Configurez une connexion point à site à un réseau virtuel à l’aide de l’authentification par certificat Azure native : Portail AzureConfigure a Point-to-Site VPN connection to a VNet using native Azure certificate authentication: Azure portal

Cet article vous permet de connecter en toute sécurité des clients individuels qui exécutent Windows, Linux ou Mac OS X à un réseau virtuel Azure.This article helps you securely connect individual clients running Windows, Linux, or Mac OS X to an Azure VNet. Les connexions VPN point à site sont utiles lorsque vous souhaitez vous connecter à votre réseau virtuel à partir d’un emplacement distant, par exemple lorsque vous travaillez à distance depuis votre domicile ou en conférence.Point-to-Site VPN connections are useful when you want to connect to your VNet from a remote location, such when you are telecommuting from home or a conference. La connexion P2S est une solution alternative au VPN de site à site lorsque seul un nombre restreint de clients doivent se connecter à un réseau virtuel.You can also use P2S instead of a Site-to-Site VPN when you have only a few clients that need to connect to a VNet. Les connexions de point à site ne nécessitent pas de périphérique VPN ou d’adresse IP publique.Point-to-Site connections do not require a VPN device or a public-facing IP address. La connexion P2S crée la connexion VPN via SSTP (Secure Socket Tunneling Protocol) ou IKEv2.P2S creates the VPN connection over either SSTP (Secure Socket Tunneling Protocol), or IKEv2. Pour plus d’informations sur le VPN de point à site, consultez l’article À propos du VPN de point à site.For more information about Point-to-Site VPN, see About Point-to-Site VPN.

Diagramme de connexion d’un ordinateur à un réseau virtuel Azure à l’aide d’une passerelle point à site

ArchitectureArchitecture

Les connexions d’authentification avec certificat Azure natif de point à site utilisent les éléments suivants, que vous pouvez configurer dans cet exercice :Point-to-Site native Azure certificate authentication connections use the following items, which you configure in this exercise:

  • Une passerelle VPN RouteBased.A RouteBased VPN gateway.
  • La clé publique (fichier .cer) d’un certificat racine, chargée sur Azure.The public key (.cer file) for a root certificate, which is uploaded to Azure. Une fois le certificat chargé, il est considéré comme un certificat approuvé et est utilisé pour l’authentification.Once the certificate is uploaded, it is considered a trusted certificate and is used for authentication.
  • Un certificat client généré à partir du certificat racine.A client certificate that is generated from the root certificate. Le certificat client installé sur chaque ordinateur client qui se connecte au réseau virtuel.The client certificate installed on each client computer that will connect to the VNet. Ce certificat est utilisé pour l’authentification du client.This certificate is used for client authentication.
  • Une configuration du client VPN.A VPN client configuration. Les fichiers de configuration du client VPN contiennent les informations nécessaires permettant au client de se connecter sur le réseau virtuel.The VPN client configuration files contain the necessary information for the client to connect to the VNet. Les fichiers configurent le client VPN existant qui est natif au système d’exploitation.The files configure the existing VPN client that is native to the operating system. Chaque client qui se connecte doit être configuré à l’aide des paramètres dans les fichiers de configuration.Each client that connects must be configured using the settings in the configuration files.

Exemples de valeursExample values

Vous pouvez utiliser ces valeurs pour créer un environnement de test ou vous y référer pour mieux comprendre les exemples de cet article :You can use the following values to create a test environment, or refer to these values to better understand the examples in this article:

  • Nom du réseau virtuel : VNet1VNet Name: VNet1
  • Espace d’adressage : 10.1.0.0/16Address space: 10.1.0.0/16
    Pour cet exemple, nous n’utilisons qu’un seul espace d’adressage.For this example, we use only one address space. Vous pouvez avoir plusieurs espaces d’adressage pour votre réseau virtuel.You can have more than one address space for your VNet.
  • Nom du sous-réseau : FrontEndSubnet name: FrontEnd
  • Plage d'adresses du sous-réseau : 10.1.0.0/24Subnet address range: 10.1.0.0/24
  • Abonnement : vérifiez que vous utilisez l’abonnement approprié si vous en possédez plusieurs.Subscription: If you have more than one subscription, verify that you are using the correct one.
  • Groupe de ressources : TestRG1Resource Group: TestRG1
  • Emplacement : USA EstLocation: East US
  • GatewaySubnet : 10.1.255.0/27GatewaySubnet: 10.1.255.0/27
  • Nom de la passerelle de réseau virtuel : VNet1GWVirtual network gateway name: VNet1GW
  • Type de passerelle : VPNGateway type: VPN
  • Type de VPN : basé sur la routeVPN type: Route-based
  • Nom de l'adresse IP publique : VNet1GWpipPublic IP address name: VNet1GWpip
  • Type de connexion : Point à siteConnection type: Point-to-site
  • Pool d'adresses des clients : 172.16.201.0/24Client address pool: 172.16.201.0/24
    Les clients VPN qui se connectent au réseau virtuel à l’aide de cette connexion point à site reçoivent une adresse IP de ce pool d’adresses des clients.VPN clients that connect to the VNet using this Point-to-Site connection receive an IP address from the client address pool.

1. Créez un réseau virtuel1. Create a virtual network

Avant de commencer, assurez-vous que vous disposez d’un abonnement Azure.Before beginning, verify that you have an Azure subscription. Si vous ne disposez pas déjà d’un abonnement Azure, vous pouvez activer vos avantages abonnés MSDN ou créer un compte gratuit.If you don't already have an Azure subscription, you can activate your MSDN subscriber benefits or sign up for a free account.

Vous pouvez créer un réseau virtuel avec le modèle de déploiement Resource Manager et le portail Azure en suivant ces étapes.You can create a VNet with the Resource Manager deployment model and the Azure portal by following these steps. Pour plus d’informations sur les réseaux virtuels, consultez Présentation du réseau virtuel.For more information about virtual networks, see Virtual Network overview.

Notes

Quand vous utilisez un réseau virtuel dans le cadre d’une architecture incluant différents locaux, veillez à prendre contact avec votre administrateur de réseau local pour définir une plage d’adresses IP à utiliser spécifiquement pour ce réseau virtuel.When using a virtual network as part of a cross-premises architecture, be sure to coordinate with your on-premises network administrator to carve out an IP address range that you can use specifically for this virtual network. Si une plage d’adresses en double existe des deux côtés de la connexion VPN, le trafic sera acheminé de manière inattendue.If a duplicate address range exists on both sides of the VPN connection, traffic will route in an unexpected way. En outre, si vous souhaitez connecter ce réseau à un autre réseau virtuel, l’espace d’adressage ne peut pas chevaucher celui de l’autre réseau virtuel.Additionally, if you want to connect this virtual network to another virtual network, the address space cannot overlap with the other virtual network. Planifiez votre configuration réseau en conséquence.Plan your network configuration accordingly.

  1. Connectez-vous au portail Azure.Sign in to the Azure portal.

  2. Dans Rechercher dans les ressources, services et documents (G+/) , tapez réseau virtuel.In Search resources, service, and docs (G+/), type virtual network.

    Localiser la page de ressource Réseau virtuelLocate Virtual Network resource page

  3. Sélectionnez Réseau virtuel dans les résultats sous Place de marché.Select Virtual Network from the Marketplace results.

    Sélectionner un réseau virtuelSelect virtual network

  4. Dans la page Réseau virtuel, sélectionnez Créer.On the Virtual Network page, select Create.

    Page Réseau virtuelvirtual network page

  5. Quand vous sélectionnez Créer, la page Créer un réseau virtuel s’ouvre.Once you select Create, the Create virtual network page opens.

  6. Sous l’onglet Informations de base, configurez les paramètres de réseau virtuel Détails du projet et Détails de l’instance.On the Basics tab, configure Project details and Instance details VNet settings.

    Onglet Informations de base Quand vous renseignez les champs, une coche verte indique que les caractères entrés sont validés.Basics tab When you fill in the fields, you see a green check mark when the characters you enter in the field are validated. Certaines valeurs sont renseignées automatiquement, et vous pouvez les remplacer par vos propres valeurs :Some values are autofilled, which you can replace with your own values:

    • Abonnement: vérifiez que l’abonnement listé est approprié.Subscription: Verify that the subscription listed is the correct one. Vous pouvez modifier des abonnements à l’aide de la liste déroulante.You can change subscriptions by using the drop-down.
    • Groupe de ressources : sélectionnez un groupe de ressources existant ou cliquez sur Créer pour en créer un.Resource group: Select an existing resource group, or click Create new to create a new one. Pour plus d’informations sur les groupes de ressources, consultez Vue d’ensemble d’Azure Resource Manager.For more information about resource groups, see Azure Resource Manager overview.
    • Name : entrez le nom du réseau virtuel.Name: Enter the name for your virtual network.
    • Région : sélectionnez l’emplacement du réseau virtuel.Region: Select the location for your VNet. L’emplacement détermine où se trouveront les ressources que vous déployez sur ce réseau virtuel.The location determines where the resources that you deploy to this VNet will live.
  7. Configurez les valeurs de l’onglet Adresses IP.On the IP Addresses tab, configure the values. Les valeurs indiquées dans les exemples ci-dessous sont présentées à des fins de démonstration.The values shown in the examples below are for demonstration purposes. Définissez ces valeurs selon les paramètres dont vous avez besoin.Adjust these values according to the settings that you require.

    Onglet Adresses IPIP addresses tab

    • Espace d’adressage IPv4 : Un espace d’adressage est créé automatiquement par défaut.IPv4 address space: By default, an address space is automatically created. Vous pouvez cliquer sur l’espace d’adressage pour le définir selon vos propres valeurs.You can click the address space to adjust it to reflect your own values. Vous pouvez également ajouter des espaces d’adressage.You can also add additional address spaces.
    • IPv6 : Si votre configuration nécessite un espace d’adressage IPv6, cochez la case Ajouter un espace d’adressage IPv6 pour entrer cette information.IPv6: If your configuration requires IPv6 address space, select the Add IPv6 address space box to enter that information.
    • Sous-réseau : Si vous utilisez l’espace d’adressage par défaut, un sous-réseau par défaut est créé automatiquement.Subnet: If you use the default address space, a default subnet is created automatically. Si vous modifiez l’espace d’adressage, vous devez ajouter un sous-réseau.If you change the address space, you need to add a subnet. Sélectionnez + Ajouter un sous-réseau pour ouvrir la fenêtre Ajouter un sous-réseau.Select + Add subnet to open the Add subnet window. Configurez les paramètres suivants, puis sélectionnez Ajouter pour ajouter les valeurs :Configure the following settings and then select Add to add the values:
      • Nom du sous-réseau : dans cet exemple, nous avons nommé le sous-réseau « FrontEnd ».Subnet name: In this example, we named the subnet "FrontEnd".
      • Plage d’adresses de sous-réseau : plage d’adresses de ce sous-réseau.Subnet address range: The address range for this subnet.
  8. Dans l’onglet Sécurité, conservez les valeurs par défaut pour le moment :On the Security tab, at this time, leave the default values:

    • Protection DDoS : De baseDDos protection: Basic
    • Pare-feu : DésactivéFirewall: Disabled
  9. Sélectionnez Vérifier + créer pour vérifier les paramètres de réseau virtuel.Select Review + create to validate the virtual network settings.

  10. Une fois les paramètres vérifiés, sélectionnez Créer.After the settings have been validated, select Create.

2. Créer une passerelle de réseau virtuel2. Create a virtual network gateway

Dans cette étape, vous créez la passerelle de réseau virtuel de votre réseau virtuel.In this step, you create the virtual network gateway for your VNet. La création d’une passerelle nécessite généralement au moins 45 minutes, selon la référence SKU de passerelle sélectionnée.Creating a gateway can often take 45 minutes or more, depending on the selected gateway SKU.

Notes

La référence SKU de passerelle De base ne prend pas en charge IKEv2 ou l’authentification RADIUS.The Basic gateway SKU does not support IKEv2 or RADIUS authentication. Si vous envisagez de connecter des clients Mac à votre réseau virtuel, n’utilisez pas la référence SKU De base.If you plan on having Mac clients connect to your virtual network, do not use the Basic SKU.

La passerelle de réseau virtuel utilise un sous-réseau spécifique, appelé sous-réseau de passerelle.The virtual network gateway uses specific subnet called the gateway subnet. Le sous-réseau de passerelle fait partie de la plage d’adresses IP du réseau virtuel que vous spécifiez lors de la configuration de votre réseau virtuel.The gateway subnet is part of the virtual network IP address range that you specify when configuring your virtual network. Il contient les adresses IP utilisées par les ressources et les services de passerelle de réseau virtuel.It contains the IP addresses that the virtual network gateway resources and services use.

Lorsque vous créez le sous-réseau de passerelle, vous spécifiez le nombre d’adresses IP que contient le sous-réseau.When you create the gateway subnet, you specify the number of IP addresses that the subnet contains. Le nombre d’adresses IP requises varie selon la configuration de la passerelle VPN que vous souhaitez créer.The number of IP addresses needed depends on the VPN gateway configuration that you want to create. Certaines configurations nécessitent plus d’adresses IP que d’autres.Some configurations require more IP addresses than others. Nous vous recommandons de créer un sous-réseau de passerelle dont la taille est définie sur /27 ou /28.We recommend that you create a gateway subnet that uses a /27 or /28.

Si une erreur s’affiche indiquant que l’espace d’adressage chevauche un sous-réseau, ou que le sous-réseau n’est pas contenu dans l’espace d’adressage de votre réseau virtuel, vérifiez la plage d’adresses de votre réseau virtuel.If you see an error that specifies that the address space overlaps with a subnet, or that the subnet is not contained within the address space for your virtual network, check your VNet address range. Vous n’avez peut-être pas suffisamment d’adresses IP disponibles dans la plage d’adresses que vous avez créée pour votre réseau virtuel.You may not have enough IP addresses available in the address range you created for your virtual network. Par exemple, si votre sous-réseau par défaut englobe la plage d’adresses complète, il n’y a plus d’adresses IP disponibles pour créer des sous-réseaux supplémentaires.For example, if your default subnet encompasses the entire address range, there are no IP addresses left to create additional subnets. Vous pouvez ajuster vos sous-réseaux au sein de l’espace d’adressage existant pour libérer des adresses IP, ou spécifier une plage d’adresses supplémentaire pour y créer le sous-réseau de passerelle.You can either adjust your subnets within the existing address space to free up IP addresses, or specify an additional address range and create the gateway subnet there.

  1. Dans le menu du portail Azure, sélectionnez Créer une ressource.From the Azure portal menu, select Create a resource.

    Créer une ressource dans le portail Azure

  2. Dans le champ Rechercher dans le marketplace, tapez « passerelle de réseau virtuel ».In the Search the Marketplace field, type 'Virtual Network Gateway'. Recherchez passerelle de réseau virtuel dans les résultats de la recherche et sélectionnez l’entrée.Locate Virtual network gateway in the search return and select the entry. Dans la page Passerelle de réseau virtuel, sélectionnez Créer.On the Virtual network gateway page, select Create. La page Créer une passerelle de réseau virtuel s’ouvre.This opens the Create virtual network gateway page.

  3. Dans l’onglet Informations de base, renseignez les valeurs de la passerelle de réseau virtuel.On the Basics tab, fill in the values for your virtual network gateway.

    Champs de la page Créer une passerelle de réseau virtuelCreate virtual network gateway page fields

    Champs de la page Créer une passerelle de réseau virtuelCreate virtual network gateway page fields

    Détails du projetProject details

    • Abonnement: Sélectionnez l’abonnement à utiliser dans la liste déroulante.Subscription: Select the subscription you want to use from the dropdown.
    • Groupe de ressources : Ce paramètre est renseigné automatiquement quand vous sélectionnez votre réseau virtuel sur cette page.Resource Group: This setting is autofilled when you select your virtual network on this page.

    Détails de l’instanceInstance details

    • Name : Nommez votre passerelle.Name: Name your gateway. Le nommage de votre passerelle n’est pas identique au nommage d’un sous-réseau de passerelle.Naming your gateway not the same as naming a gateway subnet. Il s’agit du nom de l’objet de passerelle que vous créez.It's the name of the gateway object you are creating.
    • Région : Sélectionnez la région où vous voulez créer cette ressource.Region: Select the region in which you want to create this resource. La région de la passerelle doit être la même que celle du réseau virtuel.The region for the gateway must be the same as the virtual network.
    • Type de passerelle : Sélectionnez VPN.Gateway type: Select VPN. Les passerelles VPN utilisent le type de passerelle de réseau virtuel VPN.VPN gateways use the virtual network gateway type VPN.
    • Type de VPN : sélectionnez le type de VPN spécifié pour votre configuration.VPN type: Select the VPN type that is specified for your configuration. La plupart des configurations requièrent un type de VPN basé sur un itinéraire.Most configurations require a Route-based VPN type.
    • SKU : Sélectionnez la référence SKU de la passerelle dans la liste déroulante.SKU: Select the gateway SKU from the dropdown. Les références répertoriées dans la liste déroulante dépendent du type de VPN que vous sélectionnez.The SKUs listed in the dropdown depend on the VPN type you select. Pour plus d’informations sur les références de passerelle, consultez Références (SKU) de passerelle.For more information about gateway SKUs, see Gateway SKUs.
    • Génération : pour plus d’informations sur la génération de passerelles VPN, consultez SKU de passerelle.Generation: For information about VPN Gateway Generation, see Gateway SKUs.
    • Réseau virtuel : sélectionnez le réseau virtuel auquel vous souhaitez ajouter cette passerelle dans la liste déroulante.Virtual network: From the dropdown, select the virtual network to which you want to add this gateway.
    • Plage d’adresses de sous-réseau de la passerelle : Ce champ apparaît uniquement si votre réseau virtuel n’a pas de sous-réseau de passerelle.Gateway subnet address range: This field only appears if your VNet doesn't have a gateway subnet. Dans la mesure du possible, utilisez la plage /27 ou au-delà (/26, /25, etc.).If possible, make the range /27 or larger (/26,/25 etc.). Nous vous déconseillons de créer une plage inférieure à /28.We don't recommend creating a range any smaller than /28. Si vous disposez déjà d’un sous-réseau de passerelle, vous pouvez en voir les détails en accédant à votre réseau virtuel.If you already have a gateway subnet, you can view GatewaySubnet details by navigating to your virtual network. Cliquez sur Sous-réseaux pour afficher la plage.Click Subnets to view the range. Si vous souhaitez modifier la plage, vous pouvez supprimer et recréer le sous-réseau de passerelle.If you want to change the range, you can delete and recreate the GatewaySubnet.

    Adresse IP publique : Ce paramètre spécifie l’objet d’adresse IP publique associé à la passerelle VPN.Public IP address: This setting specifies the public IP address object that gets associated to the VPN gateway. L’adresse IP publique est attribuée dynamiquement à cet objet pendant la création de la passerelle VPN.The public IP address is dynamically assigned to this object when the VPN gateway is created. L’adresse IP publique change uniquement lorsque la passerelle est supprimée, puis recréée.The only time the Public IP address changes is when the gateway is deleted and re-created. Elle n’est pas modifiée lors du redimensionnement, de la réinitialisation ou des autres opérations de maintenance/mise à niveau internes de votre passerelle VPN.It doesn't change across resizing, resetting, or other internal maintenance/upgrades of your VPN gateway.

    • Adresse IP publique : Laissez l’option Créer sélectionnée.Public IP address: Leave Create new selected.
    • Nom de l’adresse IP publique : Dans la zone de texte, tapez un nom pour votre instance d’adresse IP publique.Public IP address name: In the text box, type a name for your public IP address instance.
    • Attribution : La passerelle VPN prend en charge seulement le mode dynamique.Assignment: VPN gateway supports only Dynamic.

    Mode actif/actif : Sélectionnez uniquement Activer le mode actif / actif si vous créez une configuration de passerelle active/active.Active-Active mode: Only select Enable active-active mode if you are creating an active-active gateway configuration. Sinon, ne sélectionnez pas ce paramètre.Otherwise, leave this setting unselected.

    Laissez l’option Configurer un ASN BGP désélectionnée, sauf si votre configuration exige spécifiquement ce paramètre.Leave Configure BGP ASN deselected, unless your configuration specifically requires this setting. Si vous avez besoin de ce paramètre, la valeur par défaut ASN est 65515, bien que vous puissiez la modifier.If you do require this setting, the default ASN is 65515, although this can be changed.

  4. Sélectionnez Vérifier + créer pour exécuter la validation.Select Review + create to run validation. Une fois la validation réussie, sélectionnez Créer pour déployer la passerelle VPN.Once validation passes, select Create to deploy the VPN gateway. La création et le déploiement complets d’une passerelle peuvent prendre jusqu’à 45 minutes.A gateway can take up to 45 minutes to fully create and deploy. Vous pouvez voir l’état du déploiement dans la page Vue d’ensemble pour votre passerelle.You can see the deployment status on the Overview page for your gateway.

Une fois la passerelle créée, examinez le réseau virtuel dans le portail pour obtenir l’adresse IP affectée à la passerelle.After the gateway is created, you can view the IP address that has been assigned to it by looking at the virtual network in the portal. Cette dernière apparaît sous la forme d’un appareil connecté.The gateway appears as a connected device.

3. Générer des certificats3. Generate certificates

Les certificats sont utilisés par Azure pour authentifier les clients qui se connectent à un réseau virtuel via une connexion VPN point à site.Certificates are used by Azure to authenticate clients connecting to a VNet over a Point-to-Site VPN connection. Une fois que vous avez obtenu le certificat racine, vous chargez les informations de la clé publique du certificat racine vers Azure.Once you obtain a root certificate, you upload the public key information to Azure. Le certificat racine est alors considéré comme « approuvé » par Azure pour la connexion via P2S sur le réseau virtuel.The root certificate is then considered 'trusted' by Azure for connection over P2S to the virtual network. Vous générez également des certificats de client à partir du certificat racine approuvé, puis vous les installez sur chaque ordinateur client.You also generate client certificates from the trusted root certificate, and then install them on each client computer. Le certificat permet d’authentifier le client lorsqu’il établit une connexion avec le réseau virtuel.The client certificate is used to authenticate the client when it initiates a connection to the VNet.

1. Obtenir le fichier .cer pour le certificat racine1. Obtain the .cer file for the root certificate

Utilisez un certificat racine qui a été généré à l’aide d’une solution d’entreprise (recommandé), ou générez un certificat auto-signé.Use either a root certificate that was generated with an enterprise solution (recommended), or generate a self-signed certificate. Après avoir créé le certificat racine, exportez les données de certificat public (et non la clé privée) en tant que fichier .cer X.509 encodé en Base64.After you create the root certificate, export the public certificate data (not the private key) as a Base64 encoded X.509 .cer file. Ensuite, chargez les données de certificat public sur le serveur Azure.Then, upload the public certificate data to the Azure server.

  • Certificat d’entreprise : Si vous utilisez une solution d’entreprise, vous pouvez utiliser votre chaîne d’approbation existante.Enterprise certificate: If you're using an enterprise solution, you can use your existing certificate chain. Obtenez le fichier .cer pour le certificat racine que vous souhaitez utiliser.Acquire the .cer file for the root certificate that you want to use.

  • Certificat racine auto-signé : Si vous n’utilisez pas de solution de certificat d’entreprise, créez un certificat racine auto-signé.Self-signed root certificate: If you aren't using an enterprise certificate solution, create a self-signed root certificate. Dans le cas contraire, les certificats que vous créez ne seront pas compatibles avec vos connexions P2S, et les clients recevront une erreur de connexion lorsqu’ils essaieront de se connecter.Otherwise, the certificates you create won't be compatible with your P2S connections and clients will receive a connection error when they try to connect. Vous pouvez utiliser Azure PowerShell, MakeCert ou OpenSSL.You can use Azure PowerShell, MakeCert, or OpenSSL. Les procédures décrites dans les articles suivants expliquent comment générer un certificat racine auto-signé compatible :The steps in the following articles describe how to generate a compatible self-signed root certificate:

    • Instructions pour PowerShell sous Windows 10 : Ces instructions requièrent Windows 10 et PowerShell pour générer des certificats.Windows 10 PowerShell instructions: These instructions require Windows 10 and PowerShell to generate certificates. Les certificats clients qui sont générés à partir du certificat racine peuvent être installés sur n’importe quel client P2S pris en charge.Client certificates that are generated from the root certificate can be installed on any supported P2S client.
    • Instructions pour MakeCert : Si vous n’avez pas accès à un ordinateur Windows 10, utilisez MakeCert pour générer des certificats.MakeCert instructions: Use MakeCert if you don't have access to a Windows 10 computer to use to generate certificates. Même si MakeCert est déconseillé, vous pouvez toujours l’utiliser pour générer des certificats.Although MakeCert is deprecated, you can still use it to generate certificates. Les certificats clients que vous générez à partir du certificat racine peuvent être installés sur n’importe quel client P2S pris en charge.Client certificates that you generate from the root certificate can be installed on any supported P2S client.
    • Instructions LinuxLinux instructions

2. Générer un certificat client2. Generate a client certificate

Chaque ordinateur client que vous connectez à un réseau virtuel avec une connexion point à site doit avoir un certificat client installé.Each client computer that you connect to a VNet with a Point-to-Site connection must have a client certificate installed. Ce certificat doit être généré à partir du certificat racine, puis installé sur chaque ordinateur client.You generate it from the root certificate and install it on each client computer. Si vous n’installez pas de certificat client valide, l’authentification échoue lorsque le client essaie de se connecter au réseau virtuel.If you don't install a valid client certificate, authentication will fail when the client tries to connect to the VNet.

Vous pouvez soit générer un certificat unique pour chaque client, soir utiliser le même certificat pour plusieurs clients.You can either generate a unique certificate for each client, or you can use the same certificate for multiple clients. Le fait de générer des certificats clients uniques vous offre la possibilité de révoquer un seul certificat.The advantage to generating unique client certificates is the ability to revoke a single certificate. Dans le cas contraire, si plusieurs clients utilisent le même certificat client pour s’authentifier et que vous révoquez ce dernier, vous devrez générer et installer de nouveaux certificats pour chaque client qui utilise ce certificat.Otherwise, if multiple clients use the same client certificate to authenticate and you revoke it, you'll need to generate and install new certificates for every client that uses that certificate.

Vous pouvez générer des certificats clients à l’aide des méthodes suivantes :You can generate client certificates by using the following methods:

  • Certificat d’entreprise :Enterprise certificate:

    • Si vous utilisez une solution de certificat d’entreprise, générez un certificat client avec le format de valeur de nom commun name@yourdomain.com.If you're using an enterprise certificate solution, generate a client certificate with the common name value format name@yourdomain.com. Utilisez ce format au lieu du format domain name\username.Use this format instead of the domain name\username format.
    • Assurez-vous que le certificat client repose sur un modèle de certificat utilisateur qui indique Authentification client comme premier élément dans la liste d’utilisateurs.Make sure the client certificate is based on a user certificate template that has Client Authentication listed as the first item in the user list. Vérifiez le certificat en double-cliquant dessus et en affichant Utilisation avancée de la clé dans l’onglet Détails.Check the certificate by double-clicking it and viewing Enhanced Key Usage in the Details tab.
  • Certificat racine auto-signé : Suivez la procédure décrite dans l’un des articles concernant les certificats P2S ci-dessous pour créer des certificats clients compatibles avec vos connexions P2S.Self-signed root certificate: Follow the steps in one of the following P2S certificate articles so that the client certificates you create will be compatible with your P2S connections. Les procédures décrites dans les articles permettent de générer un certificat client compatible :The steps in these articles generate a compatible client certificate:

    • Instructions pour PowerShell sous Windows 10 : Ces instructions requièrent Windows 10 et PowerShell pour générer des certificats.Windows 10 PowerShell instructions: These instructions require Windows 10 and PowerShell to generate certificates. Les certificats qui sont générés peuvent être installés sur n’importe quel client P2S pris en charge.The generated certificates can be installed on any supported P2S client.
    • Instructions pour MakeCert : Utilisez MakeCert si vous n’avez pas accès à un ordinateur Windows 10 pour générer des certificats.MakeCert instructions: Use MakeCert if you don't have access to a Windows 10 computer for generating certificates. Même si MakeCert est déconseillé, vous pouvez toujours l’utiliser pour générer des certificats.Although MakeCert is deprecated, you can still use it to generate certificates. Vous pouvez installer les certificats générés sur n’importe quel client P2S pris en charge.You can install the generated certificates on any supported P2S client.
    • Instructions LinuxLinux instructions

    Lorsque vous générez un certificat client à partir d’un certificat racine auto-signé, ce certificat est automatiquement installé sur l’ordinateur que vous avez utilisé pour le générer.When you generate a client certificate from a self-signed root certificate, it's automatically installed on the computer that you used to generate it. Si vous souhaitez installer un certificat client sur un autre ordinateur client, exportez-le en tant que fichier .pfx, avec l’intégralité de la chaîne du certificat.If you want to install a client certificate on another client computer, export it as a .pfx file, along with the entire certificate chain. Cette opération crée un fichier .pfx contenant les informations de certificat racine requises pour l’authentification du client.Doing so will create a .pfx file that contains the root certificate information required for the client to authenticate.

Pour exporter le certificatTo export the certificate

Pour savoir comment exporter un certificat, consultez l’article Générer et exporter des certificats pour les connexions de point à site à l’aide de PowerShell.For steps to export a certificate, see Generate and export certificates for Point-to-Site using PowerShell.

4. Ajouter le pool d’adresses des clients4. Add the client address pool

Le pool d’adresses des clients est une plage d’adresses IP privées que vous spécifiez.The client address pool is a range of private IP addresses that you specify. Les clients qui se connectent via un réseau virtuel de point à site reçoivent de façon dynamique une adresse IP de cette plage.The clients that connect over a Point-to-Site VPN dynamically receive an IP address from this range. Utilisez une plage d’adresses IP privées qui ne chevauche ni l’emplacement local à partir duquel vous vous connectez ni le réseau virtuel auquel vous souhaitez vous connecter.Use a private IP address range that does not overlap with the on-premises location that you connect from, or the VNet that you want to connect to. Si vous configurez plusieurs protocoles et que SSTP est l’un d’entre eux, le pool d’adresses configuré est réparti de manière égale entre les protocoles configurés.If you configure multiple protocols and SSTP is one of the protocols, then the configured address pool is split between the configured protocols equally.

  1. Une fois la passerelle de réseau virtuel créée, accédez à la section Paramètres de la page Passerelle de réseau virtuel.Once the virtual network gateway has been created, navigate to the Settings section of the virtual network gateway page. Dans la section Paramètres, sélectionnez Configuration de point à site.In the Settings section, select Point-to-site configuration. Sélectionnez Configurer pour ouvrir la page de configuration.Select Configure now to open the configuration page.

    Point-to-Site pagePoint-to-Site page

  2. Sur la page Configuration de point à site, vous pouvez configurer divers paramètres.On the Point-to-site configuration page, you can configure a variety of settings. Si vous ne voyez pas le type de tunnel ou d’authentification sur cette page, votre passerelle utilise la référence SKU de base.If you don't see Tunnel type or Authentication type on this page, your gateway is using the Basic SKU. La référence SKU de base ne prend pas en charge IKEv2 ou l’authentification RADIUS.The Basic SKU does not support IKEv2 or RADIUS authentication. Si vous souhaitez utiliser ces paramètres, vous devez supprimer et recréer la passerelle à l’aide d’une autre référence SKU de passerelle.If you want to use these settings, you need to delete and recreate the gateway using a different gateway SKU.

    Point-to-site configuration pagePoint-to-site configuration page

  3. Dans la zone Pool d’adresses, ajoutez la plage d’adresses IP privées que vous souhaitez utiliser.In the Address pool box, add the private IP address range that you want to use. Les clients VPN reçoivent dynamiquement une adresse IP à partir de la plage que vous spécifiez.VPN clients dynamically receive an IP address from the range that you specify. Le masque minimal de sous-réseau est de 29 bits pour la configuration active/passive, et de 28 bits pour la configuration active/active.The minimum subnet mask is 29 bit for active/passive and 28 bit for active/active configuration.

  4. Passez à la section suivante pour configurer le type de tunnel.Move to the next section to configure tunnel type.

5. Configurer le type de tunnel5. Configure tunnel type

Vous pouvez sélectionner le type de tunnel.You can select the tunnel type. Les types de tunnels disponibles sont SSTP et IKEv2.The tunnel options are OpenVPN, SSTP and IKEv2.

  • Le client strongSwan sur Android et Linux et le client VPN IKEv2 natif sur iOS et OSX n’utiliseront que le tunnel IKEv2 pour se connecter.The strongSwan client on Android and Linux and the native IKEv2 VPN client on iOS and OSX will use only IKEv2 tunnel to connect.
  • Les clients Windows essaient IKEv2 en premier lieu. En cas d’échec de la connexion, ils utilisent SSTP.Windows clients try IKEv2 first and if that doesn't connect, they fall back to SSTP.
  • Vous pouvez utiliser le client OpenVPN pour la connexion au type de tunnel OpenVPN.You can use the OpenVPN client to connect to the OpenVPN tunnel type.

Tunnel typeTunnel type

6. Configurer le type d’authentification6. Configure authentication type

Pour le Type d’authentification, sélectionnez Certificat Azure.For Authentication type, select Azure certificate.

Type d’authentificationAuthentication type

7. Charger les données de certificat public du certificat racine7. Upload the root certificate public certificate data

Vous pouvez charger d’autres certificats racines approuvés, jusqu’à 20 au total.You can upload additional trusted root certificates up to a total of 20. Une fois que les données de certificat public sont chargées, Azure peut les utiliser pour authentifier les clients qui ont installé un certificat client généré à partir du certificat racine approuvé.Once the public certificate data is uploaded, Azure can use it to authenticate clients that have installed a client certificate generated from the trusted root certificate. Chargez les informations de la clé publique du certificat racine dans Azure.Upload the public key information for the root certificate to Azure.

  1. Les certificats sont ajoutés sur la page Configuration de point à site, dans la section Certificat racine.Certificates are added on the Point-to-site configuration page in the Root certificate section.

  2. Vérifiez que vous avez exporté le certificat racine en tant que fichier Base-64 codé X.509 (.cer).Make sure that you exported the root certificate as a Base-64 encoded X.509 (.cer) file. Vous devez exporter le certificat dans ce format pour être en mesure de l’ouvrir avec un éditeur de texte.You need to export the certificate in this format so you can open the certificate with text editor.

  3. Ouvrez le certificat avec un éditeur de texte, Bloc-notes par exemple.Open the certificate with a text editor, such as Notepad. Lors de la copie des données de certificat, assurez-vous que vous copiez le texte en une seule ligne continue sans retour chariot ou sauts de ligne.When copying the certificate data, make sure that you copy the text as one continuous line without carriage returns or line feeds. Vous devrez peut-être modifier l’affichage dans l’éditeur de texte en activant « Afficher les symboles/Afficher tous les caractères » pour afficher les retours chariot et sauts de ligne.You may need to modify your view in the text editor to 'Show Symbol/Show all characters' to see the carriage returns and line feeds. Copiez uniquement la section suivante sur une seule ligne continue :Copy only the following section as one continuous line:

    Certificate dataCertificate data

  4. Collez les données du certificat dans le champ Données du certificat public.Paste the certificate data into the Public Certificate Data field. Donnez un Nom au certificat, puis sélectionnez Enregistrer.Name the certificate, and then select Save. Vous pouvez ajouter jusqu’à 20 certificats racine approuvés.You can add up to 20 trusted root certificates.

    Paste certificate dataPaste certificate data

  5. Sélectionnez Enregistrer en haut de la page pour enregistrer tous les paramètres de configuration.Select Save at the top of the page to save all of the configuration settings.

    Save configurationSave configuration

8. Installer un certificat client exporté8. Install an exported client certificate

Si vous souhaitez créer une connexion P2S à partir d’un ordinateur client différent de celui que vous avez utilisé pour générer les certificats clients, vous devez installer un certificat client.If you want to create a P2S connection from a client computer other than the one you used to generate the client certificates, you need to install a client certificate. Quand vous installez un certificat client, vous avez besoin du mot de passe créé lors de l’exportation du certificat client.When installing a client certificate, you need the password that was created when the client certificate was exported.

Assurez-vous que le certificat client a été exporté dans un fichier .pfx avec la totalité de la chaîne du certificat (qui est la valeur par défaut).Make sure the client certificate was exported as a .pfx along with the entire certificate chain (which is the default). Dans le cas contraire, les informations du certificat racine ne sont pas présentes sur l’ordinateur client et le client ne pourra pas s’authentifier correctement.Otherwise, the root certificate information isn't present on the client computer and the client won't be able to authenticate properly.

Pour la procédure d’installation, consultez Installer un certificat client.For install steps, see Install a client certificate.

9. Générer et installer le package de configuration du client VPN9. Generate and install the VPN client configuration package

Les fichiers de configuration du client VPN contiennent des paramètres pour configurer les appareils afin qu’ils puissent se connecter à un réseau virtuel via une connexion P2S.The VPN client configuration files contain settings to configure devices to connect to a VNet over a P2S connection. Pour obtenir des instructions permettant de générer et d’installer les fichiers de configuration du client VPN, consultez Créer et installer les fichiers de configuration du client VPN pour les configurations P2S d’authentification par certificat Azure native.For instructions to generate and install VPN client configuration files, see Create and install VPN client configuration files for native Azure certificate authentication P2S configurations.

10. Connexion à Azure10. Connect to Azure

Se connecter à partir d’un client VPN WindowsTo connect from a Windows VPN client

Notes

Vous devez disposer de droits d’administrateur sur l’ordinateur client Windows à partir duquel vous vous connectez.You must have Administrator rights on the Windows client computer from which you are connecting.

  1. Pour vous connecter à votre réseau virtuel, sur l’ordinateur client, accédez aux connexions VPN et recherchez celle que vous avez créée.To connect to your VNet, on the client computer, navigate to VPN connections and locate the VPN connection that you created. Elle porte le même nom que votre réseau virtuel.It is named the same name as your virtual network. Sélectionnez Connecter.Select Connect. Un message contextuel faisant référence à l’utilisation du certificat peut s’afficher.A pop-up message may appear that refers to using the certificate. Sélectionnez Continuer pour utiliser des privilèges élevés.Select Continue to use elevated privileges.

  2. Sur la page d'état Connexion, sélectionnez Connecter pour établir la connexion.On the Connection status page, select Connect to start the connection. Si un écran Sélectionner un certificat apparaît, vérifiez que le certificat client affiché est celui que vous souhaitez utiliser pour la connexion.If you see a Select Certificate screen, verify that the client certificate showing is the one that you want to use to connect. Dans le cas contraire, utilisez la flèche déroulante pour sélectionner le certificat approprié, puis sélectionnez OK.If it is not, use the drop-down arrow to select the correct certificate, and then select OK.

    VPN client connects to AzureVPN client connects to Azure

  3. Votre connexion est établie.Your connection is established.

    Connection establishedConnection established

Résolution des problèmes liés aux connexions P2S WindowsTroubleshoot Windows P2S connections

Si vous rencontrez des problèmes pour vous connecter, effectuez les vérifications suivantes :If you have trouble connecting, check the following items:

  • Si vous avez exporté un certificat client avec l'Assistant Exportation de certificat, vérifiez que vous l’avez exporté au format .pfx et sélectionné Inclure tous les certificats dans le chemin d’accès de certification, si possible.If you exported a client certificate with Certificate Export Wizard, make sure that you exported it as a .pfx file and selected Include all certificates in the certification path if possible. Lorsque vous l'exportez avec cette valeur, les informations de certificat racine sont également exportées.When you export it with this value, the root certificate information is also exported. Après avoir installé le certificat sur l'ordinateur client, le certificat racine situé dans le fichier .pfx est également installé.After you install the certificate on the client computer, the root certificate in the .pfx file is also installed. Pour vérifier que le certificat racine est installé, ouvrez Gérer les certificats utilisateur et sélectionnez Autorités de certification racines de confiance\Certificats.To verify that the root certificate is installed, open Manage user certificates and select Trusted Root Certification Authorities\Certificates. Vérifiez que le certificat racine y est répertorié car il doit être présent pour permettre à l'authentification d'aboutir.Verify that the root certificate is listed, which must be present for authentication to work.

  • Si vous avez utilisé un certificat qui émis par une autorité de certification d’entreprise et rencontrez des problèmes d’authentification, examinez l’ordre de l’authentification sur le certificat client.If you used a certificate that was issued by an Enterprise CA solution and you can't authenticate, verify the authentication order on the client certificate. Vérifiez l’ordre de la liste d’authentification en double-cliquant sur le certificat client et en sélectionnant l'onglet Détail, puis Utilisation améliorée de la clé.Check the authentication list order by double-clicking the client certificate, selecting the Details tab, and then selecting Enhanced Key Usage. Assurez-vous que le premier élément de la liste correspond à Authentification client.Make sure Client Authentication is the first item in the list. Si ce n’est pas le cas, émettez un certificat client basé sur le modèle Utilisateur disposant de l’authentification client comme premier élément dans la liste.If it isn't, issue a client certificate based on the user template that has Client Authentication as the first item in the list.

  • Pour plus d’informations sur la résolution des problèmes liés à P2S, consultez Résoudre les problèmes de connexions liés à P2S.For additional P2S troubleshooting information, see Troubleshoot P2S connections.

Pour se connecter à partir d’un client VPN MacTo connect from a Mac VPN client

Dans la boîte de dialogue Réseau, recherchez le profil client que vous souhaitez utiliser, spécifiez les paramètres du fichier VpnSettings.xml, puis sélectionnez Se connecter.From the Network dialog box, locate the client profile that you want to use, specify the settings from the VpnSettings.xml, and then select Connect.

Pour obtenir des instructions détaillées, consultez la section Installer - Mac (OS X).Check Install - Mac (OS X) for detailed instructions. Si vous rencontrez des problèmes de connexion, vérifiez que la passerelle de réseau virtuel n’utilise pas une référence SKU de base.If you are having trouble connecting, verify that the virtual network gateway is not using a Basic SKU. La référence SKU de base n’est pas prise en charge pour les clients Mac.Basic SKU is not supported for Mac clients.

Mac connectionMac connection

Pour vérifier votre connexionTo verify your connection

Ces instructions s’appliquent aux clients Windows.These instructions apply to Windows clients.

  1. Pour vérifier que votre connexion VPN est active, ouvrez une invite de commandes avec élévation de privilèges, puis exécutez ipconfig/all.To verify that your VPN connection is active, open an elevated command prompt, and run ipconfig/all.

  2. Affichez les résultats.View the results. Notez que l’adresse IP que vous avez reçue est l’une des adresses du pool d’adresses de client VPN point à site que vous avez spécifiées dans votre configuration.Notice that the IP address you received is one of the addresses within the Point-to-Site VPN Client Address Pool that you specified in your configuration. Les résultats ressemblent à l’exemple qui suit :The results are similar to this example:

    PPP adapter VNet1:
       Connection-specific DNS Suffix .:
       Description.....................: VNet1
       Physical Address................:
       DHCP Enabled....................: No
       Autoconfiguration Enabled.......: Yes
       IPv4 Address....................: 172.16.201.3(Preferred)
       Subnet Mask.....................: 255.255.255.255
       Default Gateway.................:
       NetBIOS over Tcpip..............: Enabled
    

Se connecter à une machine virtuelleTo connect to a virtual machine

Ces instructions s’appliquent aux clients Windows.These instructions apply to Windows clients.

Vous pouvez vous connecter à une machine virtuelle déployée sur votre réseau virtuel en créant une connexion Bureau à distance à votre machine virtuelle.You can connect to a VM that is deployed to your VNet by creating a Remote Desktop Connection to your VM. La meilleure méthode pour vérifier initialement que vous pouvez vous connecter à votre machine virtuelle consiste à vous connecter à l’aide de son adresse IP privée, plutôt qu’avec le nom d’ordinateur.The best way to initially verify that you can connect to your VM is to connect by using its private IP address, rather than computer name. Vous testez ainsi si vous pouvez vous connecter, que la résolution de nom soit configurée correctement ou non.That way, you are testing to see if you can connect, not whether name resolution is configured properly.

  1. Recherchez l’adresse IP privée.Locate the private IP address. L’adresse IP privée d’une machine virtuelle peut être trouvée en étudiant les propriétés de la machine virtuelle dans le portail Azure ou à l’aide de PowerShell.You can find the private IP address of a VM by either looking at the properties for the VM in the Azure portal, or by using PowerShell.

    • Portail Azure : recherchez votre machine virtuelle dans le portail Azure.Azure portal - Locate your virtual machine in the Azure portal. Affichez les propriétés de la machine virtuelle.View the properties for the VM. L’adresse IP privée est répertoriée.The private IP address is listed.

    • PowerShell : utilisez l’exemple pour afficher la liste des machines virtuelles et adresses IP privées de vos groupes de ressources.PowerShell - Use the example to view a list of VMs and private IP addresses from your resource groups. Vous n’avez pas besoin de modifier cet exemple pour pouvoir l’utiliser.You don't need to modify this example before using it.

      $VMs = Get-AzVM
      $Nics = Get-AzNetworkInterface | Where VirtualMachine -ne $null
      
      foreach($Nic in $Nics)
      {
      $VM = $VMs | Where-Object -Property Id -eq $Nic.VirtualMachine.Id
      $Prv = $Nic.IpConfigurations | Select-Object -ExpandProperty PrivateIpAddress
      $Alloc = $Nic.IpConfigurations | Select-Object -ExpandProperty PrivateIpAllocationMethod
      Write-Output "$($VM.Name): $Prv,$Alloc"
      }
      
  2. Vérifiez que vous êtes connecté à votre réseau virtuel à l’aide de la connexion VPN point à site.Verify that you are connected to your VNet using the Point-to-Site VPN connection.

  3. Ouvrez une connexion Bureau à distance en saisissant « RDP » ou « Connexion Bureau à distance » dans la zone de recherche de la barre des tâches, puis sélectionnez la connexion Bureau à distance.Open Remote Desktop Connection by typing "RDP" or "Remote Desktop Connection" in the search box on the taskbar, then select Remote Desktop Connection. Vous pouvez également ouvrir une connexion Bureau à distance à l’aide de la commande « mstsc » dans PowerShell.You can also open Remote Desktop Connection using the 'mstsc' command in PowerShell.

  4. Dans Connexion Bureau à distance, entrez l’adresse IP privée de la machine virtuelle.In Remote Desktop Connection, enter the private IP address of the VM. Vous pouvez cliquer sur « Afficher les Options » pour définir des paramètres supplémentaires, puis connectez-vous.You can click "Show Options" to adjust additional settings, then connect.

Pour résoudre une connexion RDP à une machine virtuelleTo troubleshoot an RDP connection to a VM

Si vous rencontrez des problèmes de connexion à une machine virtuelle sur votre connexion VPN, vérifiez les points suivants :If you are having trouble connecting to a virtual machine over your VPN connection, check the following:

  • Vérifiez que votre connexion VPN aboutit.Verify that your VPN connection is successful.
  • Vérifiez que vous vous connectez à l’adresse IP privée de la machine virtuelle.Verify that you are connecting to the private IP address for the VM.
  • Utilisez « ipconfig » pour vérifier l’adresse IPv4 attribuée à l’adaptateur Ethernet sur l’ordinateur à partir duquel vous vous connectez.Use 'ipconfig' to check the IPv4 address assigned to the Ethernet adapter on the computer from which you are connecting. Si l’adresse IP est comprise dans la plage d’adresses du réseau virtuel auquel vous vous connectez, ou dans la plage d’adresses de votre VPNClientAddressPool, cette situation est désignée sous le terme d’espaces d’adressage qui se chevauchent.If the IP address is within the address range of the VNet that you are connecting to, or within the address range of your VPNClientAddressPool, this is referred to as an overlapping address space. Lorsque vos espaces d’adressage se chevauchent de cette façon, le trafic réseau n’atteint pas Azure et reste sur le réseau local.When your address space overlaps in this way, the network traffic doesn't reach Azure, it stays on the local network.
  • Si vous pouvez vous connecter à la machine virtuelle à l’aide de l’adresse IP privée, mais pas à l’aide du nom d’ordinateur, vérifiez que vous avez correctement configuré DNS.If you can connect to the VM using the private IP address, but not the computer name, verify that you have configured DNS properly. Pour plus d’informations sur le fonctionnement de la résolution de noms pour les machines virtuelles, consultez Résolution de noms pour les machines virtuelles.For more information about how name resolution works for VMs, see Name Resolution for VMs.
  • Vérifiez que le package de configuration du client VPN a été généré après que les adresses IP du serveur DNS ont été spécifiées pour le réseau virtuel.Verify that the VPN client configuration package was generated after the DNS server IP addresses were specified for the VNet. Si vous avez mis à jour les adresses IP du serveur DNS, générez et installez un package de configuration du client VPN.If you updated the DNS server IP addresses, generate and install a new VPN client configuration package.
  • Pour plus d’informations sur les connexions RDP, consultez Résoudre des problèmes de connexion Bureau à distance à une machine virtuelle.For more information about RDP connections, see Troubleshoot Remote Desktop connections to a VM.

Pour ajouter ou supprimer des certificats racine approuvésTo add or remove trusted root certificates

Vous pouvez ajouter et supprimer des certificats racines approuvés à partir d'Azure.You can add and remove trusted root certificates from Azure. Lorsque vous supprimez un certificat racine, les clients qui possèdent un certificat généré à partir de cette racine ne seront plus en mesure de s’authentifier, et donc de se connecter.When you remove a root certificate, clients that have a certificate generated from that root won't be able to authenticate, and thus will not be able to connect. Si vous souhaitez que des clients s’authentifient et se connectent, vous devez installer un nouveau certificat client généré à partir d’un certificat racine approuvé (téléchargé) dans Azure.If you want a client to authenticate and connect, you need to install a new client certificate generated from a root certificate that is trusted (uploaded) to Azure.

Ajout d’un certificat racine approuvéTo add a trusted root certificate

Vous pouvez ajouter jusqu’à 20 fichiers .cer de certificat racine approuvés dans Azure.You can add up to 20 trusted root certificate .cer files to Azure. Pour obtenir des instructions, consultez la section Télécharger un certificat racine approuvé dans cet article.For instructions, see the section Upload a trusted root certificate in this article.

Suppression d’un certificat racine approuvéTo remove a trusted root certificate

  1. Pour supprimer un certificat racine approuvé, accédez à la page Configuration Point à site de votre passerelle de réseau virtuel.To remove a trusted root certificate, navigate to the Point-to-site configuration page for your virtual network gateway.
  2. Dans la section Certificat racine de la page, recherchez le certificat que vous souhaitez supprimer.In the Root certificate section of the page, locate the certificate that you want to remove.
  3. Sélectionnez les points de suspension à côté du certificat, puis sélectionnez « Supprimer ».Select the ellipsis next to the certificate, and then select 'Remove'.

Révocation d’un certificat clientTo revoke a client certificate

Vous pouvez révoquer des certificats clients.You can revoke client certificates. La liste de révocation de certificat vous permet de refuser sélectivement la connexion point à site en fonction des certificats clients individuels.The certificate revocation list allows you to selectively deny Point-to-Site connectivity based on individual client certificates. Cela est différent de la suppression d’un certificat racine approuvé.This is different than removing a trusted root certificate. Si vous supprimez un fichier .cer de certificat racine approuvé d’Azure, vous révoquez l’accès pour tous les certificats clients générés/signés par le certificat racine révoqué.If you remove a trusted root certificate .cer from Azure, it revokes the access for all client certificates generated/signed by the revoked root certificate. Le fait de révoquer un certificat client plutôt que le certificat racine permet de continuer à utiliser les autres certificats générés à partir du certificat racine pour l’authentification.Revoking a client certificate, rather than the root certificate, allows the other certificates that were generated from the root certificate to continue to be used for authentication.

La pratique courante consiste à utiliser le certificat racine pour gérer l'accès au niveaux de l'équipe ou de l'organisation, tout en utilisant des certificats clients révoqués pour le contrôle d'accès précis des utilisateurs individuels.The common practice is to use the root certificate to manage access at team or organization levels, while using revoked client certificates for fine-grained access control on individual users.

Révocation d'un certificat clientRevoke a client certificate

Vous pouvez révoquer un certificat client en ajoutant son empreinte à la liste de révocation.You can revoke a client certificate by adding the thumbprint to the revocation list.

  1. Récupérez l’empreinte du certificat client.Retrieve the client certificate thumbprint. Pour plus d’informations, consultez l’article Comment : récupérer l’empreinte numérique d’un certificat.For more information, see How to retrieve the Thumbprint of a Certificate.
  2. Copiez les informations dans un éditeur de texte et supprimez tous les espaces afin d’obtenir une chaîne continue.Copy the information to a text editor and remove all spaces so that it is a continuous string.
  3. Accédez à la page Configuration de point à site de la passerelle de réseau virtuel.Navigate to the virtual network gateway Point-to-site-configuration page. Il s’agit de la page que vous avez utilisé pour charger un certificat racine approuvé.This is the same page that you used to upload a trusted root certificate.
  4. Dans la section Certificats révoqués, entrez un nom convivial pour le certificat (il ne s’agit pas forcément du nom commun du certificat).In the Revoked certificates section, input a friendly name for the certificate (it doesn't have to be the certificate CN).
  5. Copiez et collez la chaîne d’empreinte numérique dans le champ Empreinte.Copy and paste the thumbprint string to the Thumbprint field.
  6. L’empreinte est validée, puis automatiquement ajoutée à la liste de révocation.The thumbprint validates and is automatically added to the revocation list. Un message apparaît pour indiquer que la liste est en cours de mise à jour.A message appears on the screen that the list is updating.
  7. Une fois la mise à jour terminée, le certificat ne peut plus être utilisé pour se connecter.After updating has completed, the certificate can no longer be used to connect. Les clients qui tentent de se connecter à l’aide de ce certificat reçoivent un message indiquant que le certificat n’est plus valide.Clients that try to connect using this certificate receive a message saying that the certificate is no longer valid.

Forum Aux Questions sur les connexions point à sitePoint-to-Site FAQ

Combien de points de terminaison clients VPN puis-je avoir dans ma configuration point à site ?How many VPN client endpoints can I have in my Point-to-Site configuration?

Cela dépend de la référence SKU de passerelle.It depends on the gateway SKU. Pour plus d’informations sur le nombre de connexions prises en charge, consultez Références SKU de passerelle.For more information on the number of connections supported, see Gateway SKUs.

Quels systèmes d’exploitation client puis-je utiliser avec une connexion point à site ?What client operating systems can I use with Point-to-Site?

Les systèmes d’exploitation clients pris en charge sont les suivants :The following client operating systems are supported:

  • Windows 7 (32 bits et 64 bits)Windows 7 (32-bit and 64-bit)
  • Windows Server 2008 R2 (64 bits uniquement)Windows Server 2008 R2 (64-bit only)
  • Windows 8.1 (32 bits et 64 bits)Windows 8.1 (32-bit and 64-bit)
  • Windows Server 2012 (64 bits uniquement)Windows Server 2012 (64-bit only)
  • Windows Server 2012 R2 (64 bits uniquement)Windows Server 2012 R2 (64-bit only)
  • Windows Server 2016 (64 bits uniquement)Windows Server 2016 (64-bit only)
  • Windows Server 2019 (64 bits uniquement)Windows Server 2019 (64-bit only)
  • Windows 10Windows 10
  • Mac OS X version 10.11 ou ultérieureMac OS X version 10.11 or above
  • Linux (StrongSwan)Linux (StrongSwan)
  • iOSiOS

Notes

À compter du 1er juillet 2018, la passerelle VPN Azure ne prendra plus en charge TLS 1.0 et 1.1.Starting July 1, 2018, support is being removed for TLS 1.0 and 1.1 from Azure VPN Gateway. Elle prendra uniquement en charge TLS 1.2.VPN Gateway will support only TLS 1.2. Pour maintenir la prise en charge, consultez les mises à jour permettant la prise en charge de TLS 1.2.To maintain support, see the updates to enable support for TLS1.2.

Par ailleurs, les algorithmes hérités suivants sont également dépréciés pour TLS depuis le 1er juillet 2018 :Additionally, the following legacy algorithms will also be deprecated for TLS on July 1, 2018:

  • RC4 (Rivest Cipher 4)RC4 (Rivest Cipher 4)
  • DES (Data Encryption Algorithm)DES (Data Encryption Algorithm)
  • 3DES (Triple Data Encryption Algorithm)3DES (Triple Data Encryption Algorithm)
  • MD5 (Message Digest 5)MD5 (Message Digest 5)

Comment activer la prise en charge de TLS 1.2 dans Windows 7 et Windows 8.1 ?How do I enable support for TLS 1.2 in Windows 7 and Windows 8.1?

  1. Ouvrez une invite de commandes avec des privilèges élevés en cliquant avec le bouton droit sur Invite de commandes et en sélectionnant Exécuter en tant qu’administrateur.Open a command prompt with elevated privileges by right-clicking on Command Prompt and selecting Run as administrator.

  2. Exécutez les commandes suivantes à partir de l’invite de commandes :Run the following commands in the command prompt:

    reg add HKLM\SYSTEM\CurrentControlSet\Services\RasMan\PPP\EAP\13 /v TlsVersion /t REG_DWORD /d 0xfc0
    reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp" /v DefaultSecureProtocols /t REG_DWORD /d 0xaa0
    if %PROCESSOR_ARCHITECTURE% EQU AMD64 reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp" /v DefaultSecureProtocols /t REG_DWORD /d 0xaa0
    
  3. Installez les mises à jour suivantes :Install the following updates:

  4. Redémarrez l'ordinateur.Reboot the computer.

  5. Connectez-vous au VPN.Connect to the VPN.

Notes

Vous devrez définir la clé de registre ci-dessus si vous utilisez une ancienne version de Windows 10 (10240).You will have to set the above registry key if you are running an older version of Windows 10 (10240).

Puis-je parcourir les serveurs proxy et les pare-feu à l’aide de la fonctionnalité point à site ?Can I traverse proxies and firewalls using Point-to-Site capability?

Azure prend en charge trois types d’options de VPN point à site :Azure supports three types of Point-to-site VPN options:

  • Protocole SSTP (Secure Socket Tunneling Protocol).Secure Socket Tunneling Protocol (SSTP). SSTP est une solution SSL propriétaire de Microsoft qui peut pénétrer les pare-feu, car la plupart des pare-feu ouvrent le port TCP 443 sortant utilisé par SSL.SSTP is a Microsoft proprietary SSL-based solution that can penetrate firewalls since most firewalls open the outbound TCP port that 443 SSL uses.

  • OpenVPN.OpenVPN. OpenVPN est une solution SSL qui peut pénétrer les pare-feu, car la plupart des pare-feu ouvrent le port TCP 443 sortant utilisé par SSL.OpenVPN is a SSL-based solution that can penetrate firewalls since most firewalls open the outbound TCP port that 443 SSL uses.

  • VPN IKEv2.IKEv2 VPN. Le VPN IKEv2 est une solution VPN IPsec basée sur des normes qui utilise les ports UDP 500 et 4500 sortants ainsi que le protocole IP no.IKEv2 VPN is a standards-based IPsec VPN solution that uses outbound UDP ports 500 and 4500 and IP protocol no. 50.50. Les pare-feux n’ouvrent pas toujours ces ports. Il est donc possible que le VPN IKEv2 ne soit pas en mesure de parcourir les proxies et pare-feux.Firewalls do not always open these ports, so there is a possibility of IKEv2 VPN not being able to traverse proxies and firewalls.

Si je redémarre un ordinateur client avec une configuration point à site, le réseau VPN va-t-il se reconnecter automatiquement ?If I restart a client computer configured for Point-to-Site, will the VPN automatically reconnect?

Par défaut, l'ordinateur client ne rétablit pas automatiquement la connexion VPN.By default, the client computer will not reestablish the VPN connection automatically.

La configuration point à site prend-elle en charge la reconnexion automatique et DDNS sur les clients VPN ?Does Point-to-Site support auto-reconnect and DDNS on the VPN clients?

La reconnexion automatique et DDNS ne sont actuellement pas pris en charge dans les configurations VPN point à site.Auto-reconnect and DDNS are currently not supported in Point-to-Site VPNs.

Puis-je avoir des configurations coexistantes site à site et point à site pour un même réseau virtuel ?Can I have Site-to-Site and Point-to-Site configurations coexist for the same virtual network?

Oui.Yes. Pour le modèle de déploiement Resource Manager, vous devez disposer d’un type de VPN basé sur le routage pour votre passerelle.For the Resource Manager deployment model, you must have a RouteBased VPN type for your gateway. Pour le modèle de déploiement Classic, vous avez besoin d’une passerelle dynamique.For the classic deployment model, you need a dynamic gateway. Nous ne prenons pas en charge la configuration point à site pour les passerelles VPN à routage statique ou les passerelles VPN basée sur une stratégie.We do not support Point-to-Site for static routing VPN gateways or PolicyBased VPN gateways.

Puis-je configurer un client point à site pour me connecter à plusieurs passerelles de réseaux virtuels en même temps ?Can I configure a Point-to-Site client to connect to multiple virtual network gateways at the same time?

En fonction du logiciel VPN Client utilisé, vous pouvez vous connecter à plusieurs passerelles de réseaux virtuels, à condition que les réseaux virtuels qui y sont connectés n’aient pas d’espaces d’adressage en conflit entre eux ou avec le réseau à partir duquel le client se connecte.Depending on the VPN Client software used, you may be able to connect to multiple Virtual Network Gateways provided the virtual networks being connected to do not have conflicting address spaces between them or the network from with the client is connecting from. Azure VPN Client prend en charge de nombreuses connexions VPN, mais une seule connexion peut être connectée à un moment M.While the Azure VPN Client supports many VPN connections, only one connection can be Connected at any given time.

Puis-je configurer un client point à site pour me connecter à plusieurs réseaux virtuels en même temps ?Can I configure a Point-to-Site client to connect to multiple virtual networks at the same time?

Oui, les connexions de point à site à une passerelle de réseau virtuel déployée dans un réseau virtuel qui est appairé à d’autres réseaux virtuels peuvent avoir accès à d’autres réseaux virtuels appairés.Yes, Point-to-Site connections to a Virtual Network Gateway deployed in a VNet that is peered with other VNets may have access to other peered VNets. À condition que les réseaux virtuels appairés utilisent les fonctionnalités UseRemoteGateway / AllowGatewayTransit, le client point à site peut se connecter à ces réseaux virtuels appairés.Provided the peered VNets are using the UseRemoteGateway / AllowGatewayTransit features, the Point-to-Site client will be able to connect to those peered VNets. Pour plus d’informations, reportez-vous à cet article.For more information please reference this article.

Quel débit puis-je attendre des connexions site à site ou point à site ?How much throughput can I expect through Site-to-Site or Point-to-Site connections?

Il est difficile de maintenir le débit exact des tunnels VPN.It's difficult to maintain the exact throughput of the VPN tunnels. IPsec et SSTP sont des protocoles VPN de chiffrement lourd.IPsec and SSTP are crypto-heavy VPN protocols. Le débit est également limité par la latence et la bande passante entre vos locaux et Internet.Throughput is also limited by the latency and bandwidth between your premises and the Internet. Pour une passerelle VPN ne disposant que des connexions VPN point à site IKEv2, le débit total que vous obtiendrez dépend de la référence SKU de passerelle.For a VPN Gateway with only IKEv2 Point-to-Site VPN connections, the total throughput that you can expect depends on the Gateway SKU. Pour plus d’informations sur le débit, consultez Références SKU de passerelle.For more information on throughput, see Gateway SKUs.

Puis-je utiliser un client VPN logiciel pour une connexion point à site prenant en charge SSTP et/ou IKEv2 ?Can I use any software VPN client for Point-to-Site that supports SSTP and/or IKEv2?

Non.No. Vous ne pouvez utiliser le client VPN natif sur Windows que pour SSTP et pour le client VPN natif sur Mac pour IKEv2.You can only use the native VPN client on Windows for SSTP, and the native VPN client on Mac for IKEv2. Toutefois, vous pouvez utiliser le client OpenVPN sur toutes les plateformes pour vous connecter via le protocole OpenVPN.However, you can use the OpenVPN client on all platforms to connect over OpenVPN protocol. Reportez-vous à la liste des systèmes d’exploitation client pris en charge.Refer to the list of supported client operating systems.

Azure prend-elle en charge le VPN IKEv2 avec Windows ?Does Azure support IKEv2 VPN with Windows?

Le protocole IKEv2 est pris en charge sur Windows 10 et Server 2016.IKEv2 is supported on Windows 10 and Server 2016. Toutefois, pour pouvoir utiliser le protocole IKEv2, vous devez installer les mises à jour et définir une valeur de clé de Registre localement.However, in order to use IKEv2, you must install updates and set a registry key value locally. Les versions de système d’exploitation antérieures à Windows 10 ne sont pas prises en charge. Elles peuvent uniquement utiliser le protocole SSTP ou OpenVPN®.OS versions prior to Windows 10 are not supported and can only use SSTP or OpenVPN® Protocol.

Pour préparer Windows 10 ou Server 2016 pour IKEv2 :To prepare Windows 10 or Server 2016 for IKEv2:

  1. Installez la mise à jour.Install the update.

    Version du SEOS version DateDate Nombre/lienNumber/Link
    Windows Server 2016Windows Server 2016
    Windows 10 version 1607Windows 10 Version 1607
    17 janvier 2018January 17, 2018 KB4057142KB4057142
    Windows 10 version 1703Windows 10 Version 1703 17 janvier 2018January 17, 2018 KB4057144KB4057144
    Windows 10 version 1709Windows 10 Version 1709 22 mars 2018March 22, 2018 KB4089848KB4089848
  2. Définissez la valeur de clé de Registre.Set the registry key value. Créer ou de définir la clé REG_DWORD « HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\ IKEv2\DisableCertReqPayload » sur 1 dans le Registre.Create or set “HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\ IKEv2\DisableCertReqPayload” REG_DWORD key in the registry to 1.

Que se passe-t-il lorsque je configure SSTP et IKEv2 pour les connexions VPN P2S ?What happens when I configure both SSTP and IKEv2 for P2S VPN connections?

Lorsque vous configurez SSTP et IKEv2 dans un environnement mixte (composé d’appareils Windows et Mac), le client VPN Windows essaiera toujours le tunnel IKEv2 d’abord, mais il reviendra à SSTP si la connexion IKEv2 n’a pas abouti.When you configure both SSTP and IKEv2 in a mixed environment (consisting of Windows and Mac devices), the Windows VPN client will always try IKEv2 tunnel first, but will fall back to SSTP if the IKEv2 connection is not successful. MacOSX se connecte uniquement via le protocole IKEv2.MacOSX will only connect via IKEv2.

À part Windows et Mac, quelles autres plateformes sont prises en charge par Azure pour le réseau VPN P2S ?Other than Windows and Mac, which other platforms does Azure support for P2S VPN?

Azure prend en charge Windows, Mac et Linux pour les VPN de point à site (P2S).Azure supports Windows, Mac and Linux for P2S VPN.

J’ai déjà une passerelle VPN Azure déployée.I already have an Azure VPN Gateway deployed. Puis-je activer RADIUS et/ou le réseau VPN IKEv2 sur celle-ci ?Can I enable RADIUS and/or IKEv2 VPN on it?

Oui, vous pouvez activer ces nouvelles fonctionnalités sur les passerelles déjà déployées à l’aide de Powershell ou du portail Azure, pourvu que la référence SKU de passerelle utilisée prenne en charge RADIUS et/ou IKEv2.Yes, you can enable these new features on already deployed gateways using Powershell or the Azure portal, provided that the gateway SKU that you are using supports RADIUS and/or IKEv2. Par exemple, la référence SKU de base de passerelle VPN ne prend pas en charge RADIUS ou IKEv2.For example, the VPN gateway Basic SKU does not support RADIUS or IKEv2.

Comment supprimer la configuration d’une connexion P2S ?How do I remove the configuration of a P2S connection?

Vous pouvez supprimer une configuration P2S avec Azure CLI et PowerShell en utilisant les commandes suivantes :A P2S configuration can be removed using Azure CLI and PowerShell using the following commands:

Azure PowerShellAzure PowerShell

$gw=Get-AzVirtualNetworkGateway -name <gateway-name>`  
$gw.VPNClientConfiguration = $null`  
Set-AzVirtualNetworkGateway -VirtualNetworkGateway $gw`

Azure CLIAzure CLI

az network vnet-gateway update --name <gateway-name> --resource-group <resource-group name> --remove "vpnClientConfiguration"

Que dois-je faire si j’obtiens une incompatibilité de certificat lors de la connexion à l’aide de l’authentification par certificat ?What should I do if I'm getting a certificate mismatch when connecting using certificate authentication?

Décochez « Vérifier l’identité du serveur en validant le certificat » ou ajouter le nom de domaine complet du serveur avec le certificat lors de la création manuelle d’un profil.Uncheck "Verify the server's identity by validating the certificate" or add the server FQDN along with the certificate when creating a profile manually. Pour ce faire, exécutez rasphone à partir d’une invite de commandes et choisissez le profil dans la liste déroulante.You can do this by running rasphone from a command prompt and picking the profile from the drop-down list.

Ignorer la validation de l’identité du serveur n’est pas recommandé en général, mais avec l’authentification par certificat Azure, le même certificat est utilisé pour la validation du serveur dans le protocole de tunneling VPN (IKEv2/SSTP) et le protocole EAP.Bypassing server identity validation is not recommended in general, but with Azure certificate authentication, the same certificate is being used for server validation in the VPN tunneling protocol (IKEv2/SSTP) and the EAP protocol. Étant donné que le certificat de serveur et le nom de domaine complet sont déjà validés par le protocole de tunneling VPN, il est redondant de les valider de nouveau dans EAP.Since the server certificate and FQDN is already validated by the VPN tunneling protocol, it is redundant to validate the same again in EAP.

point à sitepoint-to-site

Puis-je utiliser ma propre AC racine PKI interne pour générer des certificats pour une connectivité point à site ?Can I use my own internal PKI root CA to generate certificates for Point-to-Site connectivity?

Oui.Yes. Auparavant, seuls les certificats racines auto-signés pouvaient être utilisés.Previously, only self-signed root certificates could be used. Vous pouvez toujours charger 20 certificats racine.You can still upload 20 root certificates.

Puis-je utiliser des certificats Azure Key Vault ?Can I use certificates from Azure Key Vault?

Non.No.

Quels outils puis-je utiliser pour créer des certificats ?What tools can I use to create certificates?

Vous pouvez utiliser votre solution de PKI d’entreprise (votre PKI interne), Azure PowerShell, MakeCert et OpenSSL.You can use your Enterprise PKI solution (your internal PKI), Azure PowerShell, MakeCert, and OpenSSL.

Y a-t-il des instructions pour les paramètres de certificat ?Are there instructions for certificate settings and parameters?

  • PKI interne/Solution PKI d’entreprise : reportez-vous aux étapes de génération des certificats.Internal PKI/Enterprise PKI solution: See the steps to Generate certificates.

  • Azure PowerShell : consultez l’article Azure PowerShell pour connaître la procédure.Azure PowerShell: See the Azure PowerShell article for steps.

  • MakeCert : consultez l’article MakeCert pour connaître la procédure.MakeCert: See the MakeCert article for steps.

  • OpenSSL :OpenSSL:

    • Lors de l’exportation de certificats, veillez à convertir le certificat racine en Base64.When exporting certificates, be sure to convert the root certificate to Base64.

    • Pour le certificat client :For the client certificate:

      • Lorsque vous créez la clé privée, spécifiez la longueur 4096.When creating the private key, specify the length as 4096.
      • Lors de la création du certificat, pour le paramètre -extensions, spécifiez usr_cert.When creating the certificate, for the -extensions parameter, specify usr_cert.

Étapes suivantesNext steps

Une fois la connexion achevée, vous pouvez ajouter des machines virtuelles à vos réseaux virtuels.Once your connection is complete, you can add virtual machines to your virtual networks. Pour plus d’informations, consultez Machines virtuelles.For more information, see Virtual Machines. Pour plus d’informations sur la mise en réseau et les machines virtuelles, consultez Vue d’ensemble du réseau de machines virtuelles Azure et Linux.To understand more about networking and virtual machines, see Azure and Linux VM network overview.

Pour plus d’informations sur la résolution des problèmes liés aux connexions de point à site, consultez l’article Résolution des problèmes de connexion de point à site Azure.For P2S troubleshooting information, Troubleshooting Azure point-to-site connections.