Configurare una connessione da punto a sito a una rete virtuale usando l'autenticazione del certificato (versione classica): portale di Azure

Nota

Questo articolo riguarda il modello di distribuzione classica. Se non si ha familiarità con Azure, è consigliabile usare il modello di distribuzione Resource Manager. Il modello di distribuzione Resource Manager è il modello di distribuzione più recente e offre più opzioni e compatibilità con le funzionalità rispetto al modello di distribuzione classica. Per altre informazioni, vedere l'articolo contenente le informazioni sui modelli di distribuzione.

Per la versione di questo articolo relativa a Resource Manager, selezionarla nell'elenco a discesa sottostante o nel sommario a sinistra.

Questo articolo illustra come creare una rete virtuale con una connessione da punto a sito nel modello di distribuzione classica usando il portale di Azure. Questa configurazione usa i certificati per autenticare il client di connessione. È anche possibile creare questa configurazione usando strumenti o modelli di distribuzione diversi selezionando un'opzione differente nell'elenco seguente:

Una configurazione da punto a sito (P2S) permette di creare una connessione protetta da un singolo computer client a una rete virtuale. Una soluzione Da punto a sito è utile quando ci si vuole connettere alla rete virtuale da una posizione remota, ad esempio da casa o durante una riunione, oppure quando solo pochi client devono connettersi a una rete virtuale. La connessione VPN da punto a sito viene avviata dal computer client tramite il client VPN di Windows nativo che è stato configurato per connettersi alla rete virtuale con un pacchetto di configurazione del client. I client che si connettono usano i certificati per eseguire l'autenticazione.

Diagramma da punto a sito

Le connessioni da punto a sito con l'autenticazione del certificato richiedono gli elementi seguenti:

  • Un gateway VPN dinamico.
  • La chiave pubblica (file CER) per un certificato radice, caricato in Azure. Questo viene considerato un certificato attendibile e viene usato per l'autenticazione.
  • Un certificato client generato dal certificato radice e installato in ogni computer client che effettuerà la connessione. Questo certificato viene usato per l'autenticazione client.
  • Un pacchetto di configurazione client VPN deve essere generato e installato in ogni computer client che effettua la connessione. Il pacchetto di configurazione client configura il client VPN nativo già disponibile nel sistema operativo con le informazioni necessarie per la connessione alla rete virtuale.

Le connessioni da punto a sito non richiedono un dispositivo VPN o un indirizzo IP pubblico locale. La connessione VPN viene creata tramite SSTP (Secure Sockets Tunneling Protocol). Sul lato server sono supportate le versioni 1.0, 1.1 e 1.2 di SSTP. Il client decide quale versione usare. Per Windows 8.1 e versioni successive, SSTP usa per impostazione predefinita la versione 1.2.

Per altre informazioni sulla connettività da punto a sito, consultare le Domande frequenti sulla connettività da punto a sito alla fine di questo articolo.

Impostazioni di esempio

È possibile usare i valori seguenti per creare un ambiente di test o fare riferimento a questi valori per comprendere meglio gli esempi di questo articolo:

  • Nome: VNet1
  • Spazio indirizzi: 192.168.0.0/16
    Per questo esempio, viene usato un solo spazio indirizzi. È possibile avere più di uno spazio indirizzi per la rete virtuale.
  • Nome subnet: FrontEnd
  • Intervallo di indirizzi subnet: 192.168.1.0/24
  • Sottoscrizione: se si hanno più sottoscrizioni, verificare di usare quella corretta.
  • Gruppo di risorse: TestRG
  • Località: Stati Uniti orientali
  • Tipo di connessione: Da punto a sito
  • : 172.16.201.0/24. I client VPN che si connettono alla rete virtuale con questa connessione da punto a sito ricevono un indirizzo IP dal pool specificato.
  • GatewaySubnet: 192.168.200.0/24. La subnet del gateway deve usare il nome "GatewaySubnet".
  • Dimensioni: selezionare lo SKU di gateway da usare.
  • Tipo di routing: Dinamico

Sezione 1: Creare una rete virtuale e un gateway VPN

Prima di iniziare, verificare di possedere una sottoscrizione di Azure. Se non si ha una sottoscrizione di Azure, è possibile attivare i vantaggi per i sottoscrittori di MSDN oppure iscriversi per ottenere un account gratuito.

Parte 1: Creare una rete virtuale

Se non si ha una rete virtuale, crearne una. Gli screenshot sono forniti come esempio. Assicurarsi di sostituire i valori con i propri. Per creare una rete virtuale usando il portale di Azure, seguire questa procedura:

  1. In un browser passare al portale di Azure e, se necessario, accedere con l'account Azure.
  2. Fare clic su New. Nel campo Cerca nel Marketplace digitare "Rete virtuale". Trovare Rete virtuale nell'elenco restituito e fare clic per aprire il pannello Rete virtuale.

    Cercare il pannello Rete virtuale

  3. Nella parte inferiore del pannello Rete virtuale selezionare Classico nell'elenco Selezionare un modello di distribuzione e quindi fare clic su Crea.

    Selezionare il modello di distribuzione

  4. Nel pannello Crea rete virtuale configurare le impostazioni della rete virtuale. Aggiungere in questo pannello il primo spazio di indirizzi e un intervallo di indirizzi di una singola subnet. Dopo aver creato la rete virtuale, è possibile tornare indietro e aggiungere altre subnet e altri spazi di indirizzi.

    Pannello Creare la rete virtuale

  5. Verificare che la sottoscrizione sia quella corretta. È possibile cambiare sottoscrizione tramite l'elenco a discesa.
  6. Fare clic su Gruppo di risorse e selezionare un gruppo di risorse esistente o crearne uno nuovo digitandone il nome. Se si crea un nuovo gruppo di risorse, denominare il gruppo in base ai valori di configurazione pianificati. Per altre informazioni sui gruppi di risorse, vedere Panoramica di Azure Resource Manager.
  7. Selezionare quindi le impostazioni relative alla località per la rete virtuale. La località determina la posizione in cui risiedono le risorse distribuite in questa rete virtuale.
  8. Selezionare Aggiungi al dashboard se si vuole trovare facilmente la rete virtuale nel dashboard e quindi fare clic su Crea.

    Aggiungi al dashboard

  9. Dopo aver fatto clic su Crea, nel dashboard viene visualizzato un riquadro che riflette lo stato di avanzamento della rete virtuale. Il riquadro cambia durante la creazione della rete virtuale.

    Pannello Creazione della rete virtuale

  10. Al termine della creazione della rete virtuale, nella pagina Reti del portale di Azure classico verrà visualizzato Creato in Stato.
  11. Aggiungere un server DNS (facoltativo). Dopo aver creato la rete virtuale, è possibile aggiungere l'indirizzo IP di un server DNS per la risoluzione dei nomi. L'indirizzo IP del server DNS specificato deve essere l'indirizzo di un server DNS in grado di risolvere i nomi per le risorse della rete virtuale.
    Per aggiungere un server DNS, aprire le impostazioni della rete virtuale, fare clic su Server DNS e aggiungere l'indirizzo IP del server DNS da usare.

Parte 2: Creare una subnet del gateway e un gateway di routing dinamico

In questo passaggio vengono creati una subnet del gateway e un gateway di routing dinamico. Nel portale di Azure per il modello di distribuzione classica, la subnet del gateway e il gateway possono essere creati tramite gli stessi pannelli di configurazione.

  1. Nel portale passare alla rete virtuale per cui si vuole creare un gateway.
  2. Nel pannello Panoramica del pannello della rete virtuale fare clic su Gateway nella sezione Connessioni VPN.

    Fare clic per creare un gateway

  3. Nel pannello Nuova connessione VPN selezionare Da punto a sito.

    Tipo di connessione da punto a sito

  4. In Spazio indirizzi client aggiungere l'intervallo di indirizzi IP, da cui i client VPN ricevono un indirizzo IP al momento della connessione. Usare un intervallo di indirizzi IP privati che non si sovrapponga con la posizione locale da cui verrà effettuata la connessione o con la rete virtuale a cui ci si vuole connettere. È possibile eliminare l'intervallo compilato automaticamente e quindi aggiungere l'intervallo di indirizzi IP privati da usare.

    Spazio indirizzi client

  5. Selezionare la casella di controllo Crea gateway immediatamente.

    Crea gateway immediatamente

  6. Fare clic su Configurazione gateway facoltativa per aprire il pannello Configurazione gateway.

    Fare clic su Configurazione gateway facoltativa

  7. Fare clic su Subnet Configure required settings (Configura impostazioni necessarie subnet) per aggiungere la subnet del gateway. Nonostante sia possibile creare una subnet del gateway con dimensioni di /29 soltanto, è consigliabile crearne una più grande che includa più indirizzi selezionando almeno /28 o /27. In questo modo saranno disponibili indirizzi sufficienti per supportare in futuro le possibili configurazioni aggiuntive desiderate. Quando si usano le subnet del gateway, evitare di associare un gruppo di sicurezza di rete (NSG) alla subnet del gateway. Se si associa un gruppo di sicurezza di rete a tale subnet, il gateway VPN potrebbe smettere di funzionare come previsto.

    Aggiungere GatewaySubnet

  8. Selezionare le dimensioni del gateway, che rappresentano lo SKU di gateway per il gateway di rete virtuale. Nel portale, lo SKU predefinito è Basic. Per altre informazioni sugli SKU di gateway, vedere Informazioni sulle impostazioni del gateway VPN.

    Dimensioni del gateway

  9. Selezionare il tipo di routing per il gateway. Le configurazioni P2S richiedono il tipo di routing Dinamico. Al termine della configurazione del pannello, fare clic su OK.

    Configurare il tipo di routing

  10. Nel pannello Nuova connessione VPN fare clic su OK nella parte inferiore per iniziare a creare il gateway della rete virtuale. Per il completamento di un gateway VPN possono essere necessari fino a 45 minuti, in base allo SKU selezionato per il gateway.

Sezione 2 - Creare certificati

I certificati vengono usati da Azure per autenticare i client VPN per VPN da punto a sito. È necessario caricare le informazioni della chiave pubblica del certificato radice in Azure. La chiave pubblica viene quindi considerata "attendibile". I certificati client devono essere generati dal certificato radice attendibile e quindi installati in ogni computer client nell'archivio certificati Certificati - Utente corrente/Personale. Il certificato viene usato per l'autenticazione del client all'avvio di una connessione alla rete virtuale.

Se usati, i certificati autofirmati devono essere creati con parametri specifici. È possibile creare un certificato autofirmato seguendo le istruzioni per PowerShell e Windows 10 o MakeCert. È importante seguire i passaggi di queste istruzioni quando si usano i certificati radice autofirmati e si generano certificati client dal certificato radice autofirmato. In caso contrario, i certificati creati non saranno compatibili con le connessioni P2S e si riceverà un errore di connessione.

Parte 1: Ottenere il file di chiave pubblica (con estensione cer) per il certificato radice

È possibile usare un certificato radice generato tramite una soluzione aziendale (opzione consigliata) oppure generare un certificato autofirmato. Dopo avere creato il certificato radice, esportare i dati del certificato pubblico (non la chiave privata) come file CER X.509 con codifica Base 64 e caricarli in Azure.

  • Certificato aziendale: se si tratta di una soluzione aziendale, è possibile usare la catena di certificati esistente. Ottenere il file con estensione cer per il certificato radice che si vuole usare.
  • Certificato radice autofirmato: se non si usa una soluzione aziendale per la creazione di certificati, è necessario creare un certificato radice autofirmato. È importante seguire i passaggi di uno dei due articoli seguenti relativi ai certificati da punto a sito (P2S). In caso contrario, i certificati creati non saranno compatibili con le connessioni da punto a sito e i client riceveranno un errore di connessione quando provano a connettersi. I passaggi in uno degli articoli seguenti generano un certificato compatibile:

    • Istruzioni per Windows 10 PowerShell: queste istruzioni richiedono Windows 10 e PowerShell per generare i certificati. I certificati client generati dal certificato radice possono essere installati in qualsiasi client da punto a sito supportato.
    • Istruzioni per MakeCert: se non si ha accesso a un computer con Windows 10, è possibile usare MakeCert per generare i certificati. MakeCert è deprecato, ma è comunque possibile usarlo per generare i certificati. I certificati client generati dal certificato radice possono essere installati in qualsiasi client da punto a sito supportato.

Parte 2: Generare un certificato client

Ogni computer client che si connette a una rete virtuale usando la soluzione Da punto a sito deve avere un certificato client installato. Il certificato client viene generato dal certificato radice e viene installato in ogni computer client. Se non è stato installato un certificato client valido e il client prova a connettersi alla rete virtuale, l'autenticazione avrà esito negativo.

È possibile generare un certificato univoco per ogni client oppure usare lo stesso certificato per più client. Generare certificati client univoci offre il vantaggio di poter revocare un singolo certificato. In caso contrario, se più client utenti usano lo stesso certificato client e questo deve essere revocato, è necessario generare e installare nuovi certificati per tutti i client che usano tale certificato per l'autenticazione.

È possibile generare i certificati client usando i metodi seguenti:

  • Certificato aziendale:

    • Se si usa una soluzione aziendale per la creazione di certificati, generare un certificato client con il valore di nome comune nel formato "name@yourdomain.com", invece che nel formato "nome dominio\nome utente".
    • Verificare che il certificato client sia basato sul modello di certificato "Utente" con "Autenticazione client" come primo elemento nell'elenco d'uso, invece di Accesso smart card e così via. È possibile controllare il certificato facendo doppio clic sul certificato client e aprendo Dettagli > Utilizzo chiavi avanzato.
  • Certificato radice autofirmato: è importante seguire i passaggi di uno dei due articoli seguenti relativi ai certificati da punto a sito (P2S). In caso contrario, i certificati client creati non saranno compatibili con le connessioni da punto a sito e i client riceveranno un errore quando provano a connettersi. I passaggi in uno degli articoli seguenti generano un certificato client compatibile:

    • Istruzioni per Windows 10 PowerShell: queste istruzioni richiedono Windows 10 e PowerShell per generare i certificati. I certificati generati possono essere installati in qualsiasi client da punto a sito supportato.
    • Istruzioni per MakeCert: se non si ha accesso a un computer con Windows 10, è possibile usare MakeCert per generare i certificati. MakeCert è deprecato, ma è comunque possibile usarlo per generare i certificati. I certificati generati possono essere installati in qualsiasi client da punto a sito supportato.

    Se si genera un certificato client da un certificato radice autofirmato usando le istruzioni precedenti, viene eseguita l'installazione automatica nel computer usato per generarlo. Se si vuole installare un certificato client in un altro computer client, è necessario esportarlo come file con estensione pfx, insieme all'intera catena di certificati. Viene creato un file PFX contenente le informazioni del certificato radice necessarie per la corretta autenticazione del client. Per i passaggi per l'esportazione di un certificato, vedere Certificati - Esportare un certificato client.

Sezione 3: Caricare il file CER del certificato radice

Dopo la creazione del gateway, è possibile caricare il file con estensione cer, che contiene le informazioni sulla chiave pubblica, per un certificato radice attendibile in Azure. Non si può caricare la chiave privata per il certificato radice in Azure. Al termine del caricamento di un file CER, Azure lo può usare per autenticare i client che hanno installato un certificato client generato dal certificato radice attendibile. È possibile caricare fino a 20 file di certificato radice attendibile aggiuntivi in un secondo momento, se necessario.

  1. Nella sezione Connessioni VPN del pannello della rete virtuale fare clic sull'icona client per aprire il pannello Connessione VPN da punto a sito.

    Client

  2. Nel pannello Connessione VPN da punto a sito fare clic su Gestisci certificato per aprire il pannello Certificati.

    Pannello Certificati

  3. Nel pannello Certificati fare clic su Carica per aprire il pannello Carica certificato.

    Pannello Carica certificato

  4. Fare clic sull'icona della cartella per cercare il file CER. Selezionare il file e quindi fare clic su OK. Aggiornare la pagina per visualizzare il certificato caricato nel pannello Certificati.

    Caricamento del certificato

Sezione 4: Configurare il client

Per connettersi a una rete virtuale tramite VPN da punto a sito, ogni client deve installare un pacchetto per configurare il client VPN di Windows nativo. Il pacchetto di configurazione configura il client VPN nativo di Windows con le impostazioni necessarie per la connessione alla rete virtuale.

È possibile usare lo stesso pacchetto di configurazione del client VPN in ogni computer client, a condizione che la versione corrisponda all'architettura del client. Per l'elenco dei sistemi operativi client supportati, vedere Domande frequenti sulla connettività da punto a sito alla fine di questo articolo.

Parte 1: Generare e installare il pacchetto di configurazione del client VPN

  1. Nel pannello Panoramica della rete virtuale nel portale di Azure fare clic sull'icona relativa ai client in Connessioni VPN per aprire il pannello Connessione VPN da punto a sito.
  2. Nella parte superiore del pannello Connessione VPN da punto a sito fare clic sul pacchetto di download corrispondente al sistema operativo client in cui verrà installato.

    • Per client a 64 bit, selezionare Client VPN (64 bit).
    • Per client a 32 bit, selezionare Client VPN (32 bit).

    Scaricare il pacchetto di configurazione del client VPN

  3. Dopo che è stato generato, scaricare e installare il pacchetto nel computer client. Se viene visualizzato un popup SmartScreen, fare clic su Altre informazioni e quindi su Esegui comunque per installare il pacchetto. È anche possibile salvare il pacchetto per l'installazione su altri computer client.

Parte 2: Installare il certificato client

Se si vuole creare una connessione da punto a sito da un computer client diverso da quello usato per generare i certificati client, è necessario installare un certificato client. Quando si installa un certificato client, è necessaria la password che è stata creata durante l'esportazione del certificato client. In genere è sufficiente fare doppio clic sul certificato e installarlo. Per altre informazioni, vedere Installare un certificato client esportato.

Sezione 5: Connettersi ad Azure

Connettersi alla rete virtuale

  1. Per connettersi alla rete virtuale, nel computer client passare alle connessioni VPN e individuare quella creata, che ha lo stesso nome della rete virtuale locale. Fare clic su Connetti. È possibile che venga visualizzato un messaggio popup che fa riferimento all'uso del certificato. In questo caso, fare clic su Continua per usare privilegi elevati.
  2. Nella pagina Stato connessione fare clic su Connetti per avviare la connessione. Se viene visualizzato un Seleziona certificato dello schermo, verificare che il certificato client visualizzato sia quello che si desidera utilizzare per la connessione. In caso contrario, usare la freccia a discesa per selezionare il certificato corretto e quindi fare clic su OK.

    Connessione del client VPN

  3. Verrà stabilita la connessione.

    Connessione stabilita

In caso di problemi di connessione, effettuare i controlli seguenti:

  • Se è stato esportato un certificato client, assicurarsi che si tratti di un file PFX con il valore predefinito "Se possibile, includi tutti i certificati nel percorso certificazione". Usando questo valore per l'esportazione, vengono esportate anche le informazioni del certificato radice. Quando il certificato viene installato nel computer client, anche il certificato radice contenuto nel file PFX viene installato nel computer client. Nel computer client devono essere installate le informazioni del certificato radice. Per verificare, aprire Gestire i certificati utente e passare ad Autorità di certificazione radice attendibili\Certificati. Verificare che il certificato radice sia incluso nell'elenco. Per il corretto funzionamento dell'autenticazione è necessario che il certificato radice sia presente.

  • Se si usa un certificato che è stato rilasciato tramite una soluzione CA globale e si riscontrano problemi durante l'autenticazione, controllare l'ordine di autenticazione del certificato client. È possibile controllare l'ordine dell'elenco di autenticazione facendo doppio clic sul certificato client e andando in Dettagli > Utilizzo chiavi avanzato. Assicurarsi che l'elenco mostri "Autenticazione client" come primo elemento. In caso contrario, è necessario emettere un certificato client in base al modello di utente con l'autenticazione client come primo elemento nell'elenco.

Verificare la connessione VPN

  1. Per verificare che la connessione VPN è attiva, aprire un prompt dei comandi con privilegi elevati ed eseguire ipconfig/all.
  2. Visualizzare i risultati. Si noti che l'indirizzo IP ricevuto è uno degli indirizzi compresi nell'intervallo di indirizzi di connettività da punto a sito specificato al momento della creazione della rete virtuale. I risultati dovrebbero essere simili all'esempio seguente:

     PPP adapter VNet1:
         Connection-specific DNS Suffix .:
         Description.....................: VNet1
         Physical Address................:
         DHCP Enabled....................: No
         Autoconfiguration Enabled.......: Yes
         IPv4 Address....................: 192.168.130.2(Preferred)
         Subnet Mask.....................: 255.255.255.255
         Default Gateway.................:
         NetBIOS over Tcpip..............: Enabled
    

Connettersi a una macchina virtuale

È possibile connettersi a una VM distribuita nella rete virtuale creando una connessione Desktop remoto alla VM. Il modo migliore per verificare inizialmente che è possibile connettersi alla VM consiste nel connettersi usando il rispettivo indirizzo IP privato, invece del nome del computer. Ciò consente di verificare se è possibile connettersi, non se la risoluzione dei nomi è configurata correttamente.

  1. Individuare l'indirizzo IP privato per la VM. È possibile trovare l'indirizzo IP privato di una VM esaminando le proprietà per la VM nel portale di Azure oppure usando PowerShell.
  2. Verificare di essere connessi alla rete virtuale con la connessione VPN da punto a sito.
  3. Aprire la connessione Desktop remoto digitando "RDP" o "Connessione Desktop remoto" nella casella di ricerca sulla barra delle applicazioni, quindi selezionare Connessione Desktop remoto. È anche possibile aprire una connessione Desktop remoto usando il comando "mstsc" in PowerShell.
  4. In Connessione Desktop remoto immettere l'indirizzo IP privato della VM. È possibile fare clic su "Mostra opzioni" per modificare altre impostazioni e quindi connettersi.

Per risolvere i problemi di una connessione RDP a una VM

Se si verificano problemi di connessione a una macchina virtuale tramite la connessione VPN, è possibile controllare alcuni elementi. Per altre informazioni sulla risoluzione dei problemi, vedere l'articolo su come risolvere i problemi delle connessioni Desktop remoto a una VM.

  • Verificare che la connessione VPN sia attiva.
  • Verificare che venga effettuata la connessione all'indirizzo IP privato per la VM.
  • Usare "ipconfig" per controllare l'indirizzo IPv4 assegnato alla scheda Ethernet nel computer da cui viene effettuata la connessione. Se l'indirizzo IP è compreso nell'intervallo di indirizzi della rete virtuale a cui ci si connette o nell'intervallo di indirizzi del pool di indirizzi del client VPN, si verifica la cosiddetta sovrapposizione dello spazio indirizzi. Con questo tipo di sovrapposizione, il traffico di rete non raggiunge Azure e rimane nella rete locale.
  • Se è possibile connettersi alla VM usando l'indirizzo IP privato, ma non il nome del computer, verificare di avere configurato correttamente il valore per DNS. Per altre informazioni sul funzionamento della risoluzione dei nomi per le macchine virtuali, vedere Risoluzione dei nomi per le macchine virtuali.
  • Verificare che il pacchetto di configurazione del client VPN sia stato generato dopo che sono stati specificati gli indirizzi IP del server DNS per la rete virtuale. Se gli indirizzi IP del server DNS sono stati aggiornati, generare e installare un nuovo pacchetto di configurazione del client VPN.

Aggiungere o rimuovere certificati radice attendibili

È possibile aggiungere e rimuovere certificati radice attendibili da Azure. Quando si rimuove un certificato radice, i client con un certificato generato da tale radice non potranno eseguire l'autenticazione e quindi non potranno connettersi. Per consentire ai client di eseguire l'autenticazione e connettersi, è necessario installare un nuovo certificato client generato da un certificato radice considerato attendibile (caricato) in Azure.

Per aggiungere un certificato radice attendibile

In Azure è possibile aggiungere fino a 20 file CER di certificato radice trusted. Per istruzioni, vedere Sezione 3: Caricare il file CER del certificato radice.

Per rimuovere un certificato radice attendibile

  1. Nella sezione Connessioni VPN del pannello della rete virtuale fare clic sull'icona client per aprire il pannello Connessione VPN da punto a sito.

    Client

  2. Nel pannello Connessione VPN da punto a sito fare clic su Gestisci certificato per aprire il pannello Certificati.

    Pannello Certificati

  3. Nel pannello Certificati fare clic sui puntini di sospensione accanto al certificato che si vuole rimuovere e quindi fare clic su Elimina.

    Eliminare un certificato radice

Revocare un certificato client

È possibile revocare i certificati client. L'elenco di revoche di certificati consente di negare in modo selettivo la connettività da punto a sito basata sui singoli certificati client. Questa operazione è diversa rispetto alla rimozione di un certificato radice attendibile. Se si rimuove un file con estensione cer del certificato radice attendibile da Azure, viene revocato l'accesso per tutti i certificati client generati o firmati dal certificato radice revocato. La revoca di un certificato client, anziché del certificato radice, consente di continuare a usare gli altri certificati generati dal certificato radice per l'autenticazione per la connessione da punto a sito.

La regola generale è quella di usare il certificato radice per gestire l'accesso a livello di team o organizzazione, usando i certificati client revocati per il controllo di accesso con granularità fine su singoli utenti.

Per revocare un certificato client

È possibile revocare un certificato client aggiungendo l'identificazione personale all'elenco di revoche di certificati.

  1. Ottenere l'identificazione personale del certificato client. Per altre informazioni, vedere Procedura: recuperare l'identificazione personale di un certificato.
  2. Copiare le informazioni in un editor di testo e rimuovere tutti gli spazi in modo che sia una stringa continua.
  3. Passare al pannello "nome rete virtuale classica" > Connessione VPN da punto a sito > Certificati e quindi fare clic su Elenco di revoche per aprire il pannello Elenco di revoche.
  4. Nel pannello Elenco di revoche fare clic su +Aggiungi certificato per aprire il pannello Aggiungi certificato all'elenco di revoche.
  5. Nel pannello Aggiungi certificato all'elenco di revoche incollare l'identificazione personale del certificato come una riga di testo continua, senza spazi. Fare clic su OK nella parte inferiore del pannello.
  6. Dopo aver completato l'aggiornamento, il certificato non può più essere usato per la connessione. Ai client che provano a connettersi con questo certificato verrà visualizzato un messaggio che informa che il certificato non è più valido.

Domande frequenti sulla connettività da punto a sito

Quali sistemi operativi client è possibile usare con la connettività da punto a sito?

Sono supportati i sistemi operativi client seguenti:

  • Windows 7 (a 32 e 64 bit)
  • Windows Server 2008 R2 (solo a 64 bit)
  • Windows 8 (a 32 e 64 bit)
  • Windows 8.1 (a 32 e 64 bit)
  • Windows Server 2012 (solo a 64 bit)
  • Windows Server 2012 R2 (solo a 64 bit)
  • Windows 10

Per la connettività da punto a sito è possibile usare qualsiasi client VPN software che supporta SSTP?

No. L'assistenza è limitata solo alle versioni dei sistemi operativi Windows elencati in precedenza.

Quanti endpoint client VPN è possibile includere nella configurazione da punto sito?

Sono supportati fino a 128 client VPN da poter connettere contemporaneamente a una rete virtuale.

È possibile usare la CA radice della PKI interna per la connettività da punto a sito?

Sì. In precedenza, era possibile utilizzare solo certificati radice autofirmati. È ancora possibile caricare 20 certificati radice.

È possibile attraversare proxy e firewall con la funzionalità Da punto a sito

Sì. Viene usato SSTP (Secure Sockets Tunneling Protocol) per effettuare il tunneling tramite firewall. Questo tunnel verrà visualizzato come connessione HTTPs.

Se si riavvia un computer client configurato per la funzionalità Da punto a sito, la VPN verrà riconnessa automaticamente?

Per impostazione predefinita, tramite il computer client non verrà ristabilita automaticamente la connessione VPN.

La funzionalità Da punto a sito supporta la riconnessione automatica e il DNS dinamico nei client VPN?

La riconnessione automatica e il DNS dinamico non sono supportati attualmente nelle VPN da punto a sito.

È possibile la coesistenza di configurazioni da sito a sito e punto a sito per la stessa rete virtuale?

Sì. Entrambe queste soluzioni funzionano se si ha un tipo di VPN basata su route per il gateway. Per il modello di distribuzione classica è necessario un gateway dinamico. Non viene fornito il supporto per i gateway VPN con routing statico da punto a sito o i gateway che usano il cmdlet -VpnType PolicyBased.

È possibile configurare un client da punto a sito per connettersi contempo a più reti virtuali?

Sì, è possibile. I prefissi IP delle reti virtuali non devono tuttavia essere sovrapposti e gli spazi di indirizzi da punto a sito non devono sovrapporsi tra le reti virtuali.

Che velocità effettiva è possibile prevedere usando connessioni da sito a sito o da punto a sito?

È difficile mantenere esattamente la velocità effettiva tramite i tunnel VPN. IPSec e SSTP sono protocolli VPN con un elevato livello di crittografia. La velocità effettiva è limitata inoltre dalla latenza e dalla larghezza di banda tra le sedi locali e Internet.

Passaggi successivi

Dopo aver completato la connessione, è possibile aggiungere macchine virtuali alle reti virtuali. Per altre informazioni, vedere Macchine virtuali. Per altre informazioni sulla rete e sulle macchine virtuali, vedere Panoramica di rete delle macchine virtuali Linux e Azure.