Pont – hely VPN-kapcsolat konfigurálása VNet natív Azure tanúsítványalapú hitelesítéssel: Azure PortalConfigure a Point-to-Site VPN connection to a VNet using native Azure certificate authentication: Azure portal

Ez a cikk segítséget nyújt a Windows, Linux vagy macOS rendszerű ügyfelek biztonságos csatlakoztatásához egy Azure-VNet.This article helps you securely connect individual clients running Windows, Linux, or macOS to an Azure VNet. A pont–hely VPN-kapcsolat akkor hasznos, ha távoli helyről szeretne csatlakozni a virtuális hálózathoz, például otthonról vagy egy konferenciáról.Point-to-Site VPN connections are useful when you want to connect to your VNet from a remote location, such when you are telecommuting from home or a conference. Pont–hely kapcsolatot is használhat helyek közötti VPN helyett, ha csak néhány ügyfelet szeretne egy virtuális hálózathoz csatlakoztatni.You can also use P2S instead of a Site-to-Site VPN when you have only a few clients that need to connect to a VNet. A pont–hely kapcsolatok nem igényelnek VPN-eszközt vagy nyilvános IP-címet.Point-to-Site connections do not require a VPN device or a public-facing IP address. Pont–hely kapcsolat esetén SSTP (Secure Socket Tunneling Protocol) vagy IKEv2-protokoll használatával jön létre a VPN-kapcsolat.P2S creates the VPN connection over either SSTP (Secure Socket Tunneling Protocol), or IKEv2. További információkat a pont–hely VPN-ről a pont–hely VPN-t ismertető témakör tartalmaz.For more information about Point-to-Site VPN, see About Point-to-Site VPN.

Kapcsolódás számítógépről egy Azure VNet-pont – hely kapcsolati diagramhoz

További információ a pont – hely VPN-ről: Tudnivalók a pont – hely VPN-ről.For more information about point-to-site VPN, see About point-to-site VPN. Ha a Azure PowerShell használatával szeretné létrehozni ezt a konfigurációt, tekintse meg a pont – hely típusú VPN konfigurálása Azure PowerShell használatávalcímű témakört.To create this configuration using the Azure PowerShell, see Configure a point-to-site VPN using Azure PowerShell.

A pont – hely natív Azure-tanúsítvány hitelesítési kapcsolatai a következő elemeket használják, amelyeket ebben a gyakorlatban konfigurálhat:Point-to-site native Azure certificate authentication connections use the following items, which you configure in this exercise:

  • Útvonalalapú VPN-átjáró.A RouteBased VPN gateway.
  • A nyilvános kulcs (.cer fájl) egy főtanúsítványhoz, amely az Azure-ba van feltöltve.The public key (.cer file) for a root certificate, which is uploaded to Azure. A tanúsítványt a feltöltését követően megbízható tanúsítványnak tekinti a rendszer, és ezt használja hitelesítéshez.Once the certificate is uploaded, it is considered a trusted certificate and is used for authentication.
  • A főtanúsítványból létrejött ügyféltanúsítvány,A client certificate that is generated from the root certificate. amely a virtuális hálózathoz csatlakozó egyes ügyfélszámítógépekre telepített ügyféltanúsítvány.The client certificate installed on each client computer that will connect to the VNet. A rendszer ezt a tanúsítványt használja ügyfélhitelesítéshez.This certificate is used for client authentication.
  • VPN-ügyfél konfigurációja.VPN client configuration. A VPN-ügyfél VPN-ügyfél konfigurációs fájljai használatával van konfigurálva.The VPN client is configured using VPN client configuration files. Ezek a fájlok tartalmazzák a szükséges információkat ahhoz, hogy az ügyfél csatlakozhasson a VNet.These files contain the necessary information for the client to connect to the VNet. A csomag konfigurálja az operációs rendszer meglévő, natív VPN-ügyfelét.The files configure the existing VPN client that is native to the operating system. Minden csatlakozó ügyfelet a konfigurációs fájlokban szereplő beállításokkal kell konfigurálni.Each client that connects must be configured using the settings in the configuration files.

ElőfeltételekPrerequisites

Győződjön meg arról, hogy rendelkezik Azure-előfizetéssel.Verify that you have an Azure subscription. Ha még nincs Azure-előfizetése, aktiválhatja MSDN-előfizetői előnyeit, vagy regisztrálhat egy ingyenes fiókot.If you don't already have an Azure subscription, you can activate your MSDN subscriber benefits or sign up for a free account.

PéldaértékekExample values

Az alábbi értékek használatával létrehozhat egy tesztkörnyezetet, vagy segítségükkel értelmezheti a cikkben szereplő példákat:You can use the following values to create a test environment, or refer to these values to better understand the examples in this article:

  • Virtuális hálózat neve: VNet1VNet Name: VNet1
  • Címterület: 10.1.0.0/16Address space: 10.1.0.0/16
    Ebben a példában csak egy címteret használunk.For this example, we use only one address space. Azonban a virtuális hálózatához több címteret is használhat.You can have more than one address space for your VNet.
  • Alhálózat neve: FrontEndSubnet name: FrontEnd
  • Alhálózati címtartomány: 10.1.0.0/24Subnet address range: 10.1.0.0/24
  • Előfizetés: Ha több előfizetése is van, ellenőrizze, hogy a megfelelőt használja-e.Subscription: If you have more than one subscription, verify that you are using the correct one.
  • Erőforráscsoport: TestRG1Resource Group: TestRG1
  • Hely: USA keleti régiójaLocation: East US
  • GatewaySubnet: 10.1.255.0/27GatewaySubnet: 10.1.255.0/27
  • Virtuális hálózati átjáró neve: VNet1GWVirtual network gateway name: VNet1GW
  • Átjáró típusa: VPNGateway type: VPN
  • VPN típusa: útvonalalapúVPN type: Route-based
  • Nyilvános IP-cím neve: VNet1GWpipPublic IP address name: VNet1GWpip
  • Kapcsolat típusa: pont–helyConnection type: Point-to-site
  • Ügyfél címkészlet: 172.16.201.0/24Client address pool: 172.16.201.0/24
    Azok a VPN-ügyfelek, amelyek ezzel a pont–hely kapcsolattal csatlakoznak a virtuális hálózathoz, az ügyfélcímkészletből kapnak IP-címet.VPN clients that connect to the VNet using this Point-to-Site connection receive an IP address from the client address pool.

Virtuális hálózatVirtual network

Ebben a szakaszban egy új virtuális hálózatot hozhat létre.In this section, you create a virtual network.

Megjegyzés

Ha egy virtuális hálózatot a létesítmények közötti architektúrák részeként használ, mindenképpen koordinálja a helyszíni hálózati rendszergazdájával, hogy kifaragjon egy olyan IP-címtartományt, amelyet kifejezetten ehhez a virtuális hálózathoz használhat.When using a virtual network as part of a cross-premises architecture, be sure to coordinate with your on-premises network administrator to carve out an IP address range that you can use specifically for this virtual network. Ha egy duplikált címtartomány létezik a VPN-kapcsolat mindkét oldalán, a forgalom nem várt módon lesz átirányítva.If a duplicate address range exists on both sides of the VPN connection, traffic will route in an unexpected way. Emellett, ha a virtuális hálózatot egy másik virtuális hálózathoz szeretné kapcsolni, a Címterület nem fedi át a másik virtuális hálózatot.Additionally, if you want to connect this virtual network to another virtual network, the address space cannot overlap with the other virtual network. Ennek megfelelően tervezze meg a hálózati konfigurációt.Plan your network configuration accordingly.

  1. Jelentkezzen be az Azure Portalra.Sign in to the Azure portal.

  2. A keresési erőforrások, szolgáltatások és dokumentumok (G +/) területen írja be a virtuális hálózat kifejezést.In Search resources, service, and docs (G+/) , type virtual network.

    Virtual Network erőforrás oldalának megkereséseLocate Virtual Network resource page

  3. A piactér eredményei közül válassza a Virtual Network lehetőséget.Select Virtual Network from the Marketplace results.

    Virtuális hálózat kiválasztásaSelect virtual network

  4. A Virtual Network lapon válassza a Létrehozás lehetőséget.On the Virtual Network page, select Create.

    virtuális hálózat lapvirtual network page

  5. A Létrehozás gombra kattintva megnyílik a virtuális hálózat létrehozása lap.Once you select Create , the Create virtual network page opens.

  6. Az alapok lapon adja meg a Project details és a instance details VNet beállításait.On the Basics tab, configure Project details and Instance details VNet settings.

    Alapbeállítások lap A mezők kitöltése után zöld pipa jelenik meg, ha a mezőben megadott karaktereket érvényesíti a rendszer.Basics tab When you fill in the fields, you see a green check mark when the characters you enter in the field are validated. Néhány érték autofilled, amelyet a saját értékeivel helyettesíthet:Some values are autofilled, which you can replace with your own values:

    • Előfizetés : Ellenőrizze, hogy a felsorolt előfizetés megfelelő-e.Subscription : Verify that the subscription listed is the correct one. Az előfizetéseket a legördülő menüben módosíthatja.You can change subscriptions by using the drop-down.
    • Erőforráscsoport : válasszon ki egy meglévő erőforráscsoportot, vagy kattintson az új létrehozása lehetőségre egy új létrehozásához.Resource group : Select an existing resource group, or click Create new to create a new one. További információ az erőforráscsoportokkal kapcsolatban: Az Azure Resource Manager áttekintése.For more information about resource groups, see Azure Resource Manager overview.
    • Név : adja meg a virtuális hálózat nevét.Name : Enter the name for your virtual network.
    • Régió : válassza ki a VNet helyét.Region : Select the location for your VNet. A hely határozza meg, hogy az adott VNet üzembe helyezett erőforrások hol fognak élni.The location determines where the resources that you deploy to this VNet will live.
  7. Az IP-címek lapon adja meg az értékeket.On the IP Addresses tab, configure the values. Az alábbi példákban látható értékek szemléltetési célokat szolgálnak.The values shown in the examples below are for demonstration purposes. Módosítsa ezeket az értékeket a szükséges beállításoknak megfelelően.Adjust these values according to the settings that you require.

    IP-címek lapIP addresses tab

    • IPv4-címterület : alapértelmezés szerint a Címterület automatikusan létrejön.IPv4 address space : By default, an address space is automatically created. A Címterület elemre kattintva beállíthatja, hogy tükrözze a saját értékeit.You can click the address space to adjust it to reflect your own values. További címterület hozzáadására is lehetőség van.You can also add additional address spaces.
    • Alhálózat : Ha az alapértelmezett címtartományt használja, a rendszer automatikusan létrehoz egy alapértelmezett alhálózatot.Subnet : If you use the default address space, a default subnet is created automatically. Ha megváltoztatja a Címterület méretét, hozzá kell adnia egy alhálózatot.If you change the address space, you need to add a subnet. Válassza az + alhálózat hozzáadása lehetőséget az alhálózat hozzáadása ablak megnyitásához.Select + Add subnet to open the Add subnet window. Adja meg a következő beállításokat, majd válassza a Hozzáadás lehetőséget az értékek hozzáadásához:Configure the following settings and then select Add to add the values:
      • Alhálózat neve : ebben a példában a "FrontEnd" alhálózatot nevezték el.Subnet name : In this example, we named the subnet "FrontEnd".
      • Alhálózati címtartomány : az alhálózat címtartomány.Subnet address range : The address range for this subnet.
  8. A Biztonság lapon most hagyja meg az alapértelmezett értékeket:On the Security tab, at this time, leave the default values:

    • DDos Protection : alapszintűDDos protection : Basic
    • Tűzfal : letiltvaFirewall : Disabled
  9. A virtuális hálózat beállításainak ellenőrzéséhez válassza a felülvizsgálat + létrehozás elemet.Select Review + create to validate the virtual network settings.

  10. A beállítások érvényesítése után válassza a Létrehozás lehetőséget.After the settings have been validated, select Create.

Virtuális hálózati átjáróVirtual network gateway

Ebben a lépésben a virtuális hálózat virtuális hálózati átjáróját fogja létrehozni.In this step, you create the virtual network gateway for your VNet. Az átjáró létrehozása akár 45 percet vagy hosszabb időt is igénybe vehet a választott átjáró-termékváltozattól függően.Creating a gateway can often take 45 minutes or more, depending on the selected gateway SKU.

Megjegyzés

Az alapszintű átjáró SKU nem támogatja a IKEv2 vagy a RADIUS-hitelesítést.The Basic gateway SKU does not support IKEv2 or RADIUS authentication. Ha azt tervezi, hogy a Mac-ügyfelek csatlakoznak a virtuális hálózathoz, ne használja az alapszintű SKU-t.If you plan on having Mac clients connect to your virtual network, do not use the Basic SKU.

A virtuális hálózati átjáró az átjáróalhálózat elnevezésű alhálózatot használja.The virtual network gateway uses specific subnet called the gateway subnet. Az átjáróalhálózat a virtuális hálózat azon IP-címtartományának része, amelyet a virtuális hálózat konfigurálásakor ad meg.The gateway subnet is part of the virtual network IP address range that you specify when configuring your virtual network. Tartalmazza a virtuális hálózati átjáró-erőforrások és -szolgáltatások által használt IP-címeket.It contains the IP addresses that the virtual network gateway resources and services use.

Az átjáróalhálózat létrehozásakor meg kell adnia, hogy hány IP-címet tartalmaz az alhálózat.When you create the gateway subnet, you specify the number of IP addresses that the subnet contains. A szükséges IP-címek száma a létrehozni kívánt VPN-átjárókonfigurációtól függ.The number of IP addresses needed depends on the VPN gateway configuration that you want to create. Egyes konfigurációknak a többinél nagyobb számú IP-címre van szükségük.Some configurations require more IP addresses than others. /27-es vagy /28-as átjáróalhálózat létrehozását javasoljuk.We recommend that you create a gateway subnet that uses a /27 or /28.

Ha azt a hibaüzenetet kapja, hogy az alhálózat átfedésben van a címterekkel, vagy az alhálózat nincs a virtuális hálózat címterén belül, ellenőrizze a VNet címtartományát.If you see an error that specifies that the address space overlaps with a subnet, or that the subnet is not contained within the address space for your virtual network, check your VNet address range. Előfordulhat, hogy nincs elég IP-cím a virtuális hálózathoz létrehozott címtartományban.You may not have enough IP addresses available in the address range you created for your virtual network. Ha például az alapértelmezett alhálózat magában foglalja a teljes címtartományt, nem marad elég IP-cím további alhálózatok létrehozására.For example, if your default subnet encompasses the entire address range, there are no IP addresses left to create additional subnets. Módosíthatja a meglévő címtérben található alhálózatokat, hogy IP-címeket szabadítson fel, vagy megadhat egy további címtartományt, és létrehozhatja ott az átjáróalhálózatot.You can either adjust your subnets within the existing address space to free up IP addresses, or specify an additional address range and create the gateway subnet there.

  1. A Azure Portala Search Resources, Services és docs (G +/) Type Virtual Network Gateway.From the Azure portal, in Search resources, services, and docs (G+/) type virtual network gateway. Keresse meg a virtuális hálózati átjárót a keresési eredmények között, és jelölje ki.Locate Virtual network gateway in the search results and select it.

    Keresőmező

  2. A virtuális hálózati átjáró lapon válassza a + Hozzáadás lehetőséget.On the Virtual network gateway page, select + Add. Ez megnyitja a Virtuális hálózati átjáró létrehozása lapot.This opens the Create virtual network gateway page.

    virtuális hálózati átjárók lap

  3. Az alapvető beállítások lapon adja meg a virtuális hálózati átjáró értékeit.On the Basics tab, fill in the values for your virtual network gateway.

    Átjáró mezői

    További átjáró mezők

    • Előfizetés : válassza ki a legördülő listából használni kívánt előfizetést.Subscription : Select the subscription you want to use from the dropdown.
    • Erőforráscsoport : ezt a beállítást a rendszer a virtuális hálózat ezen a lapon való kiválasztásakor kitölti.Resource Group : This setting is autofilled when you select your virtual network on this page.

    Példány adataiInstance details

    • Név : adjon nevet az átjárónak.Name : Name your gateway. Az átjáró nem egyezhet meg az átjáró alhálózatának elnevezésével.Naming your gateway not the same as naming a gateway subnet. Ez a létrehozni kívánt átjáróobjektum neve.It's the name of the gateway object you are creating.
    • Régió : válassza ki azt a régiót, amelyben létre kívánja hozni ezt az erőforrást.Region : Select the region in which you want to create this resource. Az átjáró régiójának meg kell egyeznie a virtuális hálózattal.The region for the gateway must be the same as the virtual network.
    • Átjáró típusa : válassza ki a VPN elemet.Gateway type : Select VPN. A VPN-átjárók a VPN virtuális hálózati átjárótípust használják.VPN gateways use the virtual network gateway type VPN.
    • VPN típusa : válassza ki a konfigurációjához megadott VPN-típust.VPN type : Select the VPN type that is specified for your configuration. A legtöbb konfigurációhoz útvonalalapú VPN-típus szükséges.Most configurations require a Route-based VPN type.
    • SKU : válassza ki az átjáró SKU-ját a legördülő listából.SKU : Select the gateway SKU from the dropdown. A legördülő listában szereplő SKU-k a kiválasztott VPN-típustól függenek.The SKUs listed in the dropdown depend on the VPN type you select. Az átjáró-termékváltozatokkal kapcsolatos további információkért lásd: Gateway SKUs (Átjáró-termékváltozatok).For more information about gateway SKUs, see Gateway SKUs.
    • Létrehozás : VPN Gateway létrehozásával kapcsolatos információkért lásd: átjáró SKU-i.Generation : For information about VPN Gateway Generation, see Gateway SKUs.
    • Virtuális hálózat : a legördülő listából válassza ki azt a virtuális hálózatot, amelyhez hozzá kívánja adni az átjárót.Virtual network : From the dropdown, select the virtual network to which you want to add this gateway.
    • Átjáró alhálózatának címtartomány: Ez a mező csak akkor jelenik meg, ha a VNet nem rendelkezik átjáró-alhálózattal.Gateway subnet address range : This field only appears if your VNet doesn't have a gateway subnet. Ha lehetséges, végezze el a tartományt/27 vagy nagyobb (/26,/25 stb.).If possible, make the range /27 or larger (/26,/25 etc.). Nem javasoljuk, hogy a/28-nál kisebb tartományt hozzon létre.We don't recommend creating a range any smaller than /28. Ha már rendelkezik átjáró-alhálózattal, a virtuális hálózatra navigálva megtekintheti a GatewaySubnet adatait.If you already have a gateway subnet, you can view GatewaySubnet details by navigating to your virtual network. Az alhálózatok elemre kattintva megtekintheti a tartományt.Click Subnets to view the range. Ha módosítani szeretné a tartományt, törölheti és újból létrehozhatja a GatewaySubnet.If you want to change the range, you can delete and recreate the GatewaySubnet.

    Nyilvános IP-címPublic IP address

    Ezzel a beállítással adható meg a VPN-átjáróhoz társított nyilvános IP-cím objektum.This setting specifies the public IP address object that gets associated to the VPN gateway. A nyilvános IP-címet a rendszer dinamikusan rendeli hozzá ehhez az objektumhoz a VPN-átjáró létrehozásakor.The public IP address is dynamically assigned to this object when the VPN gateway is created. A nyilvános IP-cím kizárólag abban az esetben változik, ha az átjárót törli, majd újra létrehozza.The only time the Public IP address changes is when the gateway is deleted and re-created. Nem módosul átméretezés, alaphelyzetbe állítás, illetve a VPN Gateway belső karbantartása/frissítése során.It doesn't change across resizing, resetting, or other internal maintenance/upgrades of your VPN gateway.

    • Nyilvános IP-cím : hagyja a Create New (új ) elemet.Public IP address : Leave Create new selected.
    • Nyilvános IP-cím neve : a szövegmezőbe írja be a nyilvános IP-cím példányának nevét.Public IP address name : In the text box, type a name for your public IP address instance.
    • Hozzárendelés : a VPN-átjáró csak dinamikus használatát támogatja.Assignment : VPN gateway supports only Dynamic.
    • Aktív-aktív üzemmód engedélyezése : csak akkor válassza az aktív -aktív mód engedélyezése lehetőséget, ha aktív-aktív átjáró-konfigurációt hoz létre.Enable active-active mode : Only select Enable active-active mode if you are creating an active-active gateway configuration. Ellenkező esetben hagyja Letiltva ezt a beállítást.Otherwise, leave this setting Disabled.
    • Hagyja Letiltva a BGP konfigurálását , kivéve, ha a konfiguráció kifejezetten ehhez a beállításhoz szükséges.Leave Configure BGP as Disabled , unless your configuration specifically requires this setting. Ha szükség van a beállításra, az ASN alapértelmezett értéke 65515 lesz, de ez módosítható.If you do require this setting, the default ASN is 65515, although this can be changed.
  4. Válassza az ellenőrzés + létrehozás lehetőséget az érvényesítés futtatásához.Select Review + create to run validation.

  5. Az érvényesítést követően a Létrehozás gombra kattintva telepítheti a VPN-átjárót.Once validation passes, select Create to deploy the VPN gateway.

Az átjárók teljes létrehozása és üzembe helyezése akár 45 percet is igénybe vehet.A gateway can take up to 45 minutes to fully create and deploy. A telepítési állapotot az átjáró áttekintés lapján tekintheti meg.You can see the deployment status on the Overview page for your gateway. Az átjáró létrehozása után úgy tekintheti meg a hozzárendelt IP-címet, ha megnézi a virtuális hálózatot a portálon.After the gateway is created, you can view the IP address that has been assigned to it by looking at the virtual network in the portal. Az átjáró csatlakoztatott eszközként fog megjelenni.The gateway appears as a connected device.

Tanúsítványok előállításaGenerate certificates

A tanúsítványokat az Azure a virtuális hálózathoz pont–hely VPN-kapcsolaton keresztül csatlakozó ügyfelek hitelesítésére használja.Certificates are used by Azure to authenticate clients connecting to a VNet over a Point-to-Site VPN connection. Amint beszerzett egy főtanúsítványt, a nyilvánoskulcs-adatait feltölti az Azure-ba.Once you obtain a root certificate, you upload the public key information to Azure. Az Azure a főtanúsítványt ettől kezdve „megbízhatónak” tekinti a virtuális hálózathoz pont–hely kapcsolaton keresztüli csatlakozás esetén.The root certificate is then considered 'trusted' by Azure for connection over P2S to the virtual network. Létrehoz ügyféltanúsítványokat is a megbízható főtanúsítványból, majd telepíti őket az összes ügyfélszámítógépeken.You also generate client certificates from the trusted root certificate, and then install them on each client computer. Az ügyféltanúsítványt a rendszer az ügyfél hitelesítésére használja, amikor az a VNethez próbál csatlakozni.The client certificate is used to authenticate the client when it initiates a connection to the VNet.

Főtanúsítvány létrehozásaGenerate a root certificate

Szerezze be a. cer fájlt a főtanúsítványhoz.Obtain the .cer file for the root certificate. Használhat egy nagyvállalati megoldással (ajánlott) létrehozott főtanúsítványt, vagy létrehozhat egy önaláírt tanúsítványt.You can use either a root certificate that was generated with an enterprise solution (recommended), or generate a self-signed certificate. A főtanúsítvány létrehozása után exportálja a nyilvános tanúsítvány (nem a titkos kulcs) adatkészletét Base64 kódolású X. 509. cer fájlként.After you create the root certificate, export the public certificate data (not the private key) as a Base64 encoded X.509 .cer file. Ezt a fájlt később fel kell tölteni az Azure-ba.You upload this file later to Azure.

  • Vállalati tanúsítvány: Ha vállalati megoldást használ, használhatja a meglévő tanúsítványláncot.Enterprise certificate: If you're using an enterprise solution, you can use your existing certificate chain. Szerezze be a használni kívánt főtanúsítványhoz tartozó. cer fájlt.Acquire the .cer file for the root certificate that you want to use.

  • Önaláírt főtanúsítvány: Ha nem vállalati Tanúsítványos megoldást használ, hozzon létre egy önaláírt főtanúsítványt.Self-signed root certificate: If you aren't using an enterprise certificate solution, create a self-signed root certificate. Ellenkező esetben a létrehozott tanúsítványok nem lesznek kompatibilisek a P2S-kapcsolatokkal, és az ügyfelek csatlakozási hibaüzenetet kapnak, amikor megpróbálnak csatlakozni.Otherwise, the certificates you create won't be compatible with your P2S connections and clients will receive a connection error when they try to connect. Használhatja az Azure PowerShellt, a MakeCertet vagy az OpenSSL-t.You can use Azure PowerShell, MakeCert, or OpenSSL. Az alábbi cikkekben ismertetett lépések bemutatják, hogyan hozhatja ki a kompatibilis önaláírt főtanúsítványokat:The steps in the following articles describe how to generate a compatible self-signed root certificate:

    • A Windows 10 PowerShellre vonatkozó utasítások: Ezekhez az utasításokhoz Windows 10 és PowerShell szükséges a tanúsítványok létrehozásához.Windows 10 PowerShell instructions: These instructions require Windows 10 and PowerShell to generate certificates. A főtanúsítványból létrehozott ügyféltanúsítványok bármely támogatott P2S-ügyfélen telepíthetőek.Client certificates that are generated from the root certificate can be installed on any supported P2S client.
    • A MakeCertre vonatkozó utasítások: Ha nem rendelkezik hozzáféréssel Windows 10 rendszerű számítógéphez, a Makecert használatával is létrehozhat tanúsítványokat.MakeCert instructions: Use MakeCert if you don't have access to a Windows 10 computer to use to generate certificates. Bár a MakeCert elavult, továbbra is használhatja tanúsítvány létrehozásához.Although MakeCert is deprecated, you can still use it to generate certificates. A főtanúsítványból létrehozott Ügyféltanúsítványok bármelyik támogatott P2S-ügyfélen telepíthetők.Client certificates that you generate from the root certificate can be installed on any supported P2S client.
    • Linux-utasítások.Linux instructions.

Ügyféltanúsítványok előállításaGenerate client certificates

Minden olyan ügyfélszámítógépnek, amelyhez pont – hely kapcsolattal rendelkező VNet kapcsolódik, telepítenie kell egy ügyféltanúsítványt.Each client computer that you connect to a VNet with a Point-to-Site connection must have a client certificate installed. A rendszer létrehozza a főtanúsítványból, és telepíti az egyes ügyfélszámítógépekre.You generate it from the root certificate and install it on each client computer. Ha nem telepít érvényes ügyféltanúsítványt, a hitelesítés sikertelen lesz, ha az ügyfél megpróbál csatlakozni a VNet.If you don't install a valid client certificate, authentication will fail when the client tries to connect to the VNet.

Létrehozhat egy egyedi tanúsítványt minden ügyfél számára, vagy használhatja ugyanazt a tanúsítványt több ügyfélhez is.You can either generate a unique certificate for each client, or you can use the same certificate for multiple clients. Az egyedi ügyféltanúsítványok előállításának előnye az, hogy visszavonhat egyetlen tanúsítványt is.The advantage to generating unique client certificates is the ability to revoke a single certificate. Ellenkező esetben, ha több ügyfél ugyanazt az ügyféltanúsítványt használja a hitelesítéshez és a visszavonásához, új tanúsítványokat kell létrehoznia és telepítenie minden olyan ügyfélnél, amely ezt a tanúsítványt használja.Otherwise, if multiple clients use the same client certificate to authenticate and you revoke it, you'll need to generate and install new certificates for every client that uses that certificate.

Az ügyféltanúsítványok a következő módszerekkel hozhatók elő:You can generate client certificates by using the following methods:

  • Vállalati tanúsítvány:Enterprise certificate:

    • Ha vállalati Tanúsítványos megoldást használ, állítson elő egy ügyféltanúsítványt a köznapi név érték formátuma @ yourdomain.com .If you're using an enterprise certificate solution, generate a client certificate with the common name value format name@yourdomain.com . Ezt a formátumot a tartomány \ Felhasználónév formátuma helyett használja.Use this format instead of the domain name\username format.

    • Győződjön meg arról, hogy az ügyféltanúsítvány olyan felhasználói tanúsítványsablon alapján van megadva, amely a felhasználók listájának első elemeként szerepel az ügyfél-hitelesítésben .Make sure the client certificate is based on a user certificate template that has Client Authentication listed as the first item in the user list. Ellenőrizze a tanúsítványt úgy, hogy duplán kattint rá, és megtekinti a Kibővített kulcshasználat lehetőséget a részletek lapon.Check the certificate by double-clicking it and viewing Enhanced Key Usage in the Details tab.

  • Önaláírt főtanúsítvány: Kövesse az alábbi P2S-tanúsítványok egyikének lépéseit, hogy a létrehozott Ügyféltanúsítványok kompatibilisek legyenek a P2S-kapcsolatokkal.Self-signed root certificate: Follow the steps in one of the following P2S certificate articles so that the client certificates you create will be compatible with your P2S connections.

    Ha önaláírt főtanúsítványból állít elő ügyféltanúsítványt, azt a rendszer automatikusan telepíti a létrehozásához használt számítógépre.When you generate a client certificate from a self-signed root certificate, it's automatically installed on the computer that you used to generate it. Ha egy másik ügyfélszámítógépen szeretné telepíteni az ügyféltanúsítványt, exportálja. pfx-fájlként, valamint a teljes tanúsítványláncot.If you want to install a client certificate on another client computer, export it as a .pfx file, along with the entire certificate chain. Ekkor létrejön egy. pfx-fájl, amely tartalmazza az ügyfél hitelesítéséhez szükséges főtanúsítvány-információkat.Doing so will create a .pfx file that contains the root certificate information required for the client to authenticate.

    Az ezekben a cikkekben szereplő lépések egy kompatibilis ügyféltanúsítványt hoznak, amelyet azután exportálhat és terjeszthet.The steps in these articles generate a compatible client certificate, which you can then export and distribute.

    • A Windows 10 PowerShellre vonatkozó utasítások: Ezekhez az utasításokhoz Windows 10 és PowerShell szükséges a tanúsítványok létrehozásához.Windows 10 PowerShell instructions: These instructions require Windows 10 and PowerShell to generate certificates. A generált tanúsítványok telepíthetők bármely támogatott P2S-ügyfélre.The generated certificates can be installed on any supported P2S client.

    • MakeCert utasítások: a MakeCert használata, ha nem rendelkezik hozzáféréssel a Windows 10 rendszerű számítógépekhez a tanúsítványok létrehozásához.MakeCert instructions: Use MakeCert if you don't have access to a Windows 10 computer for generating certificates. Bár a MakeCert elavult, továbbra is használhatja tanúsítvány létrehozásához.Although MakeCert is deprecated, you can still use it to generate certificates. A generált tanúsítványokat bármely támogatott P2S-ügyfélre telepítheti.You can install the generated certificates on any supported P2S client.

    • Linux-utasítások.Linux instructions.

ÜgyfélcímkészletClient address pool

Az ügyfélcímkészlet megadott magánhálózati IP-címek tartománya.The client address pool is a range of private IP addresses that you specify. A pont–hely VPN-kapcsolattal csatlakozó ügyfelek ebből a tartományból kapnak dinamikusan IP-címet.The clients that connect over a Point-to-Site VPN dynamically receive an IP address from this range. Olyan magánhálózati IP-címtartományt használjon, amely nincs átfedésben azzal a helyszíni hellyel, amelyről csatlakozik, vagy azzal a virtuális hálózattal, amelyhez csatlakozik.Use a private IP address range that does not overlap with the on-premises location that you connect from, or the VNet that you want to connect to. Ha több protokollt konfigurál, és az SSTP a protokollok egyike, akkor a konfigurált címkészlet egyenlően oszlik meg a konfigurált protokollok között.If you configure multiple protocols and SSTP is one of the protocols, then the configured address pool is split between the configured protocols equally.

  1. Miután létrehozta a virtuális hálózati átjárót, navigáljon a virtuális hálózati átjáró lapjának Beállítások részéhez.Once the virtual network gateway has been created, navigate to the Settings section of the virtual network gateway page. A Beállítások területen válassza a pont – hely konfiguráció lehetőséget.In Settings, select Point-to-site configuration. Válassza a Konfigurálás most lehetőséget a konfigurációs lap megnyitásához.Select Configure now to open the configuration page.

    Pont – hely konfiguráció lap

  2. A pont – hely konfiguráció oldalon a címkészlet mezőben adja meg a használni kívánt magánhálózati IP-címtartományt.On the Point-to-site configuration page, in the Address pool box, add the private IP address range that you want to use. A VPN-ügyfelek dinamikusan kapnak egy IP-címet a megadott tartományból.VPN clients dynamically receive an IP address from the range that you specify. A minimális alhálózati maszk 29 bites aktív/passzív és 28 bites az aktív/aktív konfigurációhoz.The minimum subnet mask is 29 bit for active/passive and 28 bit for active/active configuration.

  3. Folytassa a következő szakasszal a hitelesítési és bújtatási típusok konfigurálásához.Continue to the next section to configure authentication and tunnel types.

Hitelesítési és bújtatási típusokAuthentication and tunnel types

Ebben a szakaszban a hitelesítés típusát és a bújtatás típusát konfigurálja.In this section, you configure authentication type and tunnel type. Ha nem látja az alagút típusát vagy a hitelesítési típust, a pont – hely konfiguráció lapon az átjáró az alapszintű SKU-t használja.On the Point-to-site configuration page, if you don't see Tunnel type or Authentication type, your gateway is using the Basic SKU. Az alapszintű termékváltozat nem támogatja az IKEv2- vagy RADIUS-hitelesítést.The Basic SKU does not support IKEv2 or RADIUS authentication. Ha ezeket a beállításokat szeretné használni, törölnie kell, majd újra létre kell hoznia az átjárót egy másik átjáró-SKU használatával.If you want to use these settings, you need to delete and recreate the gateway using a different gateway SKU.

AlagúttípusTunnel type

A pont – hely konfiguráció lapon válassza ki az alagút típusát.On the Point-to-site configuration page, select the tunnel type. Az alagút beállításai az OpenVPN, az SSTP és a IKEv2.The tunnel options are OpenVPN, SSTP and IKEv2.

  • Az Android- és Linux-alapú strongSwan-ügyfél, valamint az iOS- és OS X-alapú natív IKEv2 VPN-ügyfél csak IKEv2-alagutat használ a kapcsolódáshoz.The strongSwan client on Android and Linux and the native IKEv2 VPN client on iOS and OSX will use only IKEv2 tunnel to connect.
  • A Windows-ügyfelek először a IKEv2 próbálják meg, és ha ez nem sikerül, a rendszer az SSTP-re esik vissza.Windows clients try IKEv2 first and if that doesn't connect, they fall back to SSTP.
  • Az OpenVPN-ügyfél használatával kapcsolódhat az OpenVPN-alagút típusához.You can use the OpenVPN client to connect to the OpenVPN tunnel type.

HitelesítéstípusAuthentication type

A Hitelesítés típusa beállításnál válassza az Azure-tanúsítvány lehetőséget.For Authentication type, select Azure certificate.

Főtanúsítvány-adatértékekRoot certificate data

Ebben a szakaszban a nyilvános legfelső szintű tanúsítványokra vonatkozó adatok feltöltése az Azure-ba.In this section, you upload public root certificate data to Azure. Miután feltöltötte a nyilvános tanúsítványadatokat, az Azure felhasználhatja azon ügyfelek hitelesítéséhez, amelyeken telepítve lett egy, a megbízható főtanúsítványból létrehozott ügyféltanúsítvány.Once the public certificate data is uploaded, Azure can use it to authenticate clients that have installed a client certificate generated from the trusted root certificate.

  1. A tanúsítványokat a rendszer hozzáadja a Főtanúsítvány szakasz Pont–hely konfiguráció lapjához.Certificates are added on the Point-to-site configuration page in the Root certificate section.

  2. Győződjön meg arról, hogy Base-64 kódolású X.509 (.cer) fájlként exportálta a főtanúsítványt.Make sure that you exported the root certificate as a Base-64 encoded X.509 (.cer) file. Ebben a formátumban kell exportálnia a tanúsítványt, hogy szövegszerkesztővel meg tudja azt nyitni.You need to export the certificate in this format so you can open the certificate with text editor.

  3. Nyissa megy a tanúsítványt egy szövegszerkesztővel, például a Jegyzettömbbel.Open the certificate with a text editor, such as Notepad. A tanúsítványadatok másolásakor a szöveget egy folyamatos sorként másolja kocsivissza vagy új sor nélkül.When copying the certificate data, make sure that you copy the text as one continuous line without carriage returns or line feeds. A kocsivisszák és az új sorok megjelenítéséhez lehet, hogy módosítania kell a nézetet a szövegszerkesztőben a „Szimbólum megjelenítése/Minden karakter megjelenítése” beállításra.You may need to modify your view in the text editor to 'Show Symbol/Show all characters' to see the carriage returns and line feeds. Csak a következő szakaszt másolja egy folyamatos sorként:Copy only the following section as one continuous line:

    Tanúsítvány-adatértékek

  4. Illessze be a tanúsítványadatokat a Nyilvános tanúsítványadatok mezőbe.Paste the certificate data into the Public Certificate Data field. Nevezze el a tanúsítványt, majd kattintson a Mentés gombra.Name the certificate, and then select Save. Legfeljebb 20 megbízható főtanúsítványt adhat hozzá.You can add up to 20 trusted root certificates.

    Tanúsítványfájl beillesztése

  5. Válassza a Mentés lehetőséget az oldal tetején az összes konfigurációs beállítás mentéséhez.Select Save at the top of the page to save all of the configuration settings.

    Konfiguráció mentése

ÜgyféltanúsítványClient certificate

Ha a tanúsítvány létrehozásához használttól eltérő ügyfélszámítógépről szeretne pont–hely kapcsolatot létesíteni, akkor telepítenie kell egy ügyféltanúsítványt.If you want to create a P2S connection from a client computer other than the one you used to generate the client certificates, you need to install a client certificate. Az ügyféltanúsítvány telepítésekor szükség lesz az ügyféltanúsítvány exportálásakor létrehozott jelszóra.When installing a client certificate, you need the password that was created when the client certificate was exported.

Győződjön meg arról, hogy az ügyféltanúsítványt .pfx fájlként exportálta a teljes tanúsítványlánccal együtt (ez az alapértelmezett beállítás).Make sure the client certificate was exported as a .pfx along with the entire certificate chain (which is the default). Egyéb esetben a főtanúsítvány adatai nem lesznek jelen az ügyfélszámítógépen, és az ügyfél nem fogja tudni megfelelően elvégezni a hitelesítést.Otherwise, the root certificate information isn't present on the client computer and the client won't be able to authenticate properly.

A telepítés lépései az ügyféltanúsítvány telepítésével foglalkozó részben találhatók.For install steps, see Install a client certificate.

VPN-ügyfél konfigurációs csomagjaVPN client configuration package

A VPN-ügyfeleket ügyfél-konfigurációs beállításokkal kell konfigurálni.VPN clients must be configured with client configuration settings. A VPN-ügyfél konfigurációs csomagja olyan fájlokat tartalmaz, amelyek a VPN-ügyfelek konfigurálására szolgáló beállításokat tartalmaznak, hogy P2S-kapcsolaton keresztül csatlakozzanak egy VNet.The VPN client configuration package contains files with the settings to configure VPN clients in order to connect to a VNet over a P2S connection.

A VPN-ügyfél konfigurációs fájljainak létrehozásával és telepítésével kapcsolatos lépésekért lásd: VPN-ügyfél konfigurációs fájljainak létrehozása és telepítése natív Azure tanúsítvány-hitelesítési P2S-konfigurációkhoz.For steps to generate and install VPN client configuration files, see Create and install VPN client configuration files for native Azure certificate authentication P2S configurations.

Csatlakozás az Azure szolgáltatáshozConnect to Azure

Csatlakozás Windows VPN-ügyfélrőlTo connect from a Windows VPN client

Megjegyzés

Rendszergazdai jogosultsággal kell rendelkeznie azon a Windows ügyfélszámítógépen, ahonnan csatlakozik.You must have Administrator rights on the Windows client computer from which you are connecting.

  1. A VNet való csatlakozáshoz az ügyfélszámítógépen navigáljon a VPN-beállítások elemre, és keresse meg a létrehozott VPN-kapcsolatot.To connect to your VNet, on the client computer, navigate to VPN settings and locate the VPN connection that you created. Neve megegyezik a virtuális hálózat nevével.It's named the same name as your virtual network. Válassza a Kapcsolódás lehetőséget.Select Connect . Megjelenhet egy előugró üzenet, amely a tanúsítvány használatára utal.A pop-up message may appear that refers to using the certificate. Kattintson a tovább gombra emelt szintű jogosultságok használatához.Select Continue to use elevated privileges.

  2. A kapcsolat állapota lapon válassza a Kapcsolódás lehetőséget a kapcsolat indításához.On the Connection status page, select Connect to start the connection. Ha megjelenik a Tanúsítvány kiválasztása képernyő, ellenőrizze, hogy az a csatlakozáshoz használni kívánt ügyféltanúsítványt mutatja-e.If you see a Select Certificate screen, verify that the client certificate showing is the one that you want to use to connect. Ha nem, a legördülő menüben válassza ki a megfelelő tanúsítványt, majd kattintson az OK gombra .If it is not, use the drop-down arrow to select the correct certificate, and then select OK .

    Kapcsolat Windows rendszerű számítógépről

  3. A kapcsolat létrejött.Your connection is established.

    Kapcsolódás számítógépről egy Azure VNet-pont – hely kapcsolati diagramhoz

Ha nem sikerül a csatlakozás, ellenőrizze a következő elemeket:If you have trouble connecting, check the following items:

  • Ha exportált egy ügyféltanúsítványt a Tanúsítvány exportálása varázslóval, akkor győződjön meg róla, hogy. pfx-fájlként exportálta, és Ha lehetséges, az összes tanúsítvány belefoglalása a tanúsítvány elérési útjábajelölőnégyzetet.If you exported a client certificate with Certificate Export Wizard, make sure that you exported it as a .pfx file and selected Include all certificates in the certification path if possible. Ha ezzel az értékkel exportálja, a rendszer a főtanúsítvány információit is exportálja.When you export it with this value, the root certificate information is also exported. Miután telepítette a tanúsítványt az ügyfélszámítógépen, a. pfx-fájl főtanúsítványa is telepítve lesz.After you install the certificate on the client computer, the root certificate in the .pfx file is also installed. A főtanúsítvány telepítésének ellenőrzéséhez nyissa meg a felhasználói tanúsítványok kezelése elemet, és válassza a megbízható legfelső szintű hitelesítésszolgáltató \ tanúsítványok részhezlehetőséget.To verify that the root certificate is installed, open Manage user certificates and select Trusted Root Certification Authorities\Certificates. Ellenőrizze, hogy a főtanúsítvány szerepel-e a listáján, amelynek a hitelesítés működéséhez jelen kell lennie.Verify that the root certificate is listed, which must be present for authentication to work.

  • Ha olyan tanúsítványt használt, amelyet vállalati HITELESÍTÉSSZOLGÁLTATÓI megoldás bocsátott ki, és nem tud hitelesíteni, ellenőrizze az ügyféltanúsítvány hitelesítési sorrendjét.If you used a certificate that was issued by an Enterprise CA solution and you can't authenticate, verify the authentication order on the client certificate. Ellenőrizze a hitelesítési lista sorrendjét, ha duplán kattint az ügyféltanúsítvány elemre, majd válassza a részletek lapot, majd a Kibővített kulcshasználatelemet.Check the authentication list order by double-clicking the client certificate, selecting the Details tab, and then selecting Enhanced Key Usage. Győződjön meg arról, hogy az ügyfél-hitelesítés a lista első eleme.Make sure Client Authentication is the first item in the list. Ha nem, állítson ki egy ügyféltanúsítványt az ügyfél-hitelesítéssel rendelkező felhasználói sablon alapján a lista első elemeként.If it isn't, issue a client certificate based on the user template that has Client Authentication as the first item in the list.

  • A pont–hely (P2S) hibaelhárítással kapcsolatos további információkért lásd: Troubleshoot P2S connections (Pont–hely kapcsolatok hibaelhárítása).For additional P2S troubleshooting information, see Troubleshoot P2S connections.

Csatlakozás Mac VPN-ügyfélrőlTo connect from a Mac VPN client

A hálózat párbeszédpanelen keresse meg a használni kívánt ügyféloldali profilt, adja meg a beállításokat a VpnSettings.xml, majd válassza a Kapcsolódás lehetőséget.From the Network dialog box, locate the client profile that you want to use, specify the settings from the VpnSettings.xml, and then select Connect.

Részletes utasításokért lásd: install-Mac (OS X) .Check Install - Mac (OS X) for detailed instructions. Ha nem sikerül a csatlakozás, ellenőrizze, hogy a virtuális hálózati átjáró nem alapszintű SKU-t használ-e.If you are having trouble connecting, verify that the virtual network gateway is not using a Basic SKU. A Mac-ügyfelek nem támogatják az alapszintű SKU-t.Basic SKU is not supported for Mac clients.

Mac VPN-ügyfél kapcsolata

A kapcsolat ellenőrzéseTo verify your connection

Ezek az utasítások Windows-ügyfelekre érvényesek.These instructions apply to Windows clients.

  1. Annak ellenőrzéséhez, hogy a VPN-kapcsolat aktív-e, nyisson meg egy rendszergazda jogú parancssort, és futtassa az ipconfig/all parancsot.To verify that your VPN connection is active, open an elevated command prompt, and run ipconfig/all.

  2. Tekintse meg az eredményeket.View the results. Figyelje meg, hogy a kapott IP-cím azok közül a címek közül való, amelyeket a pont–hely VPN-ügyfél konfigurációjának címkészletében megadott.Notice that the IP address you received is one of the addresses within the Point-to-Site VPN Client Address Pool that you specified in your configuration. Az eredmények az alábbi példában szereplőkhöz hasonlóak:The results are similar to this example:

    PPP adapter VNet1:
       Connection-specific DNS Suffix .:
       Description.....................: VNet1
       Physical Address................:
       DHCP Enabled....................: No
       Autoconfiguration Enabled.......: Yes
       IPv4 Address....................: 172.16.201.3(Preferred)
       Subnet Mask.....................: 255.255.255.255
       Default Gateway.................:
       NetBIOS over Tcpip..............: Enabled
    

Csatlakozás virtuális géphezTo connect to a virtual machine

Ezek az utasítások Windows-ügyfelekre érvényesek.These instructions apply to Windows clients.

Ha létrehoz egy távoli asztali kapcsolatot a virtuális géppel, csatlakozhat egy virtuális hálózaton üzembe helyezett virtuális géphez.You can connect to a VM that is deployed to your VNet by creating a Remote Desktop Connection to your VM. A legjobb mód arra, hogy először ellenőrizze, hogy tud-e csatlakozni a virtuális géphez, ha egy magánhálózati IP-címet használ a számítógép neve helyett.The best way to initially verify that you can connect to your VM is to connect by using its private IP address, rather than computer name. Ily módon azt teszteli, hogy tud-e csatlakozni, nem azt, hogy a névfeloldás megfelelően van-e konfigurálva.That way, you are testing to see if you can connect, not whether name resolution is configured properly.

  1. Keresse meg a magánhálózati IP-címet.Locate the private IP address. Ha egy virtuális gép magánhálózati IP-címét szeretné megkeresni, vagy tekintse meg a virtuális gép tulajdonságait az Azure Portalon, vagy használja a PowerShellt.You can find the private IP address of a VM by either looking at the properties for the VM in the Azure portal, or by using PowerShell.

    • Azure Portal – Keresse meg a virtuális gépet az Azure Portalon.Azure portal - Locate your virtual machine in the Azure portal. Tekintse meg a virtuális gép tulajdonságait.View the properties for the VM. A magánhálózati IP-cím a listában szerepel.The private IP address is listed.

    • PowerShell – A példa segítségével tekintse meg a virtuális gépek listáját és magánhálózati IP-címeket az erőforráscsoportokból.PowerShell - Use the example to view a list of VMs and private IP addresses from your resource groups. Ezt a példát nem kell használat előtt módosítania.You don't need to modify this example before using it.

      $VMs = Get-AzVM
      $Nics = Get-AzNetworkInterface | Where VirtualMachine -ne $null
      
      foreach($Nic in $Nics)
      {
      $VM = $VMs | Where-Object -Property Id -eq $Nic.VirtualMachine.Id
      $Prv = $Nic.IpConfigurations | Select-Object -ExpandProperty PrivateIpAddress
      $Alloc = $Nic.IpConfigurations | Select-Object -ExpandProperty PrivateIpAllocationMethod
      Write-Output "$($VM.Name): $Prv,$Alloc"
      }
      
  2. Győződjön meg arról, hogy pont–hely típusú VPN-kapcsolattal csatlakozik a virtuális hálózathoz.Verify that you are connected to your VNet using the Point-to-Site VPN connection.

  3. Nyissa meg Távoli asztali kapcsolat az "RDP" vagy a "távoli asztali kapcsolat" beírásával a tálcán található keresőmezőbe, majd válassza a távoli asztali kapcsolat lehetőséget.Open Remote Desktop Connection by typing "RDP" or "Remote Desktop Connection" in the search box on the taskbar, then select Remote Desktop Connection. A távoli asztali kapcsolatot megnyithatja a PowerShell „mstsc” parancsával is.You can also open Remote Desktop Connection using the 'mstsc' command in PowerShell.

  4. A távoli asztali kapcsolatban írja be a virtuális gép magánhálózati IP-címét.In Remote Desktop Connection, enter the private IP address of the VM. A további beállításokat a „Beállítások megjelenítése” gombra kattintva módosíthatja. Ha végzett, hozza létre a kapcsolatot.You can click "Show Options" to adjust additional settings, then connect.

Kapcsolat hibaelhárításaTroubleshoot a connection

Ha probléma adódik egy virtuális gép VPN-kapcsolaton keresztüli csatlakoztatása során, ellenőrizze az alábbiakat:If you are having trouble connecting to a virtual machine over your VPN connection, check the following:

  • Ellenőrizze, hogy a VPN-kapcsolat sikeresen létrejött-e.Verify that your VPN connection is successful.

  • Ellenőrizze, hogy a virtuális gép magánhálózati IP-címéhez csatlakozik-e.Verify that you are connecting to the private IP address for the VM.

  • Ha tud csatlakozni a virtuális géphez a magánhálózati IP-címmel, de a számítógép nevével nem, ellenőrizze, hogy a DNS-konfiguráció megfelelő-e.If you can connect to the VM using the private IP address, but not the computer name, verify that you have configured DNS properly. A virtuális gépek névfeloldásának működésével kapcsolatos további információkért lásd a virtuális gépek névfeloldásával foglakozó cikket.For more information about how name resolution works for VMs, see Name Resolution for VMs.

  • Az RDP-kapcsolatokkal kapcsolatos további információkért lásd a virtuális gép távoli asztali kapcsolatainak hibaelhárításával foglalkozó cikket.For more information about RDP connections, see Troubleshoot Remote Desktop connections to a VM.

  • Ellenőrizze, hogy létrejött-e a VPN-ügyfél konfigurációs csomagja azután, hogy a DNS-kiszolgáló IP-címei meg lettek adva a virtuális hálózathoz.Verify that the VPN client configuration package was generated after the DNS server IP addresses were specified for the VNet. Ha frissítette a DNS-kiszolgáló IP-címeit, hozzon létre és telepítsen egy új VPN-ügyfélkonfigurációs csomagot.If you updated the DNS server IP addresses, generate and install a new VPN client configuration package.

  • Az „ipconfig” használatával ellenőrizze annak a számítógépnek az Ethernet-adapteréhez hozzárendelt IPv4-címet, amelyről a kapcsolatot létesíti.Use 'ipconfig' to check the IPv4 address assigned to the Ethernet adapter on the computer from which you are connecting. Ha az IP-cím azon virtuális hálózat tartományában található, amelyhez csatlakozni kíván, vagy a VPN-ügyfél címkészletének címtartományában, akkor átfedő címtérről beszélünk.If the IP address is within the address range of the VNet that you are connecting to, or within the address range of your VPNClientAddressPool, this is referred to as an overlapping address space. Ilyen átfedés esetén a hálózati forgalom nem éri el az Azure-t, és a helyi hálózaton marad.When your address space overlaps in this way, the network traffic doesn't reach Azure, it stays on the local network.

Megbízható főtanúsítványok hozzáadása vagy eltávolításaTo add or remove trusted root certificates

A megbízható főtanúsítványokat felveheti vagy el is távolíthatja az Azure-ban.You can add and remove trusted root certificates from Azure. Főtanúsítvány eltávolításakor az abból a gyökérből létrehozott tanúsítvánnyal rendelkező ügyfelek nem fognak tudni hitelesítést végezni, így csatlakozni sem.When you remove a root certificate, clients that have a certificate generated from that root won't be able to authenticate, and thus will not be able to connect. Ha azt szeretné, hogy az ügyfelek hitelesítést végezhessenek és csatlakozni tudjanak, telepítenie kell egy olyan új ügyféltanúsítványt, amelyet az Azure által megbízhatónak tartott (feltöltött) főtanúsítványból hoztak létre.If you want a client to authenticate and connect, you need to install a new client certificate generated from a root certificate that is trusted (uploaded) to Azure.

Megbízható főtanúsítvány hozzáadásaTo add a trusted root certificate

Az Azure-ra legfeljebb 20 megbízható főtanúsítványt tölthet fel .cer fájl formájában.You can add up to 20 trusted root certificate .cer files to Azure. Útmutatásért lásd a jelen cikk Megbízható főtanúsítvány feltöltése című szakaszát.For instructions, see the section Upload a trusted root certificate in this article.

Megbízható főtanúsítvány eltávolításaTo remove a trusted root certificate

  1. A megbízható főtanúsítvány eltávolításához lépjen a virtuális hálózati átjáróhoz tartozó Pont–hely konfiguráció lapra.To remove a trusted root certificate, navigate to the Point-to-site configuration page for your virtual network gateway.
  2. Keresse meg az eltávolítani kívánt tanúsítványt a lap Főtanúsítvány szakaszában.In the Root certificate section of the page, locate the certificate that you want to remove.
  3. Válassza ki a tanúsítvány melletti három pontot, majd válassza az Eltávolítás lehetőséget.Select the ellipsis next to the certificate, and then select 'Remove'.

Ügyféltanúsítvány visszavonásaTo revoke a client certificate

Az ügyféltanúsítványokat vissza lehet vonni.You can revoke client certificates. A visszavont tanúsítványok listájával az egyes ügyféltanúsítványok alapján, szelektíven tagadhatja meg a pont–hely kapcsolódás lehetőségét.The certificate revocation list allows you to selectively deny Point-to-Site connectivity based on individual client certificates. Ez a folyamat eltér a megbízható főtanúsítvány eltávolításától.This is different than removing a trusted root certificate. Ha töröl egy .cer formátumú megbízható főtanúsítványt az Azure-ból, azzal megvonja a hozzáférést minden olyan ügyféltanúsítványtól, amelyet a visszavont főtanúsítvánnyal hoztak létre/írtak alá.If you remove a trusted root certificate .cer from Azure, it revokes the access for all client certificates generated/signed by the revoked root certificate. A főtanúsítvány helyett az ügyféltanúsítvány visszavonása esetén a főtanúsítványból létrehozott többi tanúsítvány továbbra is használható hitelesítésre.Revoking a client certificate, rather than the root certificate, allows the other certificates that were generated from the root certificate to continue to be used for authentication.

A szokásos gyakorlat az, hogy a főtanúsítvánnyal kezelik a hozzáférést a munkacsoport vagy a szervezet szintjén, az egyes felhasználókra vonatkozó részletesebb szabályozást pedig visszavont ügyféltanúsítványokkal oldják meg.The common practice is to use the root certificate to manage access at team or organization levels, while using revoked client certificates for fine-grained access control on individual users.

Ügyféltanúsítvány visszavonásaRevoke a client certificate

Az ügyféltanúsítványok visszavonásához vegye fel az ujjlenyomatot a visszavont tanúsítványok listájára.You can revoke a client certificate by adding the thumbprint to the revocation list.

  1. Kérje le az ügyféltanúsítvány ujjlenyomatát.Retrieve the client certificate thumbprint. További információkat a tanúsítványok ujjlenyomatának lekérését ismertető útmutatóban találhat.For more information, see How to retrieve the Thumbprint of a Certificate.
  2. Másolja át az adatokat egy szövegszerkesztőbe, és távolítsa el az összes szóközt, hogy egy folyamatos sztringet kapjon.Copy the information to a text editor and remove all spaces so that it is a continuous string.
  3. Lépjen a virtuális hálózati átjáró Pont–hely konfiguráció lapjára.Navigate to the virtual network gateway Point-to-site-configuration page. Ez ugyanaz a lap, amelyet a megbízható főtanúsítvány feltöltéséhez használt.This is the same page that you used to upload a trusted root certificate.
  4. A Visszavont tanúsítványok szakaszban adjon egy rövid nevet a tanúsítványnak (ennek nem kell megegyeznie a tanúsítvány köznapi nevével).In the Revoked certificates section, input a friendly name for the certificate (it doesn't have to be the certificate CN).
  5. Másolja ki és illessze be az ujjlenyomat sztringjét az Ujjlenyomat mezőbe.Copy and paste the thumbprint string to the Thumbprint field.
  6. A rendszer ellenőrzi az ujjlenyomatot, és automatikusan hozzáadja a visszavont tanúsítványok listájához.The thumbprint validates and is automatically added to the revocation list. A képernyőn megjelenik egy üzenet, amely szerint a lista frissítése folyamatban van.A message appears on the screen that the list is updating.
  7. A frissítés befejezését követően a tanúsítvány már nem használható csatlakozáshoz.After updating has completed, the certificate can no longer be used to connect. Azok az ügyfelek, akik ezzel a tanúsítvánnyal próbálnak csatlakozni, egy üzenetet kapnak majd arról, hogy a tanúsítvány már nem érvényes.Clients that try to connect using this certificate receive a message saying that the certificate is no longer valid.

Pont–hely kapcsolatok – gyakori kérdésekPoint-to-Site FAQ

Ez a szakasz a pont – hely konfigurációkra vonatkozó GYIK-információkat tartalmaz.This section contains FAQ information that pertains to Point-to-Site configurations. A VPN Gatewayról további információt a VPN Gateway gyakori kérdések című témakörben talál.You can also view the VPN Gateway FAQ for additional information about VPN Gateway.

Hány VPN-ügyfélvégpont lehet a pont–hely konfigurációban?How many VPN client endpoints can I have in my Point-to-Site configuration?

Ez az átjáró SKU-jának függ.It depends on the gateway SKU. A támogatott kapcsolatok számával kapcsolatos további információkért lásd: átjáró SKU-i.For more information on the number of connections supported, see Gateway SKUs.

Milyen ügyféloldali operációs rendszereket használhatok pont – hely kapcsolatokhoz?What client operating systems can I use with Point-to-Site?

A következő ügyféloldali operációs rendszerek támogatottak:The following client operating systems are supported:

  • Windows 7 (32 bites és 64 bites)Windows 7 (32-bit and 64-bit)
  • Windows Server 2008 R2 (csak 64 bites)Windows Server 2008 R2 (64-bit only)
  • Windows 8.1 (32 bites és 64 bites)Windows 8.1 (32-bit and 64-bit)
  • Windows Server 2012 (csak 64 bites)Windows Server 2012 (64-bit only)
  • Windows Server 2012 R2 (csak 64 bites)Windows Server 2012 R2 (64-bit only)
  • Windows Server 2016 (csak 64 bites)Windows Server 2016 (64-bit only)
  • Windows Server 2019 (csak 64 bites)Windows Server 2019 (64-bit only)
  • Windows 10Windows 10
  • Mac OS X 10,11 vagy újabb verzióMac OS X version 10.11 or above
  • Linux (StrongSwan)Linux (StrongSwan)
  • iOSiOS

Megjegyzés

2018. július 1-től az Azure VPN Gatewayből el lett távolítva a TLS 1.0 és 1.1 támogatása.Starting July 1, 2018, support is being removed for TLS 1.0 and 1.1 from Azure VPN Gateway. Ettől kezdve az Azure VPN Gateway csak a TLS 1.2-es verzióját támogatja.VPN Gateway will support only TLS 1.2. A támogatás fenntartásához tekintse meg a TLS 1.2 támogatását engedélyező frissítéseket.To maintain support, see the updates to enable support for TLS1.2.

Emellett a következő örökölt algoritmusok is elavultak lesznek a TLS-hez a 2018-es július 1-jén:Additionally, the following legacy algorithms will also be deprecated for TLS on July 1, 2018:

  • RC4 (Rivest Cipher 4)RC4 (Rivest Cipher 4)
  • DES (adattitkosítási algoritmus)DES (Data Encryption Algorithm)
  • 3DES (háromszoros adattitkosítási algoritmus)3DES (Triple Data Encryption Algorithm)
  • MD5 (Message Digest 5)MD5 (Message Digest 5)

Hogyan engedélyezi a TLS 1,2 támogatását a Windows 7 és a Windows 8,1 rendszerben?How do I enable support for TLS 1.2 in Windows 7 and Windows 8.1?

  1. Nyisson meg egy parancssort emelt szintű jogosultságokkal. ehhez kattintson a jobb gombbal a parancssorra, és válassza a Futtatás rendszergazdaként parancsot.Open a command prompt with elevated privileges by right-clicking on Command Prompt and selecting Run as administrator.

  2. Futtassa az alábbi parancsokat a parancssorban:Run the following commands in the command prompt:

    reg add HKLM\SYSTEM\CurrentControlSet\Services\RasMan\PPP\EAP\13 /v TlsVersion /t REG_DWORD /d 0xfc0
    reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp" /v DefaultSecureProtocols /t REG_DWORD /d 0xaa0
    if %PROCESSOR_ARCHITECTURE% EQU AMD64 reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp" /v DefaultSecureProtocols /t REG_DWORD /d 0xaa0
    
  3. Telepítse a következő frissítéseket:Install the following updates:

  4. Indítsa újra a számítógépet.Reboot the computer.

  5. Kapcsolódjon a VPN-hez.Connect to the VPN.

Megjegyzés

Ha a Windows 10 régebbi verzióját (10240) futtatja, akkor a fenti beállításkulcsot kell beállítania.You will have to set the above registry key if you are running an older version of Windows 10 (10240).

Lehetővé teszi-e a pont–hely kapcsolat a proxykon és tűzfalakon való áthaladást?Can I traverse proxies and firewalls using Point-to-Site capability?

Az Azure háromféle pont – hely típusú VPN-beállítást támogat:Azure supports three types of Point-to-site VPN options:

  • Secure Socket Tunneling Protocol (SSTP).Secure Socket Tunneling Protocol (SSTP). Az SSTP egy Microsoft által védett, SSL-alapú megoldás, amely behatolhat a tűzfalakba, mivel a legtöbb tűzfal megnyitja az 443 SSL által használt kimenő TCP-portot.SSTP is a Microsoft proprietary SSL-based solution that can penetrate firewalls since most firewalls open the outbound TCP port that 443 SSL uses.

  • OpenVPN.OpenVPN. Az OpenVPN egy SSL-alapú megoldás, amely behatolhat a tűzfalakba, mivel a legtöbb tűzfal megnyitja az 443 SSL által használt kimenő TCP-portot.OpenVPN is a SSL-based solution that can penetrate firewalls since most firewalls open the outbound TCP port that 443 SSL uses.

  • IKEv2 VPN.IKEv2 VPN. A IKEv2 VPN egy szabványos IPsec VPN-megoldás, amely a 500-es és 4500-as kimenő UDP-portokat, valamint az IP-protokollt használja.IKEv2 VPN is a standards-based IPsec VPN solution that uses outbound UDP ports 500 and 4500 and IP protocol no. 50.50. A tűzfalak ezeket a portokat nem mindig nyitják meg, ezért elképzelhető, hogy az IKEv2 VPN nem képes átjutni egyes proxykon és tűzfalakon.Firewalls do not always open these ports, so there is a possibility of IKEv2 VPN not being able to traverse proxies and firewalls.

Ha újraindítok egy pont–hely kapcsolat használatára konfigurált ügyfélszámítógépet, a VPN automatikusan újracsatlakozik?If I restart a client computer configured for Point-to-Site, will the VPN automatically reconnect?

Alapértelmezés szerint az ügyfélszámítógép nem létesíti újra a VPN-kapcsolatot.By default, the client computer will not reestablish the VPN connection automatically.

Támogatják a pont–hely kapcsolatok az automatikus újrakapcsolódást és a DDNS-t a VPN-ügyfeleken?Does Point-to-Site support auto-reconnect and DDNS on the VPN clients?

Az automatikus újrakapcsolódás és a DDNS jelenleg nem támogatott a pont–hely VPN-kapcsolatokhoz.Auto-reconnect and DDNS are currently not supported in Point-to-Site VPNs.

Lehetnek-e helyek közötti és pont–hely konfigurációk egyidejűleg egy virtuális hálózaton?Can I have Site-to-Site and Point-to-Site configurations coexist for the same virtual network?

Igen.Yes. A Resource Manager-alapú üzemi modell esetén az átjáróhoz RouteBased (útvonalalapú) VPN-típust kell használni.For the Resource Manager deployment model, you must have a RouteBased VPN type for your gateway. A klasszikus üzemi modellhez dinamikus átjáróra van szükség.For the classic deployment model, you need a dynamic gateway. A pont–hely kapcsolat nem támogatott a statikus útválasztású vagy PolicyBased (házirendalapú) VPN-átjárókhoz.We do not support Point-to-Site for static routing VPN gateways or PolicyBased VPN gateways.

Konfigurálható egy pont – hely típusú ügyfél, amely egyszerre több virtuális hálózati átjáróhoz is csatlakozhat?Can I configure a Point-to-Site client to connect to multiple virtual network gateways at the same time?

A használt VPN-ügyfélszoftvertől függően előfordulhat, hogy több Virtual Network átjáróhoz tud csatlakozni, ha a csatlakoztatott virtuális hálózatok nem rendelkeznek egymással ütköző címekkel, vagy az ügyféltől a hálózatról, amelyről a-ügyféllel csatlakozik.Depending on the VPN Client software used, you may be able to connect to multiple Virtual Network Gateways provided the virtual networks being connected to do not have conflicting address spaces between them or the network from with the client is connecting from. Míg az Azure VPN-ügyfél számos VPN-kapcsolatot támogat, egy adott időpontban csak egy kapcsolat csatlakoztatható.While the Azure VPN Client supports many VPN connections, only one connection can be Connected at any given time.

Konfigurálhatok úgy egy pont–hely ügyfelet, hogy több virtuális hálózathoz csatlakozzon egyszerre?Can I configure a Point-to-Site client to connect to multiple virtual networks at the same time?

Igen, pont – hely kapcsolat egy olyan Virtual Network-átjáróhoz, amely más virtuális hálózatok összeállított VNet van telepítve, lehet, hogy más, egymással virtuális hálózatok is hozzáférnek.Yes, Point-to-Site connections to a Virtual Network Gateway deployed in a VNet that is peered with other VNets may have access to other peered VNets. Ha a virtuális hálózatok a UseRemoteGateway/AllowGatewayTransit funkciókat használja, a pont – hely ügyfél képes lesz csatlakozni ezekhez a társ virtuális hálózatok.Provided the peered VNets are using the UseRemoteGateway / AllowGatewayTransit features, the Point-to-Site client will be able to connect to those peered VNets. További információért olvassa el ezt a cikket.For more information please reference this article.

Milyen átviteli sebességre számíthatok a helyek közötti és a pont–hely kapcsolatok esetében?How much throughput can I expect through Site-to-Site or Point-to-Site connections?

Az átviteli sebesség fenntartása nehéz a VPN-alagutakban.It's difficult to maintain the exact throughput of the VPN tunnels. Az IPsec és az SSTP erős titkosítást használó VPN-protokoll.IPsec and SSTP are crypto-heavy VPN protocols. Az átviteli sebességet emellett a késés, valamint a helyszín és az internet közötti sávszélesség is korlátozza.Throughput is also limited by the latency and bandwidth between your premises and the Internet. Az olyan VPN-átjárók esetében, amelyek csak IKEv2 pont-hely típusú VPN-kapcsolattal rendelkeznek, a várható teljes átviteli sebesség az átjáró termékváltozatától függ.For a VPN Gateway with only IKEv2 Point-to-Site VPN connections, the total throughput that you can expect depends on the Gateway SKU. Az átviteli sebességekkel kapcsolatos további információkért lásd: Az átjárók termékváltozatai.For more information on throughput, see Gateway SKUs.

Használhatok szoftveres VPN-ügyfelet az SSTP-t és/vagy IKEv2-t támogató pont–hely kapcsolatokhoz?Can I use any software VPN client for Point-to-Site that supports SSTP and/or IKEv2?

Nem.No. Az SSTP esetében csak a Windows natív VPN-ügyfele, az IKEv2 esetében pedig csak a Mac natív VPN-ügyfele használható.You can only use the native VPN client on Windows for SSTP, and the native VPN client on Mac for IKEv2. Azonban használhatja az OpenVPN-ügyfelet az összes platformon az OpenVPN protokollhoz való kapcsolódáshoz.However, you can use the OpenVPN client on all platforms to connect over OpenVPN protocol. Tekintse át a támogatott ügyfél operációs rendszerek listáját.Refer to the list of supported client operating systems.

Támogatja az Azure az IKEv2 VPN használatát Windows rendszeren?Does Azure support IKEv2 VPN with Windows?

Az IKEv2 Windows 10 és Server 2016 rendszeren támogatott.IKEv2 is supported on Windows 10 and Server 2016. Ahhoz azonban, hogy használni tudja az IKEv2-t, helyileg telepítenie kell a frissítéseket, és meg kell adnia a beállításkulcs értékét.However, in order to use IKEv2, you must install updates and set a registry key value locally. A Windows 10 előtti operációsrendszer-verziók nem támogatottak, és csak SSTP vagy OpenVPN® protokollthasználhatnak.OS versions prior to Windows 10 are not supported and can only use SSTP or OpenVPN® Protocol.

A Windows 10 vagy a Server 2016 előkészítése az IKEv2 használatára:To prepare Windows 10 or Server 2016 for IKEv2:

  1. Telepítse a frissítést.Install the update.

    Operációs rendszer verziójaOS version DátumDate Szám/hivatkozásNumber/Link
    Windows Server 2016Windows Server 2016
    Windows 10, 1607-es verzióWindows 10 Version 1607
    2018. január 17.January 17, 2018 KB4057142KB4057142
    Windows 10, 1703-as verzióWindows 10 Version 1703 2018. január 17.January 17, 2018 KB4057144KB4057144
    Windows 10 1709-es verzióWindows 10 Version 1709 Március 22.2018March 22, 2018 KB4089848KB4089848
  2. Adja meg a beállításkulcs értékét.Set the registry key value. Hozza létre a „HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\ IKEv2\DisableCertReqPayload” REG_DWORD kulcsot a beállításjegyzékben, vagy állítsa az értékét 1-re.Create or set “HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\ IKEv2\DisableCertReqPayload” REG_DWORD key in the registry to 1.

Mi történik, ha az SSTP-t és az IKEv2-t is konfigurálom a P2S VPN-kapcsolatokhoz?What happens when I configure both SSTP and IKEv2 for P2S VPN connections?

Ha SSTP-t és IKEv2-t is konfigurál vegyes (Windows és Mac eszközökből álló) környezetben, a Windows VPN-ügyfél először mindig az IKEv2-alagutat próbálja meg használni, de átvált az SSTP-re, ha nem lehet IKEv2-kapcsolatot létesíteni.When you configure both SSTP and IKEv2 in a mixed environment (consisting of Windows and Mac devices), the Windows VPN client will always try IKEv2 tunnel first, but will fall back to SSTP if the IKEv2 connection is not successful. A MacOSX csak IKEv2-n keresztül fog csatlakozni.MacOSX will only connect via IKEv2.

A Windows- és Mac-eszközökön kívül mely platformokhoz támogatja még az Azure a P2S VPN-t?Other than Windows and Mac, which other platforms does Azure support for P2S VPN?

Az Azure a Windows-, Mac- és Linux-eszközökhöz támogatja a P2S VPN-t.Azure supports Windows, Mac and Linux for P2S VPN.

Már rendelkezem üzembe helyezett Azure VPN-átjáróval.I already have an Azure VPN Gateway deployed. Engedélyezhetem rajta a RADIUS-t és/vagy az IKEv2 VPN-t?Can I enable RADIUS and/or IKEv2 VPN on it?

Igen, ezeknek az új funkcióknak a működését már üzemelő átjárókon is engedélyezni lehet, mégpedig a PowerShellen vagy az Azure Portalon keresztül, amennyiben a használt átjáró termékváltozata támogatja a RADIUS-t és/vagy az IKEv2-t.Yes, you can enable these new features on already deployed gateways using Powershell or the Azure portal, provided that the gateway SKU that you are using supports RADIUS and/or IKEv2. A VPN Gateway alapszintű termékváltozata például nem támogatja az IKEv2-t vagy a RADIUS-t.For example, the VPN gateway Basic SKU does not support RADIUS or IKEv2.

Hogyan eltávolítja a P2S-kapcsolatok konfigurációját?How do I remove the configuration of a P2S connection?

A P2S-konfiguráció az alábbi parancsokkal távolítható el az Azure CLI és a PowerShell használatával:A P2S configuration can be removed using Azure CLI and PowerShell using the following commands:

Azure PowerShellAzure PowerShell

$gw=Get-AzVirtualNetworkGateway -name <gateway-name>`  
$gw.VPNClientConfiguration = $null`  
Set-AzVirtualNetworkGateway -VirtualNetworkGateway $gw`

Azure CLIAzure CLI

az network vnet-gateway update --name <gateway-name> --resource-group <resource-group name> --remove "vpnClientConfiguration"

Mi a teendő, ha a tanúsítvány-hitelesítéssel való kapcsolódáskor nem egyeznek a tanúsítványok?What should I do if I'm getting a certificate mismatch when connecting using certificate authentication?

Törölje a jelet a "kiszolgáló identitásának ellenőrzése a tanúsítvány érvényesítésével" jelölőnégyzetből, vagy adja hozzá a kiszolgáló teljes tartománynevét a tanúsítványhoz a profil manuális létrehozásakor.Uncheck "Verify the server's identity by validating the certificate" or add the server FQDN along with the certificate when creating a profile manually. Ehhez futtassa a Rasphone parancsot a parancssorból, és válassza ki a profilt a legördülő listából.You can do this by running rasphone from a command prompt and picking the profile from the drop-down list.

A kiszolgáló identitás-ellenőrzésének megkerülése általában nem ajánlott, de az Azure tanúsítványalapú hitelesítés esetében ugyanazt a tanúsítványt használja a rendszer a kiszolgáló érvényesítéséhez a VPN Tunneling Protocol (IKEv2/SSTP) és az EAP protokoll esetében.Bypassing server identity validation is not recommended in general, but with Azure certificate authentication, the same certificate is being used for server validation in the VPN tunneling protocol (IKEv2/SSTP) and the EAP protocol. Mivel a VPN Tunneling protokoll már érvényesíti a kiszolgálói tanúsítványt és a teljes tartománynevet, a rendszer redundánsan ellenőrzi ugyanezt az EAP-ben.Since the server certificate and FQDN is already validated by the VPN tunneling protocol, it is redundant to validate the same again in EAP.

pont – hely hitelesítéspoint-to-site auth

Használhatom a saját belső PKI legfelső szintű HITELESÍTÉSSZOLGÁLTATÓját a pont – hely kapcsolatokhoz tartozó tanúsítványok létrehozásához?Can I use my own internal PKI root CA to generate certificates for Point-to-Site connectivity?

Igen.Yes. Korábban csak önaláírt főtanúsítványt lehetett használni.Previously, only self-signed root certificates could be used. Továbbra is 20 főtanúsítvány tölthető fel.You can still upload 20 root certificates.

Használhatok Azure Key Vault tanúsítványokat?Can I use certificates from Azure Key Vault?

Nem.No.

Milyen eszközökkel hozhatok létre tanúsítványokat?What tools can I use to create certificates?

Használhatja a Vállalati nyilvános kulcsú infrastruktúra megoldást (belső nyilvános kulcsú infrastruktúrát), az Azure PowerShellt, a MakeCertet vagy az OpenSSL-t.You can use your Enterprise PKI solution (your internal PKI), Azure PowerShell, MakeCert, and OpenSSL.

Elérhető útmutató a tanúsítvány beállításaihoz és paramétereihez?Are there instructions for certificate settings and parameters?

  • Belső/vállalati nyilvános kulcsú infrastruktúra: a lépéseket a Tanúsítványok előállítása pontban találja.Internal PKI/Enterprise PKI solution: See the steps to Generate certificates.

  • Azure PowerShell: a lépéseket az Azure PowerShell cikkében találja.Azure PowerShell: See the Azure PowerShell article for steps.

  • MakeCert: a lépéseket a MakeCert cikkében találja.MakeCert: See the MakeCert article for steps.

  • OpenSSLOpenSSL:

    • A tanúsítványok exportálása során ügyeljen arra, hogy a főtanúsítványt Base64 formátumba konvertálja.When exporting certificates, be sure to convert the root certificate to Base64.

    • Ügyféltanúsítvány esetén:For the client certificate:

      • Amikor létrehozza a titkos kulcsot, 4096 bites hosszt adjon meg.When creating the private key, specify the length as 4096.
      • Amikor létrehozza a tanúsítványt, az -extensions paraméter értéke usr_cert legyen.When creating the certificate, for the -extensions parameter, specify usr_cert.

Következő lépésekNext steps

Miután a kapcsolat létrejött, hozzáadhat virtuális gépeket a virtuális hálózataihoz.Once your connection is complete, you can add virtual machines to your virtual networks. További információkért lásd: Virtuális gépek.For more information, see Virtual Machines. A hálózatok és virtuális gépek ismertetését lásd az Azure- és Linux-alapú virtuálisgép-hálózatok áttekintésében.To understand more about networking and virtual machines, see Azure and Linux VM network overview.

A pont–hely hibaelhárítási információiért tekintse át az Azure pont–hely kapcsolatok hibaelhárításával foglalkozó cikket.For P2S troubleshooting information, Troubleshooting Azure point-to-site connections.