Configurer une connexion point à site à un réseau virtuel à l’aide de l’authentification par certificat Azure native : PowerShellConfigure a Point-to-Site connection to a VNet using native Azure certificate authentication: PowerShell

Cet article vous permet de connecter en toute sécurité des clients individuels qui exécutent Windows ou Mac OS X à un réseau virtuel Azure.This article helps you securely connect individual clients running Windows or Mac OS X to an Azure VNet. Les connexions VPN point à site sont utiles lorsque vous souhaitez vous connecter à votre réseau virtuel à partir d’un emplacement distant, par exemple lorsque vous travaillez à distance depuis votre domicile ou en conférence.Point-to-Site VPN connections are useful when you want to connect to your VNet from a remote location, such when you are telecommuting from home or a conference. La connexion P2S est une solution alternative au VPN de site à site lorsque seul un nombre restreint de clients doivent se connecter à un réseau virtuel.You can also use P2S instead of a Site-to-Site VPN when you have only a few clients that need to connect to a VNet. Les connexions de point à site ne nécessitent pas de périphérique VPN ou d’adresse IP publique.Point-to-Site connections do not require a VPN device or a public-facing IP address. La connexion P2S crée la connexion VPN via SSTP (Secure Socket Tunneling Protocol) ou IKEv2.P2S creates the VPN connection over either SSTP (Secure Socket Tunneling Protocol), or IKEv2. Pour plus d’informations sur le VPN de point à site, consultez l’article À propos du VPN de point à site.For more information about Point-to-Site VPN, see About Point-to-Site VPN.

Diagramme de connexion d’un ordinateur à un réseau virtuel Azure à l’aide d’une passerelle point à site

ArchitectureArchitecture

Les connexions d’authentification avec certificat Azure natif de point à site utilisent les éléments suivants, que vous pouvez configurer dans cet exercice :Point-to-Site native Azure certificate authentication connections use the following items, which you configure in this exercise:

  • Une passerelle VPN RouteBased.A RouteBased VPN gateway.
  • La clé publique (fichier .cer) d’un certificat racine, chargée sur Azure.The public key (.cer file) for a root certificate, which is uploaded to Azure. Une fois le certificat chargé, il est considéré comme un certificat approuvé et est utilisé pour l’authentification.Once the certificate is uploaded, it is considered a trusted certificate and is used for authentication.
  • Un certificat client généré à partir du certificat racine.A client certificate that is generated from the root certificate. Le certificat client installé sur chaque ordinateur client qui se connecte au réseau virtuel.The client certificate installed on each client computer that will connect to the VNet. Ce certificat est utilisé pour l’authentification du client.This certificate is used for client authentication.
  • Une configuration du client VPN.A VPN client configuration. Les fichiers de configuration du client VPN contiennent les informations nécessaires permettant au client de se connecter sur le réseau virtuel.The VPN client configuration files contain the necessary information for the client to connect to the VNet. Les fichiers configurent le client VPN existant qui est natif au système d’exploitation.The files configure the existing VPN client that is native to the operating system. Chaque client qui se connecte doit être configuré à l’aide des paramètres dans les fichiers de configuration.Each client that connects must be configured using the settings in the configuration files.

Avant de commencerBefore you begin

  • Assurez-vous de disposer d’un abonnement Azure.Verify that you have an Azure subscription. Si vous ne disposez pas déjà d’un abonnement Azure, vous pouvez activer vos avantages abonnés MSDN ou créer un compte gratuit.If you don't already have an Azure subscription, you can activate your MSDN subscriber benefits or sign up for a free account.
  • Installez la dernière version des cmdlets PowerShell de Resource Manager.Install the latest version of the Resource Manager PowerShell cmdlets. Pour plus d’informations sur l’installation des applets de commande PowerShell, consultez l’article Installation et configuration d’Azure PowerShell.For more information about installing PowerShell cmdlets, see How to install and configure Azure PowerShell. Ceci est important, car les versions antérieures des cmdlets ne contiennent pas les valeurs actuelles dont vous avez besoin pour cet exercice.This is important because earlier versions of the cmdlets do not contain the current values that you need for this exercise.

Exemples de valeursExample values

Vous pouvez utiliser ces exemples de valeurs pour créer un environnement de test ou vous y référer pour mieux comprendre les exemples de cet article.You can use the example values to create a test environment, or refer to these values to better understand the examples in this article. Les variables sont définies dans la section 1 de l’article.The variables are set in section 1 of the article. Vous pouvez suivre les étapes proposées en utilisant les valeurs sans les modifier ou modifier les valeurs pour les adapter à votre environnement.You can either use the steps as a walk-through and use the values without changing them, or change them to reflect your environment.

  • Nom : VNet1Name: VNet1
  • Espace d’adressage :192.168.0.0/16 et 10.254.0.0/16Address space: 192.168.0.0/16 and 10.254.0.0/16
    Cet exemple utilise différents espaces d’adressage afin de démontrer que cette configuration fonctionne avec plusieurs espaces d’adressage.This example uses more than one address space to illustrate that this configuration works with multiple address spaces. Toutefois, plusieurs espaces d’adressage ne sont pas nécessaires pour cette configuration.However, multiple address spaces are not required for this configuration.
  • Nom du sous-réseau : FrontEndSubnet name: FrontEnd
    • Plage d’adresses de sous-réseau : 192.168.1.0/24Subnet address range: 192.168.1.0/24
  • Nom du sous-réseau : BackEndSubnet name: BackEnd
    • Plage d’adresses de sous-réseau : 10.254.1.0/24Subnet address range: 10.254.1.0/24
  • Nom du sous-réseau : GatewaySubnetSubnet name: GatewaySubnet
    Le nom du sous-réseau GatewaySubnet est obligatoire pour que la passerelle VPN fonctionne.The Subnet name GatewaySubnet is mandatory for the VPN gateway to work.
    • Plage d’adresses de GatewaySubnet : 192.168.200.0/24GatewaySubnet address range: 192.168.200.0/24
  • Pool d’adresses des clients VPN : 172.16.201.0/24VPN client address pool: 172.16.201.0/24
    Les clients VPN qui se connectent au réseau virtuel à l’aide de cette connexion point à site reçoivent une adresse IP de ce pool d’adresses des clients VPN.VPN clients that connect to the VNet using this Point-to-Site connection receive an IP address from the VPN client address pool.
  • Abonnement : vérifiez que vous utilisez l’abonnement approprié si vous en possédez plusieurs.Subscription: If you have more than one subscription, verify that you are using the correct one.
  • Groupe de ressources : TestRGResource Group: TestRG
  • Emplacement : États-Unis de l’EstLocation: East US
  • Serveur DNS : l’adresse IP du serveur DNS que vous souhaitez utiliser pour la résolution de noms.DNS Server: IP address of the DNS server that you want to use for name resolution. (facultatif)(optional)
  • Nom de passerelle : Vnet1GWGW Name: Vnet1GW
  • Nom d’adresse IP publique : VNet1GWPIPPublic IP name: VNet1GWPIP
  • Type de VPN : RouteBasedVpnType: RouteBased

1. Connexion et définition des variables1. Log in and set variables

Dans cette section, vous vous connectez et déclarez les valeurs utilisées pour cette configuration.In this section, you log in and declare the values used for this configuration. Les valeurs déclarées sont utilisées dans les exemples de script.The declared values are used in the sample scripts. Modifiez les valeurs pour les adapter à votre propre environnement.Change the values to reflect your own environment. Vous pouvez également utiliser les valeurs déclarées et suivre les étapes pour vous entraîner.Or, you can use the declared values and go through the steps as an exercise.

  1. Ouvrez la console PowerShell avec des privilèges élevés, puis connectez-vous à votre compte Azure.Open your PowerShell console with elevated privileges, and log in to your Azure account. Cette applet de commande vous invite à entrer vos informations d’identification de connexion.This cmdlet prompts you for the login credentials. Une fois que vous êtes connecté, l'applet de commande télécharge vos paramètres de compte pour qu'ils soient reconnus par Azure PowerShell.After logging in, it downloads your account settings so that they are available to Azure PowerShell.

    Connect-AzureRmAccount
    
  2. Obtenez la liste de vos abonnements Azure.Get a list of your Azure subscriptions.

    Get-AzureRmSubscription
    
  3. Spécifiez l’abonnement à utiliser.Specify the subscription that you want to use.

    Select-AzureRmSubscription -SubscriptionName "Name of subscription"
    
  4. Déclarez les variables que vous souhaitez utiliser.Declare the variables that you want to use. Utilisez l’exemple ci-dessous en utilisant vos propres valeurs si nécessaire.Use the following sample, substituting the values for your own when necessary.

    $VNetName  = "VNet1"
    $FESubName = "FrontEnd"
    $BESubName = "Backend"
    $GWSubName = "GatewaySubnet"
    $VNetPrefix1 = "192.168.0.0/16"
    $VNetPrefix2 = "10.254.0.0/16"
    $FESubPrefix = "192.168.1.0/24"
    $BESubPrefix = "10.254.1.0/24"
    $GWSubPrefix = "192.168.200.0/26"
    $VPNClientAddressPool = "172.16.201.0/24"
    $RG = "TestRG"
    $Location = "East US"
    $GWName = "VNet1GW"
    $GWIPName = "VNet1GWPIP"
    $GWIPconfName = "gwipconf"
    

2. Configurer un réseau virtuel2. Configure a VNet

  1. Créez un groupe de ressources.Create a resource group.

    New-AzureRmResourceGroup -Name $RG -Location $Location
    
  2. Créez les configurations de sous-réseau du réseau virtuel en les nommant FrontEnd, BackEnd et GatewaySubnet.Create the subnet configurations for the virtual network, naming them FrontEnd, BackEnd, and GatewaySubnet. Ces préfixes doivent faire partie de l’espace d’adressage du réseau virtuel que vous avez déclaré.These prefixes must be part of the VNet address space that you declared.

    $fesub = New-AzureRmVirtualNetworkSubnetConfig -Name $FESubName -AddressPrefix $FESubPrefix
    $besub = New-AzureRmVirtualNetworkSubnetConfig -Name $BESubName -AddressPrefix $BESubPrefix
    $gwsub = New-AzureRmVirtualNetworkSubnetConfig -Name $GWSubName -AddressPrefix $GWSubPrefix
    
  3. Création du réseau virtuel.Create the virtual network.

    Dans cet exemple, le paramètre du serveur -DnsServer est facultatif.In this example, the -DnsServer server parameter is optional. La définition d’une valeur n’entraîne pas la création de serveur DNS.Specifying a value does not create a new DNS server. Le serveur DNS dont vous spécifiez l’adresse IP doit pouvoir résoudre les noms des ressources auxquelles vous vous connectez depuis votre réseau virtuel.The DNS server IP address that you specify should be a DNS server that can resolve the names for the resources you are connecting to from your VNet. Cet exemple utilise une adresse IP privée, mais il ne s’agit probablement pas de l’adresse IP de votre serveur DNS.This example uses a private IP address, but it is likely that this is not the IP address of your DNS server. Veillez à utiliser vos propres valeurs.Be sure to use your own values. La valeur que vous spécifiez est utilisée par les ressources que vous déployez sur le réseau virtuel, et non par la connexion P2S ou le client VPN.The value you specify is used by the resources that you deploy to the VNet, not by the P2S connection or the VPN client.

    New-AzureRmVirtualNetwork -Name $VNetName -ResourceGroupName $RG -Location $Location -AddressPrefix $VNetPrefix1,$VNetPrefix2 -Subnet $fesub, $besub, $gwsub -DnsServer 10.2.1.3
    
  4. Spécifiez les variables pour le réseau virtuel que vous avez créé.Specify the variables for the virtual network you created.

    $vnet = Get-AzureRmVirtualNetwork -Name $VNetName -ResourceGroupName $RG
    $subnet = Get-AzureRmVirtualNetworkSubnetConfig -Name "GatewaySubnet" -VirtualNetwork $vnet
    
  5. Une passerelle VPN doit avoir une adresse IP publique.A VPN gateway must have a Public IP address. Vous commencez par demander la ressource d’adresse IP, puis vous y faites référence lors de la création de votre passerelle de réseau virtuel.You first request the IP address resource, and then refer to it when creating your virtual network gateway. L’adresse IP est affectée dynamiquement à la ressource lors de la création de la passerelle VPN.The IP address is dynamically assigned to the resource when the VPN gateway is created. Actuellement, la passerelle VPN prend uniquement en charge l’allocation d’adresses IP publiques dynamiques.VPN Gateway currently only supports Dynamic Public IP address allocation. Vous ne pouvez pas demander d’affectation d’adresse IP publique statique.You cannot request a Static Public IP address assignment. Toutefois, cela ne signifie pas que l’adresse IP change après son affectation à votre passerelle VPN.However, it doesn't mean that the IP address changes after it has been assigned to your VPN gateway. L’adresse IP publique change uniquement lorsque la passerelle est supprimée, puis recréée.The only time the Public IP address changes is when the gateway is deleted and re-created. Elle n’est pas modifiée lors du redimensionnement, de la réinitialisation ou des autres opérations de maintenance/mise à niveau internes de votre passerelle VPN.It doesn't change across resizing, resetting, or other internal maintenance/upgrades of your VPN gateway.

    Demandez une adresse IP publique attribuée dynamiquement.Request a dynamically assigned public IP address.

    $pip = New-AzureRmPublicIpAddress -Name $GWIPName -ResourceGroupName $RG -Location $Location -AllocationMethod Dynamic
    $ipconf = New-AzureRmVirtualNetworkGatewayIpConfig -Name $GWIPconfName -Subnet $subnet -PublicIpAddress $pip
    

3. Créer la passerelle VPN3. Create the VPN gateway

Configurez et créez la passerelle de réseau virtuel pour votre réseau virtuel.Configure and create the virtual network gateway for your VNet.

  • Le paramètre -GatewayType doit être défini sur la valeur Vpn, tandis que le paramètre -VpnType doit être défini sur la valeur RouteBased.The -GatewayType must be Vpn and the -VpnType must be RouteBased.
  • Le paramètre -VpnClientProtocol est utilisé pour spécifier les types de tunnels que vous souhaitez activer.The -VpnClientProtocol is used to specify the types of tunnels that you would like to enable. Les deux options de tunnels sont SSTP et IKEv2.The two tunnel options are SSTP and IKEv2. Vous pouvez choisir d’en activer un des deux, ou les deux.You can choose to enable one of them or both. Si vous souhaitez activer les deux, vous devez spécifier les deux noms séparés par une virgule.If you want to enable both, then specify both the names separated by a comma. Le client strongSwan sur Android et Linux et le client VPN IKEv2 natif sur iOS et OSX n’utiliseront que le tunnel IKEv2 pour se connecter.The strongSwan client on Android and Linux and the native IKEv2 VPN client on iOS and OSX will use only the IKEv2 tunnel to connect. Les clients Windows essaient IKEv2 en premier lieu. En cas d’échec de la connexion, ils utilisent SSTP.Windows clients try IKEv2 first and if that doesn’t connect, they fall back to SSTP.
  • L’achèvement d’une passerelle VPN peut prendre jusqu’à 45 minutes en fonction de la référence de passerelle que vous sélectionnez.A VPN gateway can take up to 45 minutes to complete, depending on the gateway sku you select. Cet exemple utilise IKEv2.This example uses IKEv2.
New-AzureRmVirtualNetworkGateway -Name $GWName -ResourceGroupName $RG `
-Location $Location -IpConfigurations $ipconf -GatewayType Vpn `
-VpnType RouteBased -EnableBgp $false -GatewaySku VpnGw1 -VpnClientProtocol "IKEv2"

4. Ajouter le pool d’adresses des clients VPN4. Add the VPN client address pool

Après la création par la passerelle VPN, vous pouvez ajouter le pool d’adresses des clients VPN.After the VPN gateway finishes creating, you can add the VPN client address pool. Il s’agit de la plage à partir de laquelle les clients VPN reçoivent une adresse IP lorsqu’ils se connectent.The VPN client address pool is the range from which the VPN clients receive an IP address when connecting. Utilisez une plage d’adresses IP privées qui ne chevauche ni l’emplacement local à partir duquel vous vous connectez ni le réseau virtuel auquel vous souhaitez vous connecter.Use a private IP address range that does not overlap with the on-premises location that you connect from, or with the VNet that you want to connect to. Dans cet exemple, le pool d’adresses de clients VPN est déclaré comme une variable à l’étape 1.In this example, the VPN client address pool is declared as a variable in Step 1.

$Gateway = Get-AzureRmVirtualNetworkGateway -ResourceGroupName $RG -Name $GWName
Set-AzureRmVirtualNetworkGateway -VirtualNetworkGateway $Gateway -VpnClientAddressPool $VPNClientAddressPool

5. Générer des certificats5. Generate certificates

Les certificats sont utilisés par Azure pour authentifier les clients VPN pour les VPN point à site.Certificates are used by Azure to authenticate VPN clients for Point-to-Site VPNs. Vous chargez les informations de la clé publique du certificat racine vers Azure.You upload the public key information of the root certificate to Azure. La clé publique est alors considérée comme « approuvée ».The public key is then considered 'trusted'. Les certificats clients doivent être générés à partir du certificat racine approuvé, puis installés sur chaque ordinateur client dans le magasin de certificats Utilisateur actuel/Personnel.Client certificates must be generated from the trusted root certificate, and then installed on each client computer in the Certificates-Current User/Personal certificate store. Le certificat permet d’authentifier le client lorsqu’il établit une connexion avec le réseau virtuel.The certificate is used to authenticate the client when it initiates a connection to the VNet.

Si vous utilisez des certificats auto-signés, ceux-ci doivent être créés à l’aide de paramètres spécifiques.If you use self-signed certificates, they must be created using specific parameters. Vous pouvez créer un certificat auto-signé en suivant les instructions pour PowerShell et Windows 10. Si vous n’avez pas Windows 10, vous pouvez utiliser MakeCert.You can create a self-signed certificate using the instructions for PowerShell and Windows 10, or, if you don't have Windows 10, you can use MakeCert. Il est important de suivre les étapes décrites dans les instructions lorsque vous générez des certificats racines auto-signés et des certificats clients.It's important that you follow the steps in the instructions when generating self-signed root certificates and client certificates. Dans le cas contraire, les certificats que vous générez ne seront pas compatibles avec les connexions P2S, ce qui entraînera une erreur de connexion.Otherwise, the certificates you generate will not be compatible with P2S connections and you receive a connection error.

1. Obtenir le fichier .cer pour le certificat racine1. Obtain the .cer file for the root certificate

Vous pouvez utiliser un certificat racine qui a été généré à l’aide d’une solution d’entreprise (recommandée), ou vous pouvez générer un certificat auto-signé.You can use either a root certificate that was generated using an enterprise solution (recommended), or you can generate a self-signed certificate. Après avoir créé le certificat racine, exportez les données de certificat public (et non la clé privée) sous la forme d’un fichier .cer X.509 encodé en base 64, puis chargez les données de certificat public dans Azure.After creating the root certificate, export the public certificate data (not the private key) as a Base-64 encoded X.509 .cer file and upload the public certificate data to Azure.

  • Certificat d’entreprise : si vous utilisez une solution d’entreprise, vous pouvez utiliser votre chaîne de certificats existante.Enterprise certificate: If you are using an enterprise solution, you can use your existing certificate chain. Obtenez le fichier .cer pour le certificat racine que vous souhaitez utiliser.Obtain the .cer file for the root certificate that you want to use.
  • Certificat racine auto-signé : si vous n’utilisez pas de solution de certificat d’entreprise, vous devez générer un certificat racine auto-signé.Self-signed root certificate: If you aren't using an enterprise certificate solution, you need to create a self-signed root certificate. Il est important que vous suiviez les procédures décrites dans l’un des articles de certificat P2S ci-dessous.It's important that you follow the steps in one of the P2S certificate articles below. Dans le cas contraire, les certificats que vous créez ne seront pas compatibles avec les connexions P2S, et les clients recevront une erreur de connexion lorsqu’ils essaieront de se connecter.Otherwise, the certificates you create won't be compatible with P2S connections and clients receive a connection error when trying to connect. Vous pouvez utiliser Azure PowerShell, MakeCert ou OpenSSL.You can use Azure PowerShell, MakeCert, or OpenSSL. Les procédures décrites dans les articles indiqués permettent de générer un certificat compatible :The steps in the provided articles generate a compatible certificate:

    • Instructions pour PowerShell sur Windows 10 : ces instructions requièrent Windows 10 et PowerShell pour générer des certificats.Windows 10 PowerShell instructions: These instructions require Windows 10 and PowerShell to generate certificates. Les certificats clients qui sont générés à partir du certificat racine peuvent être installés sur n’importe quel client P2S pris en charge.Client certificates that are generated from the root certificate can be installed on any supported P2S client.
    • Instructions pour MakeCert : si vous n’avez pas accès à un ordinateur Windows 10, utilisez MakeCert pour générer des certificats.MakeCert instructions: Use MakeCert if you don't have access to a Windows 10 computer to use to generate certificates. MakeCert est déconseillé, mais vous pouvez toujours l’utiliser pour générer des certificats.MakeCert deprecated, but you can still use MakeCert to generate certificates. Les certificats clients qui sont générés à partir du certificat racine peuvent être installés sur n’importe quel client P2S pris en charge.Client certificates that are generated from the root certificate can be installed on any supported P2S client.

2. Générer un certificat client2. Generate a client certificate

Chaque ordinateur client qui se connecte à un réseau virtuel avec une connexion de point à site doit avoir un certificat client installé.Each client computer that connects to a VNet using Point-to-Site must have a client certificate installed. Le certificat client est généré à partir du certificat racine et installé sur chaque ordinateur client.The client certificate is generated from the root certificate and installed on each client computer. Si aucun certificat client valide n’est installé et que le client essaie de se connecter au réseau virtuel, l’authentification échoue.If a valid client certificate is not installed and the client tries to connect to the VNet, authentication fails.

Vous pouvez soit générer un certificat unique pour chaque client, soir utiliser le même certificat pour plusieurs clients.You can either generate a unique certificate for each client, or you can use the same certificate for multiple clients. Le fait de générer des certificats clients uniques vous offre la possibilité de révoquer un seul certificat.The advantage to generating unique client certificates is the ability to revoke a single certificate. Dans le cas contraire, si plusieurs clients utilisent le même certificat client et que vous devez révoquer ce dernier, vous devrez générer et installer de nouveaux certificats pour tous les clients qui utilisent ce certificat pour s’authentifier.Otherwise, if multiple clients are using the same client certificate and you need to revoke it, you have to generate and install new certificates for all the clients that use that certificate to authenticate.

Vous pouvez générer des certificats clients à l’aide des méthodes suivantes :You can generate client certificates using the following methods:

  • Certificat d’entreprise :Enterprise certificate:

    • Si vous utilisez une solution de certificat d’entreprise, générez un certificat client avec le format de valeur de nom commun « name@yourdomain.com », plutôt que le format « nom_domaine\nom_utilisateur ».If you are using an enterprise certificate solution, generate a client certificate with the common name value format 'name@yourdomain.com', rather than the 'domain name\username' format.
    • Assurez-vous que le certificat client repose sur le modèle de certificat « Utilisateur » qui indique « Authentification client » comme premier élément dans la liste d’usages, plutôt que la mention « Ouverture de session par carte à puce » ou autre. Vous pouvez vérifier le certificat en double-cliquant sur le certificat client et en affichant Détails > Utilisation avancée de la clé.Make sure the client certificate is based on the 'User' certificate template that has 'Client Authentication' as the first item in the use list, rather than Smart Card Logon, etc. You can check the certificate by double-clicking the client certificate and viewing Details > Enhanced Key Usage.
  • Certificat racine auto-signé : il est important que vous suiviez les procédures décrites dans l’un des articles de certificat P2S ci-dessous.Self-signed root certificate: It's important that you follow the steps in one of the P2S certificate articles below. Dans le cas contraire, les certificats clients que vous créez ne seront pas compatibles avec les connexions P2S, et les clients recevront une erreur lorsqu’ils essaieront de se connecter.Otherwise, the client certificates you create won't be compatible with P2S connections and clients receive an error when trying to connect. Les procédures décrites dans les articles ci-après génèrent un certificat client compatible :The steps in either of the following articles generate a compatible client certificate:

    • Instructions pour PowerShell sur Windows 10 : ces instructions requièrent Windows 10 et PowerShell pour générer des certificats.Windows 10 PowerShell instructions: These instructions require Windows 10 and PowerShell to generate certificates. Les certificats qui sont générés peuvent être installés sur n’importe quel client P2S pris en charge.The certificates that are generated can be installed on any supported P2S client.
    • Instructions pour MakeCert : si vous n’avez pas accès à un ordinateur Windows 10, utilisez MakeCert pour générer des certificats.MakeCert instructions: Use MakeCert if you don't have access to a Windows 10 computer to use to generate certificates. MakeCert est déconseillé, mais vous pouvez toujours l’utiliser pour générer des certificats.MakeCert deprecated, but you can still use MakeCert to generate certificates. Les certificats qui sont générés peuvent être installés sur n’importe quel client P2S pris en charge.The certificates that are generated can be installed on any supported P2S client.

    Lorsque vous générez un certificat client à partir d’un certificat racine auto-signé à l’aide des instructions précédentes, ce certificat est automatiquement installé sur l’ordinateur que vous avez utilisé pour le générer.When you generate a client certificate from a self-signed root certificate using the preceding instructions, it's automatically installed on the computer that you used to generate it. Si vous souhaitez installer un certificat client sur un autre ordinateur client, vous devez l’exporter en tant que .pfx, avec l’intégralité de la chaîne du certificat.If you want to install a client certificate on another client computer, you need to export it as a .pfx, along with the entire certificate chain. Cette opération crée un fichier .pfx contenant les informations de certificat racine qui sont requises pour l’authentification correcte du client.This creates a .pfx file that contains the root certificate information that is required for the client to successfully authenticate. Pour plus d’informations sur la procédure d’exportation d’un certificat, consultez la section Certificats - Exporter un certificat client.For steps to export a certificate, see Certificates - export a client certificate.

6. Charger les informations de la clé publique du certificat racine6. Upload the root certificate public key information

Vérifiez que votre passerelle VPN a terminé la création.Verify that your VPN gateway has finished creating. Une fois terminée, vous pouvez charger le fichier .cer (qui contient les informations de clé publique) pour un certificat racine approuvé dans Azure.Once it has completed, you can upload the .cer file (which contains the public key information) for a trusted root certificate to Azure. Une fois qu’un fichier .cer est chargé, Azure peut l’utiliser pour authentifier les clients qui ont installé un certificat client généré à partir du certificat racine approuvé.Once a.cer file is uploaded, Azure can use it to authenticate clients that have installed a client certificate generated from the trusted root certificate. Vous pouvez charger ultérieurement d’autres fichiers de certificat racine approuvé, jusqu’à un total de 20, si nécessaire.You can upload additional trusted root certificate files - up to a total of 20 - later, if needed.

  1. Déclarez la variable pour le nom de votre certificat, en remplaçant la valeur par la vôtre.Declare the variable for your certificate name, replacing the value with your own.

    $P2SRootCertName = "P2SRootCert.cer"
    
  2. Remplacez le chemin d’accès de fichier par le vôtre et exécutez les applets de commande.Replace the file path with your own, and then run the cmdlets.

    $filePathForCert = "C:\cert\P2SRootCert.cer"
    $cert = new-object System.Security.Cryptography.X509Certificates.X509Certificate2($filePathForCert)
    $CertBase64 = [system.convert]::ToBase64String($cert.RawData)
    $p2srootcert = New-AzureRmVpnClientRootCertificate -Name $P2SRootCertName -PublicCertData $CertBase64
    
  3. Chargez les informations de clé publique vers Azure.Upload the public key information to Azure. Une fois les informations de certificat chargées, Azure considère qu’il s’agit d’un certificat racine approuvé.Once the certificate information is uploaded, Azure considers this to be a trusted root certificate.

    Add-AzureRmVpnClientRootCertificate -VpnClientRootCertificateName $P2SRootCertName -VirtualNetworkGatewayname "VNet1GW" -ResourceGroupName "TestRG" -PublicCertData $CertBase64
    

7. Installer un certificat client exporté7. Install an exported client certificate

Si vous souhaitez créer une connexion P2S à partir d’un ordinateur client différent de celui que vous avez utilisé pour générer les certificats clients, vous devez installer un certificat client.If you want to create a P2S connection from a client computer other than the one you used to generate the client certificates, you need to install a client certificate. Quand vous installez un certificat client, vous avez besoin du mot de passe créé lors de l’exportation du certificat client.When installing a client certificate, you need the password that was created when the client certificate was exported.

Assurez-vous que le certificat client a été exporté dans un fichier .pfx avec la totalité de la chaîne du certificat (qui est la valeur par défaut).Make sure the client certificate was exported as a .pfx along with the entire certificate chain (which is the default). Dans le cas contraire, les informations du certificat racine ne sont pas présentes sur l’ordinateur client et le client ne pourra pas s’authentifier correctement.Otherwise, the root certificate information isn't present on the client computer and the client won't be able to authenticate properly.

Pour la procédure d’installation, consultez Installer un certificat client.For install steps, see Install a client certificate.

8. Configurer le client VPN natif8. Configure the native VPN client

Les fichiers de configuration du client VPN contiennent des paramètres pour configurer les appareils afin qu’ils puissent se connecter à un réseau virtuel via une connexion P2S.The VPN client configuration files contain settings to configure devices to connect to a VNet over a P2S connection. Pour obtenir des instructions permettant de générer et d’installer les fichiers de configuration du client VPN, consultez Créer et installer les fichiers de configuration du client VPN pour les configurations P2S d’authentification par certificat Azure native.For instructions to generate and install VPN client configuration files, see Create and install VPN client configuration files for native Azure certificate authentication P2S configurations.

9. Connexion à Azure9. Connect to Azure

Se connecter à partir d’un client VPN WindowsTo connect from a Windows VPN client

Note

Vous devez disposer de droits d’administrateur sur l’ordinateur client Windows à partir duquel vous vous connectez.You must have Administrator rights on the Windows client computer from which you are connecting.

  1. Pour vous connecter à votre réseau virtuel, sur l’ordinateur client, accédez aux connexions VPN et recherchez celle que vous avez créée.To connect to your VNet, on the client computer, navigate to VPN connections and locate the VPN connection that you created. Elle porte le même nom que votre réseau virtuel.It is named the same name as your virtual network. Cliquez sur Connecter.Click Connect. Un message contextuel faisant référence à l’utilisation du certificat peut s’afficher.A pop-up message may appear that refers to using the certificate. Cliquez sur Continuer pour utiliser des privilèges élevés.Click Continue to use elevated privileges.
  2. Dans la page de statut Connexion, cliquez sur Connecter pour démarrer la connexion.On the Connection status page, click Connect to start the connection. Si un écran Sélectionner un certificat apparaît, vérifiez que le certificat client affiché est celui que vous souhaitez utiliser pour la connexion.If you see a Select Certificate screen, verify that the client certificate showing is the one that you want to use to connect. Dans le cas contraire, utilisez la flèche déroulante pour sélectionner le certificat approprié, puis cliquez sur OK.If it is not, use the drop-down arrow to select the correct certificate, and then click OK.

    Connexion du client VPN à Azure

  3. Votre connexion est établie.Your connection is established.

    Connexion établie

Résolution des problèmes liés aux connexions P2S de client WindowsTroubleshooting Windows client P2S connections

Si vous avez des problèmes pour vous connecter, effectuez les vérifications suivantes :If you are having trouble connecting, check the following items:

  • Si vous avez exporté un certificat client, vérifiez que vous l’avez exporté au format .pfx à l’aide de la valeur par défaut « Inclure tous les certificats dans le chemin d’accès de certification, si possible ».If you exported a client certificate, make sure that you exported it as a .pfx file using the default value 'Include all certificates in the certification path if possible'. Lorsque vous exportez à l’aide de cette valeur, les informations de certificat racine sont également exportées.When you export it using this value, the root certificate information is also exported. Lorsque le certificat est installé sur l’ordinateur client, le certificat racine présent dans le fichier .pfx est également installé sur l’ordinateur client.When the certificate is installed on the client computer, the root certificate which is contained in the .pfx file is then also installed on the client computer. Les informations de certificat racine doivent être installées sur l’ordinateur client.The client computer must have the root certificate information installed. Pour vérifier, accédez à Gérer les certificats utilisateur, puis à Autorités de certification racines de confiance\Certificats.To check, go to Manage user certificates and navigate to Trusted Root Certification Authorities\Certificates. Vérifiez que le certificat racine est répertorié.Verify that the root certificate is listed. Le certificat racine doit être présent pour que l’authentification puisse fonctionner.The root certificate must be present in order for authentication to work.

  • Si vous utilisez un certificat qui a été émis à l’aide d’une autorité de certification d’entreprise et que vous rencontrez des problèmes pour l’authentification, vérifiez l’ordre de l’authentification sur le certificat client.If you are using a certificate that was issued using an Enterprise CA solution and are having trouble authenticating, check the authentication order on the client certificate. Vous pouvez vérifier l’ordre de la liste d’authentification en double-cliquant sur le certificat client et en accédant à Détails > Utilisation avancée de la clé.You can check the authentication list order by double-clicking the client certificate, and going to Details > Enhanced Key Usage. Vérifiez que la liste affiche « Authentification client » comme premier élément.Make sure the list shows 'Client Authentication' as the first item. Si ce n’est pas le cas, vous devez émettre un certificat client basé sur le modèle Utilisateur disposant de l’authentification client comme premier élément dans la liste.If not, you need to issue a client certificate based on the User template that has Client Authentication as the first item in the list.

  • Pour plus d’informations sur la résolution des problèmes liés à P2S, consultez Résoudre les problèmes de connexions liés à P2S.For additional P2S troubleshooting information, see Troubleshoot P2S connections.

Pour se connecter à partir d’un client VPN MacTo connect from a Mac VPN client

À partir de la boîte de dialogue Réseau, recherchez le profil de client que vous souhaitez utiliser, puis cliquez sur Connexion.From the Network dialog box, locate the client profile that you want to use, then click Connect.

Connexion Mac

Pour vérifier votre connexionTo verify your connection

Ces instructions s’appliquent aux clients Windows.These instructions apply to Windows clients.

  1. Pour vérifier que votre connexion VPN est active, ouvrez une invite de commandes avec élévation de privilèges, puis exécutez ipconfig/all.To verify that your VPN connection is active, open an elevated command prompt, and run ipconfig/all.
  2. Affichez les résultats.View the results. Notez que l’adresse IP que vous avez reçue est l’une des adresses du pool d’adresses de client VPN point à site que vous avez spécifiées dans votre configuration.Notice that the IP address you received is one of the addresses within the Point-to-Site VPN Client Address Pool that you specified in your configuration. Les résultats ressemblent à l’exemple qui suit :The results are similar to this example:

    PPP adapter VNet1:
       Connection-specific DNS Suffix .:
       Description.....................: VNet1
       Physical Address................:
       DHCP Enabled....................: No
       Autoconfiguration Enabled.......: Yes
       IPv4 Address....................: 172.16.201.3(Preferred)
       Subnet Mask.....................: 255.255.255.255
       Default Gateway.................:
       NetBIOS over Tcpip..............: Enabled
    

Se connecter à une machine virtuelleTo connect to a virtual machine

Ces instructions s’appliquent aux clients Windows.These instructions apply to Windows clients.

Vous pouvez vous connecter à une machine virtuelle déployée sur votre réseau virtuel en créant une connexion Bureau à distance à votre machine virtuelle.You can connect to a VM that is deployed to your VNet by creating a Remote Desktop Connection to your VM. La meilleure méthode pour vérifier initialement que vous pouvez vous connecter à votre machine virtuelle consiste à vous connecter à l’aide de son adresse IP privée, plutôt qu’avec le nom d’ordinateur.The best way to initially verify that you can connect to your VM is to connect by using its private IP address, rather than computer name. Vous testez ainsi si vous pouvez vous connecter, que la résolution de nom soit configurée correctement ou non.That way, you are testing to see if you can connect, not whether name resolution is configured properly.

  1. Recherchez l’adresse IP privée.Locate the private IP address. L’adresse IP privée d’une machine virtuelle peut être trouvée en étudiant les propriétés de la machine virtuelle dans le portail Azure ou à l’aide de PowerShell.You can find the private IP address of a VM by either looking at the properties for the VM in the Azure portal, or by using PowerShell.

    • Portail Azure : recherchez votre machine virtuelle dans le portail Azure.Azure portal - Locate your virtual machine in the Azure portal. Affichez les propriétés de la machine virtuelle.View the properties for the VM. L’adresse IP privée est répertoriée.The private IP address is listed.

    • PowerShell : utilisez l’exemple pour afficher la liste des machines virtuelles et adresses IP privées de vos groupes de ressources.PowerShell - Use the example to view a list of VMs and private IP addresses from your resource groups. Vous n’avez pas besoin de modifier cet exemple pour pouvoir l’utiliser.You don't need to modify this example before using it.

      $VMs = Get-AzureRmVM
      $Nics = Get-AzureRmNetworkInterface | Where VirtualMachine -ne $null
      
      foreach($Nic in $Nics)
      {
       $VM = $VMs | Where-Object -Property Id -eq $Nic.VirtualMachine.Id
       $Prv = $Nic.IpConfigurations | Select-Object -ExpandProperty PrivateIpAddress
       $Alloc = $Nic.IpConfigurations | Select-Object -ExpandProperty PrivateIpAllocationMethod
       Write-Output "$($VM.Name): $Prv,$Alloc"
      }
      
  2. Vérifiez que vous êtes connecté à votre réseau virtuel à l’aide de la connexion VPN point à site.Verify that you are connected to your VNet using the Point-to-Site VPN connection.

  3. Ouvrez une connexion Bureau à distance en saisissant « RDP » ou « Connexion Bureau à distance » dans la zone de recherche de la barre des tâches, puis sélectionnez la connexion Bureau à distance.Open Remote Desktop Connection by typing "RDP" or "Remote Desktop Connection" in the search box on the taskbar, then select Remote Desktop Connection. Vous pouvez également ouvrir une connexion Bureau à distance à l’aide de la commande « mstsc » dans PowerShell.You can also open Remote Desktop Connection using the 'mstsc' command in PowerShell.
  4. Dans Connexion Bureau à distance, entrez l’adresse IP privée de la machine virtuelle.In Remote Desktop Connection, enter the private IP address of the VM. Vous pouvez cliquer sur « Afficher les Options » pour définir des paramètres supplémentaires, puis connectez-vous.You can click "Show Options" to adjust additional settings, then connect.

Pour résoudre une connexion RDP à une machine virtuelleTo troubleshoot an RDP connection to a VM

Si vous rencontrez des problèmes de connexion à une machine virtuelle sur votre connexion VPN, vérifiez les points suivants :If you are having trouble connecting to a virtual machine over your VPN connection, check the following:

  • Vérifiez que votre connexion VPN aboutit.Verify that your VPN connection is successful.
  • Vérifiez que vous vous connectez à l’adresse IP privée de la machine virtuelle.Verify that you are connecting to the private IP address for the VM.
  • Utilisez « ipconfig » pour vérifier l’adresse IPv4 attribuée à l’adaptateur Ethernet sur l’ordinateur à partir duquel vous vous connectez.Use 'ipconfig' to check the IPv4 address assigned to the Ethernet adapter on the computer from which you are connecting. Si l’adresse IP est comprise dans la plage d’adresses du réseau virtuel auquel vous vous connectez, ou dans la plage d’adresses de votre VPNClientAddressPool, cette situation est désignée sous le terme d’espaces d’adressage qui se chevauchent.If the IP address is within the address range of the VNet that you are connecting to, or within the address range of your VPNClientAddressPool, this is referred to as an overlapping address space. Lorsque vos espaces d’adressage se chevauchent de cette façon, le trafic réseau n’atteint pas Azure et reste sur le réseau local.When your address space overlaps in this way, the network traffic doesn't reach Azure, it stays on the local network.
  • Si vous pouvez vous connecter à la machine virtuelle à l’aide de l’adresse IP privée, mais pas à l’aide du nom d’ordinateur, vérifiez que vous avez correctement configuré DNS.If you can connect to the VM using the private IP address, but not the computer name, verify that you have configured DNS properly. Pour plus d’informations sur le fonctionnement de la résolution de noms pour les machines virtuelles, consultez Résolution de noms pour les machines virtuelles.For more information about how name resolution works for VMs, see Name Resolution for VMs.
  • Vérifiez que le package de configuration du client VPN a été généré après que les adresses IP du serveur DNS ont été spécifiées pour le réseau virtuel.Verify that the VPN client configuration package was generated after the DNS server IP addresses were specified for the VNet. Si vous avez mis à jour les adresses IP du serveur DNS, générez et installez un package de configuration du client VPN.If you updated the DNS server IP addresses, generate and install a new VPN client configuration package.
  • Pour plus d’informations sur les connexions RDP, consultez Résoudre des problèmes de connexion Bureau à distance à une machine virtuelle.For more information about RDP connections, see Troubleshoot Remote Desktop connections to a VM.

Pour ajouter ou supprimer un certificat racineTo add or remove a root certificate

Vous pouvez ajouter et supprimer des certificats racines approuvés à partir d'Azure.You can add and remove trusted root certificates from Azure. Lorsque vous supprimez un certificat racine, les clients qui possèdent un certificat généré à partir de la racine ne peuvent pas s’authentifier, et ne seront donc pas en mesure de se connecter.When you remove a root certificate, clients that have a certificate generated from the root certificate can't authenticate and won't be able to connect. Si vous souhaitez que des clients s’authentifient et se connectent, vous devez installer un nouveau certificat client généré à partir d’un certificat racine approuvé (téléchargé) dans Azure.If you want a client to authenticate and connect, you need to install a new client certificate generated from a root certificate that is trusted (uploaded) to Azure.

Ajout d’un certificat racine approuvéTo add a trusted root certificate

Vous pouvez ajouter jusqu’à 20 fichiers .cer de certificat racine dans Azure.You can add up to 20 root certificate .cer files to Azure. La procédure ci-après vous permet d’ajouter un certificat racine :The following steps help you add a root certificate:

Méthode 1Method 1

Il s’agit de la méthode la plus efficace pour télécharger un certificat racine.This is the most efficient method to upload a root certificate.

  1. Préparez le fichier .cer à télécharger :Prepare the .cer file to upload:

    $filePathForCert = "C:\cert\P2SRootCert3.cer"
    $cert = new-object System.Security.Cryptography.X509Certificates.X509Certificate2($filePathForCert)
    $CertBase64_3 = [system.convert]::ToBase64String($cert.RawData)
    $p2srootcert = New-AzureRmVpnClientRootCertificate -Name $P2SRootCertName -PublicCertData $CertBase64_3
    
  2. Chargez le fichier.Upload the file. Vous ne pouvez charger qu’un seul fichier à la fois.You can only upload one file at a time.

    Add-AzureRmVpnClientRootCertificate -VpnClientRootCertificateName $P2SRootCertName -VirtualNetworkGatewayname "VNet1GW" -ResourceGroupName "TestRG" -PublicCertData $CertBase64_3
    
  3. Pour vérifier que le fichier de certificat est chargé :To verify that the certificate file uploaded:

    Get-AzureRmVpnClientRootCertificate -ResourceGroupName "TestRG" `
    -VirtualNetworkGatewayName "VNet1GW"
    

Méthode 2Method 2

Cette méthode comporte davantage d’étapes que la méthode 1, mais avec le même résultat.This method has more steps than Method 1, but has the same result. Il est inclus pour afficher les données de certificat en cas de besoin.It is included in case you need to view the certificate data.

  1. Créez et préparez le nouveau certificat racine à ajouter à Azure.Create and prepare the new root certificate to add to Azure. Exportez la clé publique en tant que fichier X.509 codé en Base64 (.CER) et ouvrez-la dans un éditeur de texte.Export the public key as a Base-64 encoded X.509 (.CER) and open it with a text editor. Copiez les valeurs, comme illustré dans l’exemple suivant :Copy the values, as shown in the following example:

    certificat

    Note

    Lors de la copie des données de certificat, assurez-vous que vous copiez le texte en une seule ligne continue sans retour chariot ou sauts de ligne.When copying the certificate data, make sure that you copy the text as one continuous line without carriage returns or line feeds. Vous devrez peut-être modifier l’affichage dans l’éditeur de texte en activant « Afficher les symboles/Afficher tous les caractères » pour afficher les retours chariot et sauts de ligne.You may need to modify your view in the text editor to 'Show Symbol/Show all characters' to see the carriage returns and line feeds.

  2. Indiquez le nom du certificat et les informations clés en tant que variable.Specify the certificate name and key information as a variable. Remplacez les informations par les vôtres, comme illustré dans l’exemple suivant :Replace the information with your own, as shown in the following example:

    $P2SRootCertName2 = "ARMP2SRootCert2.cer"
    $MyP2SCertPubKeyBase64_2 = "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"
    
  3. Ajoutez le nouveau certificat racine.Add the new root certificate. Vous ne pouvez ajouter qu’un seul certificat à la fois.You can only add one certificate at a time.

    Add-AzureRmVpnClientRootCertificate -VpnClientRootCertificateName $P2SRootCertName2 -VirtualNetworkGatewayname "VNet1GW" -ResourceGroupName "TestRG" -PublicCertData $MyP2SCertPubKeyBase64_2
    
  4. Vous pouvez vérifier que le nouveau certificat a été correctement ajouté à l'aide de l'exemple suivant :You can verify that the new certificate was added correctly by using the following example:

    Get-AzureRmVpnClientRootCertificate -ResourceGroupName "TestRG" `
    -VirtualNetworkGatewayName "VNet1GW"
    

Suppression d’un certificat racineTo remove a root certificate

  1. Déclarez les variables.Declare the variables.

    $GWName = "Name_of_virtual_network_gateway"
    $RG = "Name_of_resource_group"
    $P2SRootCertName2 = "ARMP2SRootCert2.cer"
    $MyP2SCertPubKeyBase64_2 = "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"
    
  2. Supprimez le certificat.Remove the certificate.

    Remove-AzureRmVpnClientRootCertificate -VpnClientRootCertificateName $P2SRootCertName2 -VirtualNetworkGatewayName $GWName -ResourceGroupName $RG -PublicCertData $MyP2SCertPubKeyBase64_2
    
  3. Utilisez l'exemple suivant pour vérifier que le certificat a été supprimé avec succès.Use the following example to verify that the certificate was removed successfully.

    Get-AzureRmVpnClientRootCertificate -ResourceGroupName "TestRG" `
    -VirtualNetworkGatewayName "VNet1GW"
    

Révocation d’un certificat clientTo revoke a client certificate

Vous pouvez révoquer des certificats clients.You can revoke client certificates. La liste de révocation de certificat vous permet de refuser sélectivement la connexion point à site en fonction des certificats clients individuels.The certificate revocation list allows you to selectively deny Point-to-Site connectivity based on individual client certificates. Cela est différent de la suppression d’un certificat racine approuvé.This is different than removing a trusted root certificate. Si vous supprimez un fichier .cer de certificat racine approuvé d’Azure, vous révoquez l’accès pour tous les certificats clients générés/signés par le certificat racine révoqué.If you remove a trusted root certificate .cer from Azure, it revokes the access for all client certificates generated/signed by the revoked root certificate. Le fait de révoquer un certificat client plutôt que le certificat racine permet de continuer à utiliser les autres certificats générés à partir du certificat racine pour l’authentification.Revoking a client certificate, rather than the root certificate, allows the other certificates that were generated from the root certificate to continue to be used for authentication.

La pratique courante consiste à utiliser le certificat racine pour gérer l'accès au niveaux de l'équipe ou de l'organisation, tout en utilisant des certificats clients révoqués pour le contrôle d'accès précis des utilisateurs individuels.The common practice is to use the root certificate to manage access at team or organization levels, while using revoked client certificates for fine-grained access control on individual users.

Révocation d'un certificat clientRevoke a client certificate

  1. Récupérez l’empreinte du certificat client.Retrieve the client certificate thumbprint. Pour plus d’informations, consultez l’article Comment : récupérer l’empreinte numérique d’un certificat.For more information, see How to retrieve the Thumbprint of a Certificate.
  2. Copiez les informations dans un éditeur de texte et supprimez tous les espaces afin d’obtenir une chaîne continue.Copy the information to a text editor and remove all spaces so that it is a continuous string. Cette chaîne est déclarée sous la forme d’une variable à l’étape suivante.This string is declared as a variable in the next step.
  3. Déclarez les variables.Declare the variables. Veillez à déclarer l’empreinte numérique que vous avez récupérée à l’étape précédente.Make sure to declare the thumbprint you retrieved in the previous step.

    $RevokedClientCert1 = "NameofCertificate"
    $RevokedThumbprint1 = "‎51ab1edd8da4cfed77e20061c5eb6d2ef2f778c7"
    $GWName = "Name_of_virtual_network_gateway"
    $RG = "Name_of_resource_group"
    
  4. Ajoutez l’empreinte numérique à la liste des certificats révoqués.Add the thumbprint to the list of revoked certificates. Une fois l’empreinte numérique ajoutée, le message « Réussi » s’affiche.You see "Succeeded" when the thumbprint has been added.

    Add-AzureRmVpnClientRevokedCertificate -VpnClientRevokedCertificateName $RevokedClientCert1 `
    -VirtualNetworkGatewayName $GWName -ResourceGroupName $RG `
    -Thumbprint $RevokedThumbprint1
    
  5. Vérifiez que l'empreinte numérique a été ajoutée à la liste de révocation de certificats.Verify that the thumbprint was added to the certificate revocation list.

    Get-AzureRmVpnClientRevokedCertificate -VirtualNetworkGatewayName $GWName -ResourceGroupName $RG
    
  6. Après avoir ajouté l’empreinte numérique, le certificat ne peut plus être utilisé pour se connecter.After the thumbprint has been added, the certificate can no longer be used to connect. Les clients qui tentent de se connecter à l’aide de ce certificat reçoivent un message indiquant que le certificat n’est plus valide.Clients that try to connect using this certificate receive a message saying that the certificate is no longer valid.

Réactivation d’un certificat clientTo reinstate a client certificate

Vous pouvez réactiver un certificat client en supprimant l'empreinte numérique de la liste des certificats clients révoqués.You can reinstate a client certificate by removing the thumbprint from the list of revoked client certificates.

  1. Déclarez les variables.Declare the variables. Assurez-vous de déclarer la bonne empreinte numérique pour le certificat que vous souhaitez rétablir.Make sure you declare the correct thumbprint for the certificate that you want to reinstate.

    $RevokedClientCert1 = "NameofCertificate"
    $RevokedThumbprint1 = "‎51ab1edd8da4cfed77e20061c5eb6d2ef2f778c7"
    $GWName = "Name_of_virtual_network_gateway"
    $RG = "Name_of_resource_group"
    
  2. Supprimez l’empreinte numérique du certificat de la liste de révocation de certificats.Remove the certificate thumbprint from the certificate revocation list.

    Remove-AzureRmVpnClientRevokedCertificate -VpnClientRevokedCertificateName $RevokedClientCert1 `
    -VirtualNetworkGatewayName $GWName -ResourceGroupName $RG -Thumbprint $RevokedThumbprint1
    
  3. Vérifiez si l'empreinte numérique est supprimée de la liste de révocation.Check if the thumbprint is removed from the revoked list.

    Get-AzureRmVpnClientRevokedCertificate -VirtualNetworkGatewayName $GWName -ResourceGroupName $RG
    

Forum Aux Questions sur les connexions point à sitePoint-to-Site FAQ

Combien de points de terminaison clients VPN puis-je avoir dans ma configuration point à site ?How many VPN client endpoints can I have in my Point-to-Site configuration?

Nous prenons en charge jusqu'à 128 clients VPN pouvant se connecter à un réseau virtuel en même temps.We support up to 128 VPN clients to be able to connect to a virtual network at the same time.

Quels systèmes d’exploitation client puis-je utiliser avec une connexion point à site ?What client operating systems can I use with Point-to-Site?

Les systèmes d’exploitation clients pris en charge sont les suivants :The following client operating systems are supported:

  • Windows 7 (32 bits et 64 bits)Windows 7 (32-bit and 64-bit)
  • Windows Server 2008 R2 (64 bits uniquement)Windows Server 2008 R2 (64-bit only)
  • Windows 8.1 (32 bits et 64 bits)Windows 8.1 (32-bit and 64-bit)
  • Windows Server 2012 (64 bits uniquement)Windows Server 2012 (64-bit only)
  • Windows Server 2012 R2 (64 bits uniquement)Windows Server 2012 R2 (64-bit only)
  • Windows Server 2016 (64 bits uniquement)Windows Server 2016 (64-bit only)
  • Windows 10Windows 10
  • Mac OS X version 10.11 (El Capitan)Mac OS X version 10.11 (El Capitan)
  • Mac OS X version 10.12 (Sierra)Mac OS X version 10.12 (Sierra)
  • Linux (StrongSwan)Linux (StrongSwan)
  • iOSiOS

Note

À compter du 1er juillet 2018, la passerelle VPN Azure ne prendra plus en charge TLS 1.0 et 1.1.Starting July 1, 2018, support is being removed for TLS 1.0 and 1.1 from Azure VPN Gateway. Elle prendra uniquement en charge TLS 1.2.VPN Gateway will support only TLS 1.2. Pour maintenir la prise en charge, consultez les mises à jour permettant la prise en charge de TLS 1.2.To maintain support, see the updates to enable support for TLS1.2.

Par ailleurs, les algorithmes hérités suivants sont également dépréciés pour TLS depuis le 1er juillet 2018 :Additionally, the following legacy algorithms will also be deprecated for TLS on July 1, 2018:

  • RC4 (Rivest Cipher 4)RC4 (Rivest Cipher 4)
  • DES (Data Encryption Algorithm)DES (Data Encryption Algorithm)
  • 3DES (Triple Data Encryption Algorithm)3DES (Triple Data Encryption Algorithm)
  • MD5 (Message Digest 5)MD5 (Message Digest 5)

Comment activer la prise en charge de TLS 1.2 dans Windows 7 et Windows 8.1 ?How do I enable support for TLS 1.2 in Windows 7 and Windows 8.1?

  1. Ouvrez une invite de commandes avec des privilèges élevés en cliquant avec le bouton droit sur Invite de commandes et en sélectionnant Exécuter en tant qu’administrateur.Open a command prompt with elevated privileges by right-clicking on Command Prompt and selecting Run as administrator.
  2. Exécutez les commandes suivantes à partir de l’invite de commandes :Run the following commands in the command prompt:

    reg add HKLM\SYSTEM\CurrentControlSet\Services\RasMan\PPP\EAP\13 /v TlsVersion /t REG_DWORD /d 0xfc0
    reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp" /v DefaultSecureProtocols /t REG_DWORD /d 0xaa0
    if %PROCESSOR_ARCHITECTURE% EQU AMD64 reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp" /v DefaultSecureProtocols /t REG_DWORD /d 0xaa0
    
  3. Installez les mises à jour suivantes :Install the following updates:

  4. Redémarrez l’ordinateur.Reboot the computer.

  5. Connectez-vous au VPN.Connect to the VPN.

Puis-je parcourir les serveurs proxy et les pare-feu à l’aide de la fonctionnalité point à site ?Can I traverse proxies and firewalls using Point-to-Site capability?

Azure prend en charge deux types d’options de VPN point à site :Azure supports two types of Point-to-site VPN options:

  • Protocole SSTP (Secure Socket Tunneling Protocol).Secure Socket Tunneling Protocol (SSTP). SSTP est une solution SSL propriétaire de Microsoft qui peut pénétrer les pare-feux, car la plupart des pare-feux ouvrent le port TCP 443 utilisé par SSL.SSTP is a Microsoft proprietary SSL-based solution that can penetrate firewalls since most firewalls open the TCP port that 443 SSL uses.

  • VPN IKEv2.IKEv2 VPN. Le VPN IKEv2 est une solution VPN IPsec basée sur des normes qui utilise les ports UDP 500 et 4500 ainsi que le protocole IP no.IKEv2 VPN is a standards-based IPsec VPN solution that uses UDP port 500 and 4500 and IP protocol no. 50.50. Les pare-feux n’ouvrent pas toujours ces ports. Il est donc possible que le VPN IKEv2 ne soit pas en mesure de parcourir les proxies et pare-feux.Firewalls do not always open these ports, so there is a possibility of IKEv2 VPN not being able to traverse proxies and firewalls.

Si je redémarre un ordinateur client avec une configuration point à site, le réseau VPN va-t-il se reconnecter automatiquement ?If I restart a client computer configured for Point-to-Site, will the VPN automatically reconnect?

Par défaut, l'ordinateur client ne rétablit pas automatiquement la connexion VPN.By default, the client computer will not reestablish the VPN connection automatically.

La configuration point à site prend-elle en charge la reconnexion automatique et DDNS sur les clients VPN ?Does Point-to-Site support auto-reconnect and DDNS on the VPN clients?

La reconnexion automatique et DDNS ne sont actuellement pas pris en charge dans les configurations VPN point à site.Auto-reconnect and DDNS are currently not supported in Point-to-Site VPNs.

Puis-je avoir des configurations coexistantes site à site et point à site pour un même réseau virtuel ?Can I have Site-to-Site and Point-to-Site configurations coexist for the same virtual network?

Oui.Yes. Pour le modèle de déploiement Resource Manager, vous devez disposer d’un type de VPN basé sur le routage pour votre passerelle.For the Resource Manager deployment model, you must have a RouteBased VPN type for your gateway. Pour le modèle de déploiement Classic, vous avez besoin d’une passerelle dynamique.For the classic deployment model, you need a dynamic gateway. Nous ne prenons pas en charge la configuration point à site pour les passerelles VPN à routage statique ou les passerelles VPN basée sur une stratégie.We do not support Point-to-Site for static routing VPN gateways or PolicyBased VPN gateways.

Puis-je configurer un client point à site pour me connecter à plusieurs réseaux virtuels en même temps ?Can I configure a Point-to-Site client to connect to multiple virtual networks at the same time?

Non.No. Un client point à site ne peut se connecter qu’aux ressources dans le réseau virtuel dans lequel réside la passerelle de réseau virtuel.A Point-to-Site client can only connect to resources in the VNet in which the virtual network gateway resides.

Quel débit puis-je attendre des connexions site à site ou point à site ?How much throughput can I expect through Site-to-Site or Point-to-Site connections?

Il est difficile de maintenir le débit exact des tunnels VPN.It's difficult to maintain the exact throughput of the VPN tunnels. IPsec et SSTP sont des protocoles VPN de chiffrement lourd.IPsec and SSTP are crypto-heavy VPN protocols. Le débit est également limité par la latence et la bande passante entre vos locaux et Internet.Throughput is also limited by the latency and bandwidth between your premises and the Internet. Pour une passerelle VPN ne disposant que des connexions VPN point à site IKEv2, le débit total que vous obtiendrez dépend de la référence SKU de passerelle.For a VPN Gateway with only IKEv2 Point-to-Site VPN connections, the total throughput that you can expect depends on the Gateway SKU. Pour plus d’informations sur le débit, consultez Références SKU de passerelle.For more information on throughput, see Gateway SKUs.

Puis-je utiliser un client VPN logiciel pour une connexion point à site prenant en charge SSTP et/ou IKEv2 ?Can I use any software VPN client for Point-to-Site that supports SSTP and/or IKEv2?

Non.No. Vous ne pouvez utiliser le client VPN natif sur Windows que pour SSTP et pour le client VPN natif sur Mac pour IKEv2.You can only use the native VPN client on Windows for SSTP, and the native VPN client on Mac for IKEv2. Reportez-vous à la liste des systèmes d’exploitation client pris en charge.Refer to the list of supported client operating systems.

Azure prend-elle en charge le VPN IKEv2 avec Windows ?Does Azure support IKEv2 VPN with Windows?

Le protocole IKEv2 est pris en charge sur Windows 10 et Server 2016.IKEv2 is supported on Windows 10 and Server 2016. Toutefois, pour pouvoir utiliser le protocole IKEv2, vous devez installer les mises à jour et définir une valeur de clé de Registre localement.However, in order to use IKEv2, you must install updates and set a registry key value locally. Les versions du système d’exploitation antérieures à Windows 10 ne sont pas prises en charge et ne peuvent utiliser que SSTP.OS versions prior to Windows 10 are not supported and can only use SSTP.

Pour préparer Windows 10 ou Server 2016 pour IKEv2 :To prepare Windows 10 or Server 2016 for IKEv2:

  1. Installez la mise à jour.Install the update.

    Version du SEOS version DateDate Nombre/lienNumber/Link
    Windows Server 2016Windows Server 2016
    Windows 10 version 1607Windows 10 Version 1607
    17 janvier 2018January 17, 2018 KB4057142KB4057142
    Windows 10 version 1703Windows 10 Version 1703 17 janvier 2018January 17, 2018 KB4057144KB4057144
  2. Définissez la valeur de clé de Registre.Set the registry key value. Créer ou de définir la clé REG_DWORD « HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\ IKEv2\DisableCertReqPayload » sur 1 dans le Registre.Create or set “HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\ IKEv2\DisableCertReqPayload” REG_DWORD key in the registry to 1.

Que se passe-t-il lorsque je configure SSTP et IKEv2 pour les connexions VPN P2S ?What happens when I configure both SSTP and IKEv2 for P2S VPN connections?

Lorsque vous configurez SSTP et IKEv2 dans un environnement mixte (composé d’appareils Windows et Mac), le client VPN Windows essaiera toujours le tunnel IKEv2 d’abord, mais il reviendra à SSTP si la connexion IKEv2 n’a pas abouti.When you configure both SSTP and IKEv2 in a mixed environment (consisting of Windows and Mac devices), the Windows VPN client will always try IKEv2 tunnel first, but will fall back to SSTP if the IKEv2 connection is not successful. MacOSX se connecte uniquement via le protocole IKEv2.MacOSX will only connect via IKEv2.

À part Windows et Mac, quelles autres plateformes sont prises en charge par Azure pour le réseau VPN P2S ?Other than Windows and Mac, which other platforms does Azure support for P2S VPN?

Azure prend en charge Windows, Mac et Linux pour les VPN de point à site (P2S).Azure supports Windows, Mac and Linux for P2S VPN.

J’ai déjà une passerelle VPN Azure déployée.I already have an Azure VPN Gateway deployed. Puis-je activer RADIUS et/ou le réseau VPN IKEv2 sur celle-ci ?Can I enable RADIUS and/or IKEv2 VPN on it?

Oui, vous pouvez activer ces nouvelles fonctionnalités sur les passerelles déjà déployées à l’aide de Powershell ou du portail Azure, pourvu que la référence SKU de passerelle utilisée prenne en charge RADIUS et/ou IKEv2.Yes, you can enable these new features on already deployed gateways using Powershell or the Azure portal, provided that the gateway SKU that you are using supports RADIUS and/or IKEv2. Par exemple, la référence SKU de base de passerelle VPN ne prend pas en charge RADIUS ou IKEv2.For example, the VPN gateway Basic SKU does not support RADIUS or IKEv2.

Puis-je utiliser ma propre AC racine PKI interne pour une connectivité point à site ?Can I use my own internal PKI root CA for Point-to-Site connectivity?

Oui.Yes. Auparavant, seuls les certificats racines auto-signés pouvaient être utilisés.Previously, only self-signed root certificates could be used. Vous pouvez toujours charger 20 certificats racine.You can still upload 20 root certificates.

Quels outils puis-je utiliser pour créer des certificats ?What tools can I use to create certificates?

Vous pouvez utiliser votre solution de PKI d’entreprise (votre PKI interne), Azure PowerShell, MakeCert et OpenSSL.You can use your Enterprise PKI solution (your internal PKI), Azure PowerShell, MakeCert, and OpenSSL.

Y a-t-il des instructions pour les paramètres de certificat ?Are there instructions for certificate settings and parameters?

  • PKI interne/Solution PKI d’entreprise : reportez-vous aux étapes de génération des certificats.Internal PKI/Enterprise PKI solution: See the steps to Generate certificates.

  • Azure PowerShell : consultez l’article Azure PowerShell pour connaître la procédure.Azure PowerShell: See the Azure PowerShell article for steps.

  • MakeCert : consultez l’article MakeCert pour connaître la procédure.MakeCert: See the MakeCert article for steps.

  • OpenSSL :OpenSSL:

    • Lors de l’exportation de certificats, veillez à convertir le certificat racine en Base64.When exporting certificates, be sure to convert the root certificate to Base64.

    • Pour le certificat client :For the client certificate:

      • Lorsque vous créez la clé privée, spécifiez la longueur 4096.When creating the private key, specify the length as 4096.
      • Lors de la création du certificat, pour le paramètre -extensions, spécifiez usr_cert.When creating the certificate, for the -extensions parameter, specify usr_cert.

Étapes suivantesNext steps

Une fois la connexion achevée, vous pouvez ajouter des machines virtuelles à vos réseaux virtuels.Once your connection is complete, you can add virtual machines to your virtual networks. Pour plus d’informations, consultez Machines virtuelles.For more information, see Virtual Machines. Pour plus d’informations sur la mise en réseau et les machines virtuelles, consultez Vue d’ensemble du réseau de machines virtuelles Azure et Linux.To understand more about networking and virtual machines, see Azure and Linux VM network overview.

Pour plus d’informations sur la résolution des problèmes liés aux connexions de point à site, consultez l’article Résolution des problèmes de connexion de point à site Azure.For P2S troubleshooting information, Troubleshooting: Azure point-to-site connection problems.