Mengonfigurasi koneksi VPN point-to-site menggunakan autentikasi sertifikat Azure: portal Microsoft Azure

  • Artikel
  • 20 menit untuk membaca

Artikel ini membantu Anda menghubungkan klien individual yang menjalankan Windows, Linux, atau macOS dengan aman ke VNet Azure. Koneksi VPN point-to-site berguna saat Anda ingin terhubung ke VNet Anda dari lokasi yang jauh, seperti saat Anda melakukan telecommuting dari rumah atau konferensi. Anda juga bisa menggunakan P2S sebagai ganti VPN Situs-ke-Situs ketika Anda hanya memiliki beberapa klien yang perlu terhubung ke VNet. Koneksi point-to-site tidak memerlukan perangkat VPN atau alamat IP publik. P2S membuat koneksi VPN melalui SSTP (Secure Socket Tunneling Protocol), atau IKEv2. Untuk informasi selengkapnya tentang koneksi dari VPN titik-ke-situs, lihat Tentang VPN Titik-ke-Situs.

Connect from a computer to an Azure VNet - point-to-site connection diagram.

Untuk informasi selengkapnya tentang koneksi dari VPN titik-ke-situs, lihat Tentang VPN Titik-ke-Situs. Untuk membuat konfigurasi ini menggunakan Azure PowerShell, lihat Konnfigurasi VPN Titik-ke-Situs menggunakan Azure PowerShell.

Koneksi autentikasi sertifikat Azure asli titik ke situs menggunakan item berikut, yang Anda konfigurasi dalam latihan ini:

  • Gateway VPN RouteBased.
  • Kunci umum (file .cer) untuk sertifikat akar, yang diunggah ke Azure. Setelah sertifikat diunggah, sertifikat dianggap sebagai sertifikat tepercaya dan digunakan untuk autentikasi.
  • Sertifikat klien yang dihasilkan dari sertifikat akar. Sertifikat klien yang dipasang pada masing-masing komputer klien yang akan tersambung ke VNet. Sertifikat ini digunakan untuk autentikasi klien.
  • Konfigurasi klien VPN. Klien VPN dikonfigurasi menggunakan file konfigurasi klien VPN. File ini berisi informasi yang diperlukan bagi klien agar tersambung ke VNet. File mengkonfigurasi klien VPN yang ada yang asli ke sistem operasi. Masing-masing klien yang tersambung harus dikonfigurasi menggunakan pengaturan dalam file konfigurasi.

Prasyarat

Pastikan Anda berlangganan Azure. Jika Anda belum berlangganan Azure, Anda dapat mengaktifkan keuntungan pelanggan MSDN atau mendaftar untuk akun gratis.

Contoh nilai

Anda dapat menggunakan nilai-nilai berikut untuk membuat lingkungan pengujian, atau merujuknya untuk lebih memahami contoh dalam artikel ini:

VNet

  • Nama VNet: VNet1
  • Ruang alamat: 10.1.0.0/16
    Untuk contoh ini, kita hanya menggunakan satu ruang alamat. Anda dapat memiliki lebih dari satu ruang alamat untuk VNet Anda.
  • Nama subnet: FrontEnd
  • Rentang alamat subnet: 10.1.0.0/24
  • Langganan: Jika Anda memiliki lebih dari satu langganan, verifikasi bahwa Anda menggunakan langganan yang benar.
  • Grup sumber daya: TestRG1
  • Lokasi: AS Timur

Gateway jaringan virtual

  • Nama gateway jaringan virtual: VNet1GW
  • Jenis gateway: VPN
  • Jenis VPN: Berbasis rute
  • SKU: VpnGw2
  • Generasi: Generasi2
  • Rentang alamat subnet Gateway: 10.1.255.0/27
  • Nama alamat IP publik: VNet1GWpip

Jenis koneksi dan kumpulan alamat klien

  • Jenis koneksi: Titik-ke-situs
  • Kumpulan alamat klien: 172.16.201.0/24
    Klien VPN yang terhubung ke VNet menggunakan koneksi point-to-site ini menerima alamat IP dari kumpulan alamat klien.

Buat VNet

Di bagian ini, Anda membuat jaringan virtual.

Catatan

Saat menggunakan jaringan virtual sebagai bagian dari arsitektur lintas lokasi, pastikan untuk berkoordinasi dengan administrator jaringan lokal Anda untuk mencetak rentang alamat IP yang dapat Anda gunakan secara khusus untuk jaringan virtual ini. Jika rentang alamat duplikat ada di kedua sisi koneksi VPN, lalu lintas akan merutekan dengan cara yang tidak terduga. Selain itu, jika Anda ingin menyambungkan jaringan virtual ini ke jaringan virtual lain, ruang alamat tidak dapat tumpang tindih dengan jaringan virtual lainnya. Rencanakan konfigurasi jaringan Anda dengan hati-hati.

  1. Masuk ke portal Microsoft Azure.

  2. Di Sumber daya pencarian, layanan, dan dokumen (G+/), ketik jaringan virtual. Pilih Jaringan virtual dari hasil Marketplace untuk membuka halaman Jaringan virtual.

    Screenshot shows the Azure portal Search bar results and selecting Virtual Network from Marketplace.

  3. Pada halaman Jaringan virtual, pilih Buat. Langkah ini membuka halaman Buat jaringan virtual.

  4. Di tab Dasar, konfigurasikan pengaturan VNet untuk Detail proyek dan Detail instans. Anda akan melihat tanda centang hijau saat nilai yang Anda masukkan divalidasi. Nilai yang ditampilkan dalam contoh dapat disesuaikan sesuai dengan pengaturan yang Anda perlukan.

    Screenshot shows the Basics tab.

    • Langganan: Verifikasi bahwa langganan yang tercantum adalah yang benar. Anda dapat mengubah langganan dengan menggunakan daftar tarik turun.
    • Grup sumber daya: Pilih grup sumber daya yang ada, atau pilih Buat baru untuk membuat grup sumber daya yang baru. Untuk mengetahui informasi lengkap tentang grup sumber daya, lihat Gambaran umum Azure Resource Manager.
    • Nama: Masukkan nama untuk jaringan virtual Anda.
    • Wilayah: Pilih lokasi untuk VNet Anda. Lokasi menentukan di mana sumber daya yang Anda gunakan untuk VNet ini akan terlihat.

  5. Klik Alamat IP untuk melanjutkan ke tab Alamat IP. Pada tab Alamat IP, konfigurasikan pengaturan. Nilai yang ditampilkan dalam contoh dapat disesuaikan sesuai dengan pengaturan yang Anda perlukan.

    Screenshot shows the IP Addresses tab.

    • Ruang alamat IPv4: Ruang alamat dibuat secara otomatis secara default. Anda bisa memilih ruang alamat dan menyesuaikannya untuk mencerminkan nilai Anda sendiri. Anda juga dapat menambahkan lebih banyak ruang alamat dengan memilih kotak di bawah ruang alamat yang ada dan menentukan nilai untuk ruang alamat tambahan.
    • +Tambahkan subnet: Jika Anda menggunakan ruang alamat default, subnet default dibuat secara otomatis. Jika Anda mengubah ruang alamat, Anda perlu menambahkan subnet. Pilih + Tambahkan subnet untuk membuka jendela Tambahkan subnet. Konfigurasikan pengaturan berikut, lalu pilih Tambahkan di bagian bawah halaman untuk menambahkan nilai.
      • Nama subnet: Dalam contoh, subnet ini kita beri nama "FrontEnd".
      • Rentang alamat subnet: Rentang alamat untuk subnet ini.

  6. Klik Keamanan untuk melanjutkan ke tab Keamanan. Saat ini, biarkan nilai default.

    • BastionHost: Nonaktifkan
    • DDoS Protection Standard: Nonaktifkan
    • Firewall: Nonaktifkan

  7. Pilih Tinjau + buat untuk memvalidasi pengaturan jaringan virtual.

  8. Setelah pengaturan divalidasi, klik Buat untuk membuat jaringan virtual.

Membuat gateway VPN

Dalam langkah ini, Anda membuat gateway jaringan virtual untuk VNet Anda. Membuat gateway seringkali bisa memakan waktu 45 menit atau lebih, bergantung pada SKU gateway yang dipilih.

Catatan

SKU gateway Dasar tidak mendukung autentikasi RADIUS atau IKEv2. Jika Anda berencana agar klien Mac terhubung ke jaringan virtual Anda, jangan gunakan SKU Dasar.

Gateway jaringan virtual menggunakan subnet tertentu yang disebut subnet gateway. Subnet gateway adalah bagian dari rentang alamat IP jaringan virtual yang Anda tentukan saat mengonfigurasi jaringan virtual Anda. Hal ini berisi alamat IP yang digunakan sumber daya dan layanan gateway jaringan virtual.

Saat Anda membuat subnet gateway, Anda menentukan jumlah alamat IP yang ditampung subnet. Jumlah alamat IP yang diperlukan tergantung pada konfigurasi gateway VPN yang ingin Anda buat. Beberapa konfigurasi memerlukan lebih banyak alamat IP daripada yang lain. Kami menyarankan Anda membuat subnet gateway yang menggunakan /27 atau /28.

Jika Anda melihat kesalahan yang menetapkan bahwa ruang alamat tumpang tindih dengan subnet, atau bahwa subnet tidak terdapat dalam ruang alamat untuk jaringan virtual Anda, periksa rentang alamat VNet Anda. Anda mungkin tidak memiliki cukup alamat IP yang tersedia dalam rentang alamat yang Anda buat untuk jaringan virtual Anda. Contohnya, jika subnet default Anda mencakup seluruh rentang alamat, tidak ada alamat IP yang tersisa untuk membuat subnet tambahan. Anda dapat menyesuaikan subnet Anda dalam ruang alamat yang ada untuk mengosongkan alamat IP, atau menentukan rentang alamat tambahan dan membuat subnet gateway di sana.

  1. Di Sumber daya pencarian, layanan, dan dokumen (G+/) , ketik gateway jaringan virtual. Temukan Gateway jaringan virtual di hasil pencarian Marketplace dan pilih untuk buka Buat halaman gateway jaringan virtual.

    Screenshot of Search field.

  2. Pada tab Dasar-Dasar, isi nilai untuk Detail proyek dan Detail instans.

    Screenshot of Instance fields.

    • Langganan: Pilih langganan yang ingin Anda gunakan dari menu tarik turun.
    • Grup Sumber Daya: Pengaturan ini diisi otomatis saat Anda memilih jaringan virtual Anda di halaman ini.
    • Nama: Beri nama gateway Anda. Menamai gateway Anda tidak sama dengan menamai subnet gateway. Ini adalah nama objek gateway yang Anda buat.
    • Wilayah: Pilih wilayah tempat Anda ingin membuat sumber daya ini. Wilayah untuk gateway harus sama dengan jaringan virtual.
    • Jenis gateway: Pilih VPN. VPN Gateway menggunakan gateway virtual jenis VPN.
    • Jenis VPN: Pilih jenis VPN yang ditentukan untuk konfigurasi Anda. Sebagian besar konfigurasi memerlukan jenis VPN berbasis Rute.
    • SKU: Pilih SKU gateway yang ingin digunakan dari menu dropdown. SKU yang tercantum dalam daftar tarik turun bergantung pada jenis VPN yang dipilih. Pastikan untuk memilih SKU yang mendukung fitur yang ingin digunakan. Untuk informasi selengkapnya tentang SKU gateway, lihat SKU Gateway.
    • Generasi: Pilih generasi yang ingin Anda gunakan. Untuk informasi selengkapnya, lihat Gateway SKU.
    • Jaringan virtual: Dari menui tarik turun, pilih jaringan virtual yang ingin Anda tambahkan gateway ini. Jika Anda tidak dapat melihat VNet yang ingin dibuat gateway-nya, pastikan Anda memilih langganan dan kawasan yang benar di pengaturan sebelumnya.
    • Rentang alamat subnet gateway: Bidang ini hanya muncul jika VNet Anda tidak memiliki subnet gateway. Sebaiknya tentukan /27 atau lebih besar (/26,/25 dll.). Ini memungkinkan alamat IP yang cukup untuk perubahan mendatang, seperti menambahkan gateway ExpressRoute. Kami tidak menyarankan untuk membuat rentang yang lebih kecil dari /28. Jika Anda sudah memiliki subnet gateway, Anda bisa menampilkan detail GatewaySubnet dengan membuka jaringan virtual Anda. Klik Subnet untuk menampilkan rentang. Jika Anda ingin mengubah rentang, Anda dapat menghapus dan membuat ulang GatewaySubnet.

  1. Tentukan dalam nilai untuk alamat IP Publik. Pengaturan ini menentukan objek alamat IP publik yang terkait dengan gateway VPN. Alamat IP secara dinamis ditetapkan ke sumber daya saat gateway VPN dibuat. Alamat IP Publik berubah hanya pada saat gateway dihapus dan dibuat ulang. Ini tidak mengubah ukuran, pengaturan, atau pemeliharaan/peningkatan internal lainnya dari gateway VPN Anda.

    Screenshot of public IP address field.

    • Tipe alamat IP publik: Pada kebanyakan kasus, Anda ingin menggunakan tipe alamat IP Publik Dasar. Jika Anda tidak melihat bidang ini di halaman portal, Anda mungkin telah memilih SKU gateway yang dipilih sebelum nilai ini untuk Anda.
    • Alamat IP Publik: Biarkan Buat baru terpilih.
    • Nama alamat IP publik: Dalam kotak teks, ketikkan nama untuk contoh alamat IP publik Anda.
    • SKU Alamat IP Publik: Bidang ini dikontrol oleh pengaturan Jenis Alamat IP Publik.
    • Penugasan: gateway VPN hanya mendukung Dinamis.
    • Aktifkan mode aktif-aktif: Hanya pilih Aktifkan mode aktif-aktif jika Anda membuat konfigurasi gateway aktif-aktif. Jika tidak, biarkan pengaturan ini Dinonaktifkan.
    • Biarkan Konfigurasi BGP tetap Dinonaktifkan, kecuali konfigurasi Anda secara khusus memerlukan pengaturan ini. Jika Anda memerlukan pengaturan ini, ASN defaultnya adalah 65515, meskipun nilai ini dapat diubah.

  2. Pilihlah Tinjau + buat untuk menjalankan validasi.

  3. Setelah validasi selesai, pilih Buat untuk menyebarkan gateway VPN.

Anda dapat melihat status penyebaran di halaman Ringkasan untuk gateway Anda. Setelah gateway dibuat, Anda dapat melihat alamat IP yang telah ditetapkan untuk itu dengan melihat jaringan virtual di portal. Gateway muncul sebagai perangkat yang tersambung.

Penting

Saat bekerja dengan subnet gateway, hindari mengaitkan grup keamanan jaringan (NSG) ke subnet gateway. Mengaitkan grup keamanan jaringan ke subnet ini dapat menyebabkan gateway jaringan virtual Anda (gateway VPN dan Rute Ekspres) berhenti berfungsi seperti yang diharapkan. Untuk informasi selengkapnya tentang grup keamanan jaringan, lihat Apa itu grup keamanan jaringan?.

Buat sertifikat

Sertifikat digunakan oleh Azure untuk mengautentikasi klien yang terhubung ke VNet melalui koneksi VPN point-to-site. Setelah Anda mendapatkan sertifikat akar, Anda mengunggah informasi kunci publik ke Azure. Sertifikat akar kemudian dianggap 'tepercaya' oleh Azure untuk koneksi melalui P2S ke jaringan virtual. Anda juga membuat sertifikat klien dari sertifikat akar tepercaya, lalu menginstalnya di setiap komputer klien. Sertifikat digunakan untuk mengautentikasi klien ketika memulai koneksi ke VNet.

Buat sertifikat akar

Dapatkan file .cer untuk sertifikat akar. Anda dapat menggunakan sertifikat akar yang dihasilkan dengan solusi perusahaan (direkomendasikan), atau menghasilkan sertifikat yang ditandatangani sendiri. Setelah Anda membuat sertifikat akar, ekspor data sertifikat publik (bukan kunci privat) sebagai file .cer X.509 yang dikodekan oleh Base64. Anda mengunggah file ini nanti ke Azure.

  • Sertifikat perusahaan: Jika Anda menggunakan solusi perusahaan, Anda dapat menggunakan rantai sertifikat yang ada. Dapatkan .cer untuk sertifikat akar yang ingin Anda gunakan.

  • Sertifikat akar yang ditandatangani sendiri: Jika Anda tidak menggunakan solusi sertifikat perusahaan, buat sertifikat akar yang ditandatangani sendiri. Jika tidak, sertifikat yang Anda buat tidak akan kompatibel dengan koneksi P2S Anda dan klien akan menerima kesalahan koneksi ketika mereka mencoba untuk terhubung. Anda dapat menggunakan Azure PowerShell, MakeCert, atau OpenSSL. Langkah-langkah dalam artikel berikut ini menjelaskan cara membuat sertifikat akar yang ditandatangani sendiri yang kompatibel:

    • Petunjuk Windows 10 atau lebih baru PowerShell: Petunjuk ini memerlukan Windows 10 atau lebih baru dan PowerShell untuk membuat sertifikat. Sertifikat klien yang dihasilkan dari sertifikat akar dapat diinstal pada klien P2S yang didukung.
    • Petunjuk MakeCert: Gunakan MakeCert jika Anda tidak memiliki akses ke komputer Windows 10 atau yang lebih baru untuk digunakan dalam membuat sertifikat. Meskipun MakeCert tidak digunakan lagi, Anda masih dapat menggunakannya untuk membuat sertifikat. Sertifikat klien yang Anda hasilkan dari sertifikat akar dapat diinstal pada klien P2S yang didukung.
    • Instruksi Linux.

Buat sertifikat klien

Setiap komputer klien yang Anda sambungkan ke VNet dengan koneksi Point-to-Site harus memiliki sertifikat klien yang terpasang. Anda membuatnya dari sertifikat akar dan memasangnya di setiap komputer klien. Jika Anda tidak memasang sertifikat klien yang valid, autentikasi akan gagal ketika klien mencoba menyambungkan ke VNet.

Anda dapat membuat sertifikat unik untuk setiap klien, atau Anda dapat menggunakan sertifikat yang sama untuk beberapa klien. Keuntungan membuat sertifikat klien yang unik adalah kemampuan untuk mencabut satu sertifikat. Jika tidak, jika beberapa klien menggunakan sertifikat klien yang sama untuk mengautentikasi dan Anda mencabutnya, Anda harus membuat dan memasang sertifikat baru untuk setiap klien yang menggunakan sertifikat tersebut.

Anda dapat membuat sertifikat klien dengan menggunakan metode berikut:

  • Sertifikat perusahaan:

    • Jika Anda menggunakan solusi sertifikat enterpise, buat sertifikat klien dengan format nilai nama umum name@yourdomain.com. Gunakan format ini, jangan gunakan format nama domain\nama pengguna.

    • Pastikan sertifikat klien didasarkan pada templat sertifikat pengguna yang memiliki Autentikasi Klien yang terdaftar sebagai item pertama dalam daftar pengguna. Periksa sertifikat dengan mengklik dua kali sertifikat dan menampilkan Penggunaan Kunci yang Disempurnakan di tab Detail.

  • Sertifikat akar yang ditandatangani sendiri: Ikuti langkah-langkah di salah satu artikel sertifikat P2S berikut ini sehingga sertifikat klien yang Anda buat akan kompatibel dengan koneksi P2S Anda.

    Ketika Anda membuat sertifikat klien dari sertifikat akar yang ditandatangani sendiri, sertifikat tersebut secara otomatis dipasang pada komputer yang Anda gunakan untuk membuatnya. Jika Anda ingin memasang sertifikat klien di komputer klien lain, ekspor sebagai file .pfx, bersama dengan seluruh rantai sertifikat. Dengan begitu, akan terbuat file .pfx yang berisi informasi sertifikat akar yang diperlukan klien untuk mengautentikasi.

    Langkah-langkah dalam artikel ini menghasilkan sertifikat klien yang kompatibel, yang kemudian dapat Anda ekspor dan distribusikan.

    • Petunjuk PowerShell Windows 10 atau yang lebih baru: Petunjuk ini memerlukan Windows 10 atau yang lebih baru, dan PowerShell untuk membuat sertifikat. Sertifikat yang dibuat dapat dipasang pada klien P2S yang didukung.

    • Petunjuk MakeCert: Gunakan MakeCert jika Anda tidak memiliki akses ke komputer Windows 10 atau yang lebih baru untuk membuat sertifikat. Meskipun MakeCert tidak digunakan lagi, Anda masih dapat menggunakannya untuk membuat sertifikat. Anda dapat memasang sertifikat yang dihasilkan pada klien P2S yang didukung.

    • Instruksi Linux.

Menambahkan kumpulan alamat klien VPN

Kumpulan alamat klien adalah berbagai alamat IP pribadi yang Anda tentukan. Klien yang terhubung melalui VPN point-to-site secara dinamis menerima alamat IP dari rentang ini. Gunakan rentang alamat IP privat yang tidak tumpang tindih dengan lokasi lokal yang Anda sambungkan, atau VNet yang ingin Anda sambungkan. Jika Anda mengonfigurasi beberapa protokol dan SSTP adalah salah satu protokolnya, maka kumpulan alamat yang dikonfigurasi dibagi antara protokol yang dikonfigurasi secara merata.

  1. Setelah gateway jaringan virtual dibuat, navigasi ke bagian Pengaturan dari halaman gateway jaringan virtual. Di Pengaturan, pilih Konfigurasi titik-ke-situs. Pilih Konfigurasi sekarang untuk membuka halaman konfigurasi.

    Point-to-site configuration page.

  2. Pada halaman Konfigurasi titik-ke-situs, dalam kotak Kumpulan alamat, tambahkan rentang alamat IP privat yang ingin Anda gunakan. Klien VPN secara dinamis menerima alamat IP dari rentang yang Anda tentukan. Subnet mask minimum adalah 29 bit untuk aktif/pasif dan 28 bit untuk konfigurasi aktif/aktif.

  3. Lanjutkan ke bagian berikutnya untuk mengonfigurasi jenis autentikasi dan terowongan.

Menentukan jenis tunnel dan jenis autentikasi

Di bagian ini, Anda akan menentukan jenis tunnel dan jenis autentikasi. Jika Anda tidak melihat jenis tunnel atau jenis autentikasi pada halaman konfigurasi Titik-ke-situs, maka gateway Anda menggunakan SKU Dasar. SKU Dasar tidak mendukung autentikasi IKEv2 atau RADIUS. Jika Anda ingin menggunakan pengaturan ini, Anda perlu menghapus dan membuat ulang gateway menggunakan gateway SKU lain.

Jenis terowongan

Pada halaman Konfigurasi titik-ke-situs, pilih Jenis tunnel. Saat memilih tipe tunnel, perhatikan hal berikut:

  • Klien strongSwan di Android dan Linux dan klien IKEv2 VPN asli di iOS dan macOS hanya akan menggunakan tunnel IKEv2 untuk menyambungkan.
  • Klien Windows akan mencoba IKEv2 terlebih dahulu, dan jika tidak tersambung, maka akan kembali ke SSTP.
  • Anda dapat menggunakan klien OpenVPN untuk menyambungkan ke jenis terowongan OpenVPN.

Jenis autentikasi

Untuk Jenis Autentikasi, pilih Sertifikat Azure.

Screenshot of authentication type with Azure certificate selected.

Mengunggah informasi kunci publik sertifikat akar

Di bagian ini, Anda mengunggah data sertifikat akar publik ke Azure. Setelah file data sertifikat publik diunggah, Azure dapat menggunakannya untuk mengautentikasi klien yang telah menginstal sertifikat klien yang dihasilkan dari sertifikat akar tepercaya.

  1. Buka halaman Gateway jaringan virtual -> Konfigurasi titik-ke-situs di bagian Sertifikat akar. Bagian ini hanya dapat terlihat jika Anda telah memilih Sertifikat Azure untuk jenis autentikasinya.

  2. Pastikan bahwa Anda telah mengekspor sertifikat akar sebagai file X.509 (.CER) berenkode Base-64 di langkah sebelumnya. Anda perlu mengekspor sertifikat dalam format ini agar Anda dapat membuka sertifikat dengan editor teks. Anda tidak perlu mengekspor kunci privat.

    Screenshot showing export as Base-64 encoded X.509.

  3. Buka sertifikat dengan editor teks, seperti Notepad. Saat menyalin data sertifikat, pastikan Anda menyalin teks sebagai satu baris berkelanjutan tanpa kembali ke awal atau umpan baris. Anda mungkin perlu memodifikasi tampilan Anda di editor teks ke 'Tampilkan Simbol/Tampilkan semua karakter' untuk melihat kembali ke awal dan umpan baris. Salin hanya bagian berikut sebagai satu baris berkelanjutan:

    Screenshot showing root certificate information in Notepad.

  4. Di bagian Sertifikat akar, Anda dapat menambahkan hingga 20 sertifikat akar yang terpercaya.

    • Tempelkan data sertifikat ke dalam bidang Data Sertifikat Publik.
    • Beri nama sertifikat.

    Screenshot of certificate data field.

  5. Pilih Simpan di bagian atas halaman untuk menyimpan semua pengaturan konfigurasi.

    Screenshot of P2S configuration with Save selected.

Memasang sertifikat klien yang diekspor

Jika Anda ingin membuat koneksi P2S dari komputer klien selain yang Anda gunakan untuk membuat sertifikat klien, Anda perlu menginstal sertifikat klien. Ketika menginstal sertifikat klien, Anda perlu kata sandi yang dibuat ketika sertifikat klien diekspor.

Pastikan sertifikat klien diekspor sebagai .pfx bersama dengan seluruh rantai sertifikat (yang merupakan default). Jika tidak, informasi sertifikat akar tidak ada di komputer klien dan klien tidak akan dapat mengautentikasi dengan benar.

Untuk langkah-langkah instalasi, lihat Instal sertifikat klien.

Mengonfigurasi pengaturan untuk klien VPN

Untuk menyambungkan ke gateway virtual menggunakan P2S, setiap komputer menggunakan klien VPN yang diinstal secara asli sebagai bagian dari sistem operasi. Misalnya, ketika Anda membuka pengaturan VPN di komputer Windows Anda, Anda dapat menambahkan koneksi VPN tanpa menginstal klien VPN yang terpisah. Anda mengonfigurasi setiap klien VPN dengan menggunakan paket konfigurasi klien. Paket konfigurasi klien berisi pengaturan yang khusus untuk gateway VPN yang Anda buat.

Untuk langkah-langkah membuat dan menginstal file konfigurasi klien VPN, lihat Mengonfigurasi klien VPN titik-ke-situs - autentikasi sertifikat.

Menyambungkan ke Azure

Untuk menyambungkan dari klien Windows VPN

Catatan

Anda harus memiliki hak Administrator pada komputer klien Windows tempat Anda tersambung.

  1. Untuk menyambungkan ke VNet Anda, pada komputer klien, navigasi ke pengaturan VPN dan temukan koneksi VPN yang Anda buat. Ini dinamai nama yang sama dengan jaringan virtual Anda. Pilih Sambungkan. Pesan pop-up mungkin muncul yang merujuk ke menggunakan sertifikat. Pilih Lanjutkan menggunakan hak istimewa yang ditinggikan.

  2. Pada halaman status Koneksi, pilih Sambungkan untuk memulai koneksi. Jika Anda melihat layar Pilih Sertifikat, verifikasi bahwa sertifikat klien yang diperlihatkan adalah sertifikat yang ingin Anda gunakan untuk menyambungkan. Jika tidak, gunakan panah turun bawah untuk memilih sertifikat yang benar, lalu pilih OK.

    Connect from a Windows computer

  3. Koneksi Anda dibuat.

    Connect from a computer to an Azure VNet - Point-to-Site connection diagram

Jika Anda mengalami masalah saat menyambungkan, periksa item berikut ini:

  • Jika Anda mengekspor sertifikat klien dengan Wizard Ekspor Sertifikat, pastikan Anda mengekspornya sebagai file .pfx dan memilih Sertakan semua sertifikat dalam jalur sertifikasi jika memungkinkan. Ketika Anda mengekspornya dengan nilai ini, informasi sertifikat akar juga diekspor. Setelah Anda memasang sertifikat pada komputer klien, sertifikat akar dalam file .pfx juga dipasang. Untuk memverifikasi bahwa sertifikat akar dipasang, buka Kelola sertifikat pengguna dan pilih Sertifikat\Otoritas Sertifikasi Akar Tepercaya. Verifikasi bahwa sertifikat akar tercantum, karena harus ada agar autentikasi berfungsi.

  • Jika Anda menggunakan sertifikat yang dikeluarkan oleh solusi Enterprise CA dan Anda tidak dapat mengautentikasi, verifikasi urutan autentikasi pada sertifikat klien. Periksa urutan daftar autentikasi dengan mengklik dua kali sertifikat klien, pilih tab Detail, lalu pilih Penggunaan Kunci yang Disempurnakan. Pastikan Autentikasi Klien adalah item pertama dalam daftar. Jika tidak, terbitkan sertifikat klien berdasarkan templat pengguna yang memiliki Autentikasi Klien sebagai item pertama dalam daftar.

  • Untuk informasi pemecahan masalah P2S tambahan, lihat Memecahkan masalah koneksi P2S.

Untuk menyambung dari klien VPN Mac

Dari kotak dialog Jaringan, temukan profil klien yang ingin Anda gunakan, tentukan pengaturan dari VpnSettings.xml, lalu pilih Sambungkan. Untuk instruksi mendetail, lihat Mengonfigurasi klien VPN point-to-site - autentikasi sertifikat - macOS.

Jika Anda mengalami masalah saat menyambungkan, pastikan bahwa gateway jaringan tidak menggunakan SKU Dasar. SKU Dasar tidak didukung untuk klien Mac.

Screenshot shows connect button.

Untuk memverifikasi koneksi Anda

Instruksi ini berlaku untuk klien Windows.

  1. Untuk memverifikasi bahwa koneksi VPN Anda aktif, buka perintah yang ditinggikan, lalu jalankan ipconfig/all.

  2. Lihat hasilnya. Perhatikan bahwa alamat IP yang Anda terima adalah salah satu alamat dalam Kumpulan Alamat Klien VPN titik-ke-situs yang Anda tentukan dalam konfigurasi Anda. Hasilnya mirip dengan contoh ini:

    PPP adapter VNet1:
   Connection-specific DNS Suffix .:
   Description.....................: VNet1
   Physical Address................:
   DHCP Enabled....................: No
   Autoconfiguration Enabled.......: Yes
   IPv4 Address....................: 172.16.201.3(Preferred)
   Subnet Mask.....................: 255.255.255.255
   Default Gateway.................:
   NetBIOS over Tcpip..............: Enabled

Menyambungkan ke komputer virtual

Instruksi ini berlaku untuk klien Windows.

Anda dapat menyambungkan ke VM yang disebarkan ke VNet Anda dengan membuat Koneksi Desktop Jarak Jauh ke VM Anda. Cara terbaik untuk memverifikasi bahwa Anda dapat terhubung ke VM Anda terlebih dahulu adalah dengan menggunakan alamat IP pribadinya, bukan nama komputernya. Dengan demikian, Anda sedang menguji untuk melihat apakah Anda dapat tersambung, bukan apakah resolusi nama dikonfigurasi dengan benar.

  1. Temukan alamat IP pribadi. Anda dapat menemukan alamat IP pribadi VM dengan melihat properti untuk VM di portal Azure, atau dengan menggunakan PowerShell.

    • Portal Azure - Temukan komputer virtual Anda di portal Azure. Lihat properti untuk VM. Alamat IP pribadi dicantumkan.

    • PowerShell - Gunakan contoh untuk menampilkan daftar VM dan alamat IP pribadi dari grup sumber daya Anda. Anda tidak perlu mengubah contoh ini sebelum menggunakannya.

      $VMs = Get-AzVM
$Nics = Get-AzNetworkInterface | Where VirtualMachine -ne $null

foreach($Nic in $Nics)
{
$VM = $VMs | Where-Object -Property Id -eq $Nic.VirtualMachine.Id
$Prv = $Nic.IpConfigurations | Select-Object -ExpandProperty PrivateIpAddress
$Alloc = $Nic.IpConfigurations | Select-Object -ExpandProperty PrivateIpAllocationMethod
Write-Output "$($VM.Name): $Prv,$Alloc"
}

  2. Verifikasi bahwa Anda telah terhubung dengan VNet Anda.

  3. Buka Sambungan Desktop Jarak Jauh, dengan mengetikkan "RDP" atau "Sambungan Desktop Jarak Jauh" di kotak pencarian pada taskbar, lalu pilih Sambungan Desktop Jarak Jauh. Anda juga dapat membuka Sambungan Desktop Jarak Jauh menggunakan perintah 'mstsc' di PowerShell.

  4. Di Sambungan Desktop Jarak Jauh, masukkan alamat IP pribadi VM. Anda dapat memilih "Tampilkan Opsi" untuk menyesuaikan pengaturan tambahan, lalu sambungkan.

Memecahkan masalah koneksi

Jika Anda mengalami masalah saat menyambungkan ke mesin virtual melalui koneksi VPN Anda, periksa hal berikut:

  • Pastikan sambungan VPN Anda aktif.

  • Verifikasi bahwa Anda menyambungkan ke alamat IP private untuk VM itu.

  • Jika Anda dapat tersambung ke VM menggunakan alamat IP pribadi, tetapi bukan nama komputer, pastikan Anda telah mengonfigurasi DNS dengan benar. Untuk informasi selengkapnya tentang cara kerja resolusi nama untuk VM, lihat Resolusi Nama untuk VM.

  • Untuk informasi selengkapnya tentang sambungan RDP, lihat Memecahkan masalah sambungan Desktop Jauh ke VM.

  • Pastikan bahwa paket konfigurasi klien VPN dihasilkan setelah alamat IP server DNS ditentukan untuk VNet. Jika Anda memperbarui alamat IP server DNS, hasilkan dan instal paket konfigurasi klien VPN baru.

  • Gunakan 'ipconfig' untuk memeriksa alamat IPv4 yang ditetapkan ke adaptor Ethernet di komputer yang Anda sambungkan. Jika alamat IP berada dalam rentang alamat VNet yang Anda sambungkan, atau dalam rentang alamat VPNClientAddressPool Anda, ini disebut sebagai ruang alamat yang tumpang tindih. Ketika ruang alamat Anda tumpang tindih seperti ini, lalu lintas jaringan tidak akan mencapai Azure, ruang alamat Anda tetap berada di jaringan lokal.

Menambahkan atau menghapus sertifikat akar tepercaya

Anda dapat menambahkan dan menghapus sertifikat akar tepercaya dari Azure. Saat Anda menghapus sertifikat root, klien yang memiliki sertifikat yang dihasilkan dari root tersebut tidak akan dapat mengautentikasi, dan dengan demikian tidak akan dapat terhubung. Jika ingin klien mengautentikasi dan menyambungkan, Anda perlu menginstal sertifikat klien baru yang dihasilkan dari sertifikat akar yang tepercaya (diunggah) ke Azure.

Anda dapat menambahkan hingga 20 file .cer sertifikat akar tepercaya ke Azure. Lihat bagian Mengunggah sertifikat akar yang terpercaya untuk petunjuk.

Untuk menghapus sertifikat akar yang tepercaya:

  1. Buka halaman Konfigurasi titik-ke-situs gateway jaringan virtual Anda.
  2. Di bagian Sertifikat akar halaman, temukan sertifikat yang ingin Anda hapus.
  3. Pilih elipsis di samping sertifikat, lalu pilih Hapus.

Mencabut sertifikat klien

Anda dapat mencabut sertifikat klien. Daftar pembatalan sertifikat memungkinkan Anda memilih untuk menolak konektivitas titik-ke-situs berdasarkan masing-masing sertifikat klien. Ini berbeda dengan menghapus sertifikat akar tepercaya. Jika Anda menghapus sertifikat akar terpercaya .cer dari Azure, sertifikat tersebut akan mencabut akses untuk semua sertifikat klien yang dihasilkan/ditandatangani oleh sertifikat akar yang dicabut. Mencabut sertifikat klien, bukan sertifikat akar, memungkinkan sertifikat lain yang dihasilkan dari sertifikat akar untuk terus digunakan untuk autentikasi.

Praktik umumnya adalah menggunakan sertifikat akar untuk mengelola akses di tingkat tim atau organisasi, sambil menggunakan sertifikat klien yang dicabut untuk mengontrol akses fine-grained pada pengguna individual.

Anda dapat mencabut sertifikat klien dengan menambahkan thumbprint ke daftar pencabutan.

  1. Ambil thumbprint sertifikat klien. Untuk informasi selengkapnya, lihat Cara mengambil Thumbprint Sertifikat.
  2. Salin informasi ke editor teks dan hapus semua spasi sehingga menjadi string berkelanjutan.
  3. Navigasikan ke halaman Konfigurasi Titik-ke-Situs gateway jaringan virtual. Ini adalah halaman yang sama dengan yang Anda gunakan untuk mengunggah sertifikat akar tepercaya.
  4. Di bagian Sertifikat yang dicabut, masukkan nama yang tidak asing untuk sertifikat (tidak harus sertifikat CN).
  5. Salin dan tempel string thumbprint ke bidang Thumbprint.
  6. Thumbprint memvalidasi dan secara otomatis ditambahkan ke daftar pencabutan. Pesan muncul di layar tempat daftar diperbarui.
  7. Setelah pembaruan selesai, sertifikat tidak lagi dapat digunakan untuk menyambungkan. Klien yang mencoba menyambungkan menggunakan sertifikat ini menerima pesan yang menyatakan bahwa sertifikat tersebut tidak lagi valid.

Tanya Jawab Umum point-to-site

Untuk pertanyaan yang sering diajukan, lihat Tanya Jawab Umum.

Langkah berikutnya

Setelah koneksi selesai, Anda dapat menambahkan komputer virtual ke jaringan virtual Anda. Untuk informasi selengkapnya, lihat Mesin Virtual. Untuk memahami selengkapnya tentang jaringan dan mesin virtual, lihat Gambaran umum jaringan VM Azure dan Linux.

Untuk informasi pemecahan masalah P2S, Pemecahan Masalah koneksi titik-ke-situs Azure.