar una de ellas o cualquier combinación admitida. Si desea habilitar varios tipos, especifique los nombres separados por una coma. OpenVPN y SSTP no se pueden habilitar juntas. El cliente strongSwan de Linux y Android y el cliente VPN IKEv2 nativo de iOS y macOS solo usarán el túnel IKEv2 para conectarse. Los clientes Windows prueban primero el túnel IKEv2 y, si no se conecta, recurren a SSTP. Puede usar el cliente OpenVPN para conectarse al tipo de túnel OpenVPN.
• El SKU "Básico" de la puerta de enlace de red virtual no admite la autenticación de IKEv2, OpenVPN o RADIUS. Si planea que clientes Mac se conecten a su red virtual, no use el SKU Básico.
• Una instancia de VPN Gateway puede tardar 45 minutos o más en compilarse, según la SKU de puerta de enlace que seleccione.

1. Cree la puerta de enlace de red virtual con el tipo de puerta de enlace "Vpn" mediante New-AzVirtualNetworkGateway.

   En este ejemplo se usa la SKU VpnGw2, generación 2. Si ve errores ValidateSet relacionados con el valor de GatewaySku y está ejecutando estos comandos localmente, compruebe que tiene instalada la versión más reciente de los cmdlets de PowerShell. La versión más reciente contiene los nuevos valores validados para las SKU más recientes de la puerta de enlace.

   New-AzVirtualNetworkGateway -Name "VNet1GW" -ResourceGroupName "TestRG1" `
   -Location "EastUS" -IpConfigurations $gwipconfig -GatewayType Vpn `
   -VpnType RouteBased -EnableBgp $false -GatewaySku VpnGw2 -VpnGatewayGeneration "Generation2" -VpnClientProtocol IkeV2,OpenVPN
   

2. Una vez creada la puerta de enlace, puede verla mediante el ejemplo siguiente.

   Get-AzVirtualNetworkGateway -Name VNet1GW -ResourceGroup TestRG1
   

Adición del grupo de direcciones de clientes VPN

Cuando acabe de crear la puerta de enlace VPN, puede agregar el grupo de direcciones de cliente VPN. El grupo de direcciones del cliente de VPN es el intervalo del que los clientes de VPN reciben una dirección IP al conectarse. Use un intervalo de direcciones IP privadas que no se superponga con la ubicación local desde la que se va a conectar ni con la red virtual a la que quiere conectarse.

1. Declare las siguientes variables:

   $VNetName  = "VNet1"
   $VPNClientAddressPool = "172.16.201.0/24"
   $RG = "TestRG1"
   $Location = "EastUS"
   $GWName = "VNet1GW"
   

2. Adición del grupo de direcciones del cliente VPN:

   $Gateway = Get-AzVirtualNetworkGateway -ResourceGroupName $RG -Name $GWName
   Set-AzVirtualNetworkGateway -VirtualNetworkGateway $Gateway -VpnClientAddressPool $VPNClientAddressPool
   

Generación de certificados

Importante

No se pueden generar certificados con Azure Cloud Shell. Debe usar uno de los métodos descritos en esta sección. Si desea usar PowerShell, debe instalarlo de forma local.

Azure usa los certificados para autenticar a los clientes de VPN para las VPN de punto a sitio. Cargue la información de clave pública del certificado raíz en Azure. La clave pública se considerará "de confianza". Deben generarse certificados de cliente a partir del certificado raíz de confianza e instalarse en cada equipo cliente en el almacén de certificados Certificados - Usuario actual/Personal. El certificado se utiliza para autenticar al cliente cuando inicia una conexión con la red virtual.

Si usa certificados autofirmados, se deben crear con parámetros específicos. Puede crear un certificado autofirmado con las instrucciones para PowerShell para equipos Windows con Windows 10 o posterior. Si no ejecuta Windows 10 o posterior, use MakeCert en su lugar.

Es importante que siga los pasos de las instrucciones al generar certificados raíz autofirmados y certificados de cliente. En caso contrario, los certificados que genere no serán compatibles con las conexiones P2S y recibirá un error de conexión.

Certificado raíz

1. Obtenga el archivo .cer del certificado raíz. Puede usar un certificado raíz generado mediante una solución empresarial (opción recomendada) o generar un certificado autofirmado. Después de crear el certificado raíz, exporte los datos (no la clave privada) del certificado público como un archivo .cer con codificación Base64 X.509. Este archivo se carga más adelante en Azure.

   • Certificado de empresa: Si usa una solución empresarial, puede utilizar la cadena de certificados existente. Obtenga el archivo .cer para el certificado raíz que desee usar.

   • Certificado raíz autofirmado: Si no usa una solución de certificado de empresa, cree un certificado raíz autofirmado. En caso contrario, los certificados que cree no serán compatibles con las conexiones de P2S y los clientes reciben un error de conexión al intentar conectarse. Puede usar Azure PowerShell, MakeCert o bien OpenSSL. Los pasos descritos en los artículos siguientes describen cómo generar un certificado raíz autofirmado compatible:

     • Instrucciones de PowerShell para Windows 10 o posterior: estas instrucciones requieren PowerShell en un equipo que ejecute Windows 10 o posterior. Los certificados de cliente que se generan desde el certificado raíz pueden instalarse en cualquier cliente P2S compatible.
     • Instrucciones para MakeCert: con el fin de generar certificados, use MakeCert si no tiene acceso a un equipo con Windows 10 o posterior. Aunque MakeCert está en desuso, todavía puede usarlo para generar certificados. Los certificados de cliente que se generan desde el certificado raíz pueden instalarse en cualquier cliente P2S compatible.
     • Linux: instrucciones de OpenSSL
     • Linux: instrucciones de strongSwan

2. Después de crear el certificado raíz, exporte los datos (no la clave privada) del certificado público como un archivo .cer X.509 con codificación en Base64.

Certificado de cliente

1. Cada equipo cliente que conecta a una red virtual con una conexión de punto a sitio debe tener instalado un certificado de cliente. Se genera desde el certificado raíz y se instala en cada equipo cliente. Si no instala ningún certificado de cliente válido, la autenticación no podrá realizarse cuando el cliente trate de conectarse a la red virtual.

   Puede generar un certificado único para cada cliente o puede usar el mismo para varios clientes. La ventaja de generar certificados de cliente únicos es la capacidad de revocar un solo certificado. De lo contrario, si varios clientes usan el mismo certificado de cliente para autenticarse y este se revoca, deberá generar e instalar nuevos certificados para cada cliente que use dicho certificado.

   Para generar certificados de cliente, use los métodos siguientes:

   • Certificado de empresa:

     • Si usa una solución de certificación de empresa, genere un certificado de cliente con el formato de valor de nombre común name@yourdomain.com. Use este formato en lugar de domain name\username.

     • Asegúrese de que el certificado de cliente se base en la plantilla de certificado de usuario que tenga Autenticación de cliente como primer elemento de la lista de usuarios. Para comprobar el certificado, haga doble clic en él y vea Uso mejorado de clave en la pestaña Detalles.

   • Certificado raíz autofirmado: siga los pasos de alguno de los siguientes artículos de certificados de P2S para que los certificados de cliente que cree sean compatibles con las conexiones de P2S.

     Si genera un certificado de cliente desde un certificado raíz autofirmado, este se instala automáticamente en el equipo que utilizó para generarlo. Si desea instalar un certificado de cliente en otro equipo cliente, expórtelo como un archivo .pfx junto con toda la cadena de certificados. De esta forma, creará un archivo .pfx que contiene la información del certificado raíz necesaria para que el cliente se autentique.

     Los pasos de estos artículos generan un certificado de cliente compatible que puede, posteriormente, exportar y distribuir.

     • Instrucciones para Windows 10 o posterior, y PowerShell: en estas instrucciones se necesitan Windows 10 o posterior, y PowerShell para generar certificados. Los certificados generados pueden instalarse en cualquier cliente P2S compatible.

     • Instrucciones para MakeCert: a fin de generar certificados, use MakeCert si no tiene acceso a un equipo con Windows 10 o posterior. Aunque MakeCert está en desuso, todavía puede usarlo para generar certificados. Puede instalar los certificados generados en cualquier cliente P2S compatible.

     • Instrucciones para Linux.

2. Después de crear el certificado de cliente, expórtelo. Cada equipo cliente debe tener un certificado de cliente para conectarse y autenticarse.

Carga de la información de clave pública del certificado raíz

Compruebe que ha terminado de crear la puerta de enlace VPN. Una vez terminado, puede cargar el archivo .cer (que contiene la información de clave pública) para un certificado raíz de confianza en Azure. Una vez que se ha cargado un archivo .cer, Azure puede usarlo para autenticar a los clientes que tienen instalado un certificado de cliente generado a partir del certificado raíz de confianza. Más adelante, puede cargar más archivos de certificado raíz de confianza, hasta un total de 20, si es necesario.

Nota:

No se puede cargar el archivo .cer mediante Azure Cloud Shell. Puede usar PowerShell localmente en el equipo o seguir los pasos de Azure Portal.

1. Declare la variable del nombre del certificado, pero reemplace el valor por el suyo propio.

   $P2SRootCertName = "P2SRootCert.cer"
   

2. Reemplace la ruta de acceso del archivo por la del suyo y ejecute los cmdlets.

   $filePathForCert = "C:\cert\P2SRootCert.cer"
   $cert = new-object System.Security.Cryptography.X509Certificates.X509Certificate2($filePathForCert)
   $CertBase64 = [system.convert]::ToBase64String($cert.RawData)
   

3. Cargue la información de clave pública en Azure. Una vez que se carga la información del certificado, Azure considera que se trata de un certificado raíz de confianza. Al realizar la carga, asegúrese de que está ejecutando PowerShell localmente en el equipo o, en su lugar, puede seguir los pasos de Azure Portal. Una vez completada la carga, verá una devolución de PowerShell que muestra PublicCertData. El proceso de carga del certificado tarda unos 10 minutos en completarse.

   Add-AzVpnClientRootCertificate -VpnClientRootCertificateName $P2SRootCertName -VirtualNetworkGatewayname "VNet1GW" -ResourceGroupName "TestRG1" -PublicCertData $CertBase64
   

Instalación de un certificado de cliente exportado

Los siguientes pasos le ayudarán a completar la instalación en un cliente Windows. Para obtener más información, consulte Instalación de un certificado de cliente.

1. Una vez que se exporte el certificado de cliente, busque y copie el archivo .pfx en el equipo cliente.
2. En el equipo cliente, haga doble clic en el archivo .pfx para instalarlo. Deje Ubicación del almacén como Usuario actual y seleccione Siguiente.
3. En la página File to import (Archivo para importar), no haga ningún cambio. Seleccione Siguiente.
4. En la página Protección de clave privada, escriba la contraseña del certificado o compruebe que la entidad de seguridad sea correcta y seleccione Siguiente.
5. En la página Almacén de certificados, deje la ubicación predeterminada y seleccione Siguiente.
6. Seleccione Finalizar. En la advertencia de seguridad para la instalación de certificados, seleccione Sí. Puede seleccionar con total tranquilidad el valor "Sí" en esta advertencia de seguridad, ya que ha generado el certificado.
7. El certificado se importó correctamente.

Asegúrese de que se exportó el certificado de cliente como un .pfx junto con la cadena de certificados completa (que es el valor predeterminado). En caso contrario, la información del certificado raíz no está presente en el equipo cliente y el cliente no podrá realizar la autenticación correctamente.

Configuración de clientes VPN y conexión a Azure

Cada cliente VPN se configura mediante los archivos de un paquete de configuración de perfil de cliente VPN que se genera y descarga. El paquete de configuración contiene la configuración específica de la puerta de enlace de VPN que ha creado. Si realiza cambios en la puerta de enlace, como cambiar un tipo de túnel, un certificado o un tipo de autenticación, debe generar otro paquete de configuración de perfil de cliente VPN e instalarlo en cada cliente. De lo contrario, es posible que los clientes VPN no puedan conectarse.

Para conocer los pasos para generar un paquete de configuración de perfil de cliente VPN, configure los clientes VPN y conéctese a Azure. Para ello, consulte los artículos siguientes:

• Windows
• macOS-iOS
• Linux

Para comprobar una conexión

Estas instrucciones se aplican a los clientes Windows.

1. Para comprobar que la conexión VPN está activa, abra un símbolo del sistema con privilegios elevados y ejecute ipconfig/all.

2. Vea los resultados. Observe que la dirección IP que recibió es una de las direcciones dentro del grupo de direcciones de cliente VPN de punto a sitio que especificó en la configuración. Los resultados son similares a los del ejemplo siguiente:

   PPP adapter VNet1:
      Connection-specific DNS Suffix .:
      Description.....................: VNet1
      Physical Address................:
      DHCP Enabled....................: No
      Autoconfiguration Enabled.......: Yes
      IPv4 Address....................: 172.16.201.13(Preferred)
      Subnet Mask.....................: 255.255.255.255
      Default Gateway.................:
      NetBIOS over Tcpip..............: Enabled
   

Para conectarse a una máquina virtual

Estas instrucciones se aplican a los clientes Windows.

Puede conectarse a una máquina virtual que esté implementada en la red virtual mediante la creación de una conexión de Escritorio remoto a la máquina virtual. La mejor manera de comprobar inicialmente que puede conectarse a la máquina virtual es hacerlo mediante su dirección IP privada, en lugar del nombre de equipo. Con este método prueba si puede conectarse, no si la resolución de nombres está configurada correctamente.

1. Busque la dirección IP privada. Para buscar la dirección IP privada de una máquina virtual, examina las propiedades en Azure Portal o usa PowerShell.

   • Azure Portal: Ubica la máquina virtual en Azure Portal. Vea las propiedades de la máquina virtual. Se enumera la dirección IP privada.

   • PowerShell: Utiliza el ejemplo para ver una lista de las máquinas virtuales y las direcciones IP privadas de los grupos de recursos. No es preciso modificar el ejemplo para usarlo.

     $VMs = Get-AzVM
     $Nics = Get-AzNetworkInterface | Where-Object VirtualMachine -ne $null
     
     foreach ($Nic in $Nics) {
     $VM = $VMs | Where-Object -Property Id -eq $Nic.VirtualMachine.Id
     $Prv = $Nic.IpConfigurations | Select-Object -ExpandProperty PrivateIpAddress
     $Alloc = $Nic.IpConfigurations | Select-Object -ExpandProperty PrivateIpAllocationMethod
     Write-Output "$($VM.Name): $Prv,$Alloc"
     }
     

2. Comprueba que está conectado a la red virtual.

3. Abre Conexión a Escritorio remoto, para lo que debes escribir RDP o Conexión a Escritorio remoto en el cuadro de búsqueda de la barra de tareas. Luego, selecciona Conexión a Escritorio remoto. También puedes abrir Conexión a Escritorio remoto con el comando mstsc de PowerShell.

4. En Conexión a Escritorio remoto, escriba la dirección IP privada de la máquina virtual. Puedes seleccionar Mostrar opciones para ajustar parámetros adicionales y, después, conectarte.

Si tienes problemas para conectarte a una máquina virtual a través de tu conexión VPN, comprueba los siguientes puntos:

• Compruebe que la conexión VPN se ha establecido correctamente.
• Compruebe que se conecta a la dirección IP privada de la máquina virtual.
• Si puedes conectarte a la máquina virtual mediante la dirección IP privada, pero no el nombre del equipo, comprueba que has configurado el DNS correctamente. Para más información acerca de cómo funciona la resolución de nombres para las máquinas virtuales, consulta Resolución de nombres para las máquinas virtuales e instancias de rol.

Para más información acerca de las conexiones RDP, consulte Solución de problemas de conexiones del Escritorio remoto a una máquina virtual de Azure.

• Compruebe que el paquete de configuración de cliente de VPN se generó después de que se especificaran las direcciones IP del servidor DNS para la red virtual. Si actualizó las direcciones IP de servidor DNS, genere un nuevo paquete de configuración de cliente de VPN e instálelo.

• Use "ipconfig" para comprobar la dirección IPv4 asignada al adaptador de Ethernet en el equipo desde el que intenta conectarse. Si la dirección IP está dentro del intervalo de direcciones de la red virtual a la que se va a conectar o dentro del intervalo de direcciones de su VPNClientAddressPool, esto se conoce como un espacio de direcciones superpuesto. Cuando el espacio de direcciones se superpone de esta manera, el tráfico de red no llega a Azure, sino que se mantiene en la red local.

Adición o eliminación de un certificado raíz

Puede agregar y quitar certificados raíz de confianza de Azure. Al quitar un certificado raíz, los clientes que cuentan con un certificado generado a partir del certificado raíz no pueden autenticarse y no podrán conectarse. Si desea que un cliente se autentique y se conecte, es preciso que instale un nuevo certificado de cliente generado a partir de un certificado raíz que sea de confianza (se cargue) en Azure. Estos pasos requieren los cmdlets de Azure PowerShell instalados localmente en el equipo (no Azure Cloud Shell). También puede usar Azure Portal para agregar certificados raíz.

Para agregar:

Puede agregar hasta 20 archivos .cer de certificado raíz a Azure. Los pasos siguientes lo ayudan a agregar un certificado raíz.

1. Preparar el archivo .cer que desea cargar:

   $filePathForCert = "C:\cert\P2SRootCert3.cer"
   $cert = new-object System.Security.Cryptography.X509Certificates.X509Certificate2($filePathForCert)
   $CertBase64_3 = [system.convert]::ToBase64String($cert.RawData)
   

2. Cargar el archivo. Solo puede cargar un archivo a la vez.

   Add-AzVpnClientRootCertificate -VpnClientRootCertificateName $P2SRootCertName -VirtualNetworkGatewayname "VNet1GW" -ResourceGroupName "TestRG1" -PublicCertData $CertBase64_3
   

3. Para comprobar que se ha cargado el archivo de certificado:

   Get-AzVpnClientRootCertificate -ResourceGroupName "TestRG1" `
   -VirtualNetworkGatewayName "VNet1GW"
   

Para quitar:

1. Declare las variables. Modifique las variables del ejemplo para que coincidan con el certificado que desea quitar.

   $GWName = "Name_of_virtual_network_gateway"
   $RG = "Name_of_resource_group"
   $P2SRootCertName2 = "ARMP2SRootCert2.cer"
   $MyP2SCertPubKeyBase64_2 = "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"
   

2. Quite el certificado.

   Remove-AzVpnClientRootCertificate -VpnClientRootCertificateName $P2SRootCertName2 -VirtualNetworkGatewayName $GWName -ResourceGroupName $RG -PublicCertData $MyP2SCertPubKeyBase64_2
   

3. Use el siguiente ejemplo para comprobar que el certificado se quitó correctamente.

   Get-AzVpnClientRootCertificate -ResourceGroupName "TestRG1" `
   -VirtualNetworkGatewayName "VNet1GW"
   

Para revocar o restablecer un certificado de cliente

Puede revocar certificados de cliente. La lista de revocación de certificados permite denegar de forma selectiva la conectividad de P2S basada en certificados de cliente individuales. Esto difiere de la forma en que se quita un certificado raíz de confianza. Si quita de Azure un archivo .cer de certificado raíz de confianza, se revoca el acceso para todos los certificados de cliente generados y firmados con el certificado raíz revocado. Al revocarse un certificado de cliente, en lugar del certificado raíz, se permite que el resto de los certificados que se generaron a partir del certificado raíz sigan usándose para la autenticación.

Lo más habitual es usar el certificado raíz para administrar el acceso a nivel de equipo u organización, mientras que los certificados de cliente revocados se usan para un control de acceso específico para usuarios individuales.

Para revocar:

1. Recupere la huella digital del certificado de cliente. Para más información, consulte Cómo recuperar la huella digital de un certificado.

2. Copie la información en un editor de texto y quite todos los espacios de forma que sea una sola cadena continua. Esta cadena se declara como variable en el paso siguiente.

3. Declare las variables. Asegúrese de declarar la huella digital que recuperó en el paso anterior.

   $RevokedClientCert1 = "NameofCertificate"
   $RevokedThumbprint1 = "‎51ab1edd8da4cfed77e20061c5eb6d2ef2f778c7"
   $GWName = "Name_of_virtual_network_gateway"
   $RG = "Name_of_resource_group"
   

4. Agregue la huella digital a la lista de certificados revocados. Cuando haya agregado la huella digital, aparece un aviso que le indica que la acción se ha completado "correctamente".

   Add-AzVpnClientRevokedCertificate -VpnClientRevokedCertificateName $RevokedClientCert1 `
   -VirtualNetworkGatewayName $GWName -ResourceGroupName $RG `
   -Thumbprint $RevokedThumbprint1
   

5. Compruebe que la huella digital se agregó a la lista de revocación de certificados.

   Get-AzVpnClientRevokedCertificate -VirtualNetworkGatewayName $GWName -ResourceGroupName $RG
   

6. Una vez agregada la huella digital, el certificado ya no podrá utilizarse para conectarse. Los clientes que intenten conectarse con este certificado reciben un mensaje que indica que el certificado ya no es válido.

Para restablecer:

Puede restablecer un certificado de cliente quitando la huella digital de la lista de certificados de cliente revocados.

1. Declare las variables. Asegúrese de que declara la huella digital correcta para el certificado que desea restablecer.

   $RevokedClientCert1 = "NameofCertificate"
   $RevokedThumbprint1 = "‎51ab1edd8da4cfed77e20061c5eb6d2ef2f778c7"
   $GWName = "Name_of_virtual_network_gateway"
   $RG = "Name_of_resource_group"
   

2. Quite la huella digital del certificado de la lista de revocación de certificados.

   Remove-AzVpnClientRevokedCertificate -VpnClientRevokedCertificateName $RevokedClientCert1 `
   -VirtualNetworkGatewayName $GWName -ResourceGroupName $RG -Thumbprint $RevokedThumbprint1
   

3. Compruebe si la huella digital se quita de la lista revocada.

   Get-AzVpnClientRevokedCertificate -VirtualNetworkGatewayName $GWName -ResourceGroupName $RG
   

Preguntas frecuentes sobre la conexión de punto a sitio

Para obtener más información sobre la conexión de punto a sitio, consulte las preguntas más frecuentes sobre VPN Gateway de P2S

Pasos siguientes

Una vez completada la conexión, puede agregar máquinas virtuales a las redes virtuales. Consulte Virtual Machines para más información. Para más información acerca de las redes y las máquinas virtuales, consulte Información general sobre las redes de máquina virtual con Linux y Azure.

Para información de solución de problemas de P2S, consulte el artículo de solución de problemas de conexión de punto a sitio de Azure.