Configurare una connessione da punto a sito a una rete virtuale usando l'autenticazione del certificato (versione classica): portale di AzureConfigure a Point-to-Site connection to a VNet using certificate authentication (classic): Azure portal

Nota

Questo articolo riguarda il modello di distribuzione classica.This article is written for the classic deployment model. Se non si ha familiarità con Azure, è consigliabile usare il modello di distribuzione Resource Manager.If you're new to Azure, we recommend that you use the Resource Manager deployment model instead. Il modello di distribuzione Resource Manager è il modello di distribuzione più recente e offre più opzioni e compatibilità con le funzionalità rispetto al modello di distribuzione classica.The Resource Manager deployment model is the most current deployment model and offers more options and feature compatibility than the classic deployment model. Per altre informazioni, vedere l'articolo contenente le informazioni sui modelli di distribuzione.For more information about the deployment models, see Understanding deployment models.

Per la versione di questo articolo relativa a Resource Manager, selezionarla nell'elenco a discesa sottostante o nel sommario a sinistra.For the Resource Manager version of this article, select it from the drop-down list below, or from the table of contents on the left.

Questo articolo illustra come creare una rete virtuale con una connessione da punto a sito nel modello di distribuzione classica usando il portale di Azure.This article shows you how to create a VNet with a Point-to-Site connection in the classic deployment model using the Azure portal. Questa configurazione usa i certificati per autenticare il client di connessione.This configuration uses certificates to authenticate the connecting client. È anche possibile creare questa configurazione usando strumenti o modelli di distribuzione diversi selezionando un'opzione differente nell'elenco seguente:You can also create this configuration using a different deployment tool or deployment model by selecting a different option from the following list:

Un gateway VPN da punto a sito (P2S) consente di creare una connessione sicura alla rete virtuale da un singolo computer client.A Point-to-Site (P2S) VPN gateway lets you create a secure connection to your virtual network from an individual client computer. Le connessioni VPN da punto a sito sono utili per connettersi alla rete virtuale da una posizione remota, ad esempio nel caso di telecomunicazioni da casa o durante una riunione.Point-to-Site VPN connections are useful when you want to connect to your VNet from a remote location, such when you are telecommuting from home or a conference. Una VPN P2S è anche una soluzione utile da usare al posto di una VPN da sito a sito quando solo pochi client devono connettersi a una rete virtuale.A P2S VPN is also a useful solution to use instead of a Site-to-Site VPN when you have only a few clients that need to connect to a VNet. Una connessione VPN P2S viene stabilita avviandola dal computer client.A P2S VPN connection is established by starting it from the client computer.

Importante

Il modello di distribuzione classica supporta solo i client VPN Windows e usa SSTP (Secure Socket Tunneling Protocol), un protocollo VPN basato su SSL.The classic deployment model supports Windows VPN clients only and uses the Secure Socket Tunneling Protocol (SSTP), an SSL-based VPN protocol. Per supportare i client VPN non Windows, è necessario creare la rete virtuale con il modello di distribuzione Resource Manager.In order to support non-Windows VPN clients, your VNet must be created using the Resource Manager deployment model. Il modello di distribuzione Resource Manager supporta VPN IKEv2, oltre a SSTP.The Resource Manager deployment model supports IKEv2 VPN in addition to SSTP. Per altre informazioni, vedere Informazioni sulle connessioni da punto a sito.For more information, see About P2S connections.

Diagramma da punto a sito

Le connessioni da punto a sito con l'autenticazione del certificato richiedono gli elementi seguenti:Point-to-Site certificate authentication connections require the following:

  • Un gateway VPN dinamico.A Dynamic VPN gateway.
  • La chiave pubblica (file CER) per un certificato radice, caricato in Azure.The public key (.cer file) for a root certificate, which is uploaded to Azure. Questo viene considerato un certificato attendibile e viene usato per l'autenticazione.This is considered a trusted certificate and is used for authentication.
  • Un certificato client generato dal certificato radice e installato in ogni computer client che effettuerà la connessione.A client certificate generated from the root certificate, and installed on each client computer that will connect. Questo certificato viene usato per l'autenticazione client.This certificate is used for client authentication.
  • Un pacchetto di configurazione client VPN deve essere generato e installato in ogni computer client che effettua la connessione.A VPN client configuration package must be generated and installed on every client computer that connects. Il pacchetto di configurazione client configura il client VPN nativo già disponibile nel sistema operativo con le informazioni necessarie per la connessione alla rete virtuale.The client configuration package configures the native VPN client that is already on the operating system with the necessary information to connect to the VNet.

Le connessioni da punto a sito non richiedono un dispositivo VPN o un indirizzo IP pubblico locale.Point-to-Site connections do not require a VPN device or an on-premises public-facing IP address. La connessione VPN viene creata tramite SSTP (Secure Sockets Tunneling Protocol).The VPN connection is created over SSTP (Secure Socket Tunneling Protocol). Sul lato server sono supportate le versioni 1.0, 1.1 e 1.2 di SSTP.On the server side, we support SSTP versions 1.0, 1.1, and 1.2. Il client decide quale versione usare.The client decides which version to use. Per Windows 8.1 e versioni successive, SSTP usa per impostazione predefinita la versione 1.2.For Windows 8.1 and above, SSTP uses 1.2 by default.

Per altre informazioni sulla connettività da punto a sito, consultare le Domande frequenti sulla connettività da punto a sito alla fine di questo articolo.For more information about Point-to-Site connections, see the Point-to-Site FAQ at the end of this article.

Impostazioni di esempioExample settings

È possibile usare i valori seguenti per creare un ambiente di test o fare riferimento a questi valori per comprendere meglio gli esempi di questo articolo:You can use the following values to create a test environment, or refer to these values to better understand the examples in this article:

  • Nome: VNet1Name: VNet1
  • Spazio indirizzi: 192.168.0.0/16Address space: 192.168.0.0/16
    Per questo esempio, viene usato un solo spazio indirizzi.For this example, we use only one address space. È possibile avere più di uno spazio indirizzi per la rete virtuale.You can have more than one address space for your VNet.
  • Nome subnet: FrontEndSubnet name: FrontEnd
  • Intervallo di indirizzi subnet: 192.168.1.0/24Subnet address range: 192.168.1.0/24
  • Sottoscrizione: se si hanno più sottoscrizioni, verificare di usare quella corretta.Subscription: If you have more than one subscription, verify that you are using the correct one.
  • Gruppo di risorse: TestRGResource Group: TestRG
  • Località: Stati Uniti orientaliLocation: East US
  • Tipo di connessione: Da punto a sitoConnection type: Point-to-site
  • : 172.16.201.0/24.Client Address Space: 172.16.201.0/24. I client VPN che si connettono alla rete virtuale con questa connessione da punto a sito ricevono un indirizzo IP dal pool specificato.VPN clients that connect to the VNet using this Point-to-Site connection receive an IP address from the specified pool.
  • GatewaySubnet: 192.168.200.0/24.GatewaySubnet: 192.168.200.0/24. La subnet del gateway deve usare il nome "GatewaySubnet".The Gateway subnet must use the name 'GatewaySubnet'.
  • Dimensioni: selezionare lo SKU di gateway da usare.Size: Select the gateway SKU that you want to use.
  • Tipo di routing: DinamicoRouting Type: Dynamic

1. Creare una rete virtuale e un gateway VPN1. Create a virtual network and a VPN gateway

Prima di iniziare, verificare di possedere una sottoscrizione di Azure.Before beginning, verify that you have an Azure subscription. Se non si ha una sottoscrizione di Azure, è possibile attivare i vantaggi per i sottoscrittori di MSDN oppure iscriversi per ottenere un account gratuito.If you don't already have an Azure subscription, you can activate your MSDN subscriber benefits or sign up for a free account.

Parte 1: Creare una rete virtualePart 1: Create a virtual network

Se non si ha una rete virtuale, crearne una.If you don't already have a virtual network, create one. Gli screenshot sono forniti come esempio.Screenshots are provided as examples. Assicurarsi di sostituire i valori con i propri.Be sure to replace the values with your own. Per creare una rete virtuale usando il portale di Azure, seguire questa procedura:To create a VNet by using the Azure portal, use the following steps:

  1. In un browser passare al portale di Azure e, se necessario, accedere con l'account Azure.From a browser, navigate to the Azure portal and, if necessary, sign in with your Azure account.
  2. Fare clic su New.Click New. Nel campo Cerca nel Marketplace digitare "Rete virtuale".In the Search the marketplace field, type 'Virtual Network'. Individuare Rete virtuale nell'elenco restituito e fare clic per aprire la pagina Rete virtuale.Locate Virtual Network from the returned list and click to open the Virtual Network page.

    pagina di ricerca della rete virtuale

  3. Nella parte inferiore della pagina Rete virtuale selezionare Classica nell'elenco Selezionare un modello di distribuzione e quindi fare clic su Crea.Near the bottom of the Virtual Network page, from the Select a deployment model list, select Classic, and then click Create.

    Selezionare il modello di distribuzione

  4. Nella pagina Crea rete virtuale configurare le impostazioni della rete virtuale.On the Create virtual network page, configure the VNet settings. Aggiungere a questa pagina il primo spazio di indirizzi e l'intervallo di indirizzi di una subnet singola.On this page, you add your first address space and a single subnet address range. Dopo aver creato la rete virtuale, è possibile tornare indietro e aggiungere altre subnet e altri spazi di indirizzi.After you finish creating the VNet, you can go back and add additional subnets and address spaces.

    Pagina Crea rete virtuale

  5. Verificare che la sottoscrizione sia quella corretta.Verify that the Subscription is the correct one. È possibile cambiare sottoscrizione tramite l'elenco a discesa.You can change subscriptions by using the drop-down.
  6. Fare clic su Gruppo di risorse e selezionare un gruppo di risorse esistente o crearne uno nuovo digitandone il nome.Click Resource group and either select an existing resource group, or create a new one by typing a name for your new resource group. Se si crea un nuovo gruppo di risorse, denominare il gruppo in base ai valori di configurazione pianificati.If you are creating a new resource group, name the resource group according to your planned configuration values. Per altre informazioni sui gruppi di risorse, vedere Panoramica di Azure Resource Manager.For more information about resource groups, visit Azure Resource Manager Overview.
  7. Selezionare quindi le impostazioni relative alla località per la rete virtuale.Next, select the Location settings for your VNet. La località determina la posizione in cui risiedono le risorse distribuite in questa rete virtuale.The location determines where the resources that you deploy to this VNet will reside.
  8. Selezionare Aggiungi al dashboard se si vuole trovare facilmente la rete virtuale nel dashboard e quindi fare clic su Crea.Select Pin to dashboard if you want to be able to find your VNet easily on the dashboard, and then click Create.

    Aggiungi al dashboard

  9. Dopo aver fatto clic su Crea, nel dashboard viene visualizzato un riquadro che riflette lo stato di avanzamento della rete virtuale.After clicking Create, a tile appears on your dashboard that will reflect the progress of your VNet. Il riquadro cambia durante la creazione della rete virtuale.The tile changes as the VNet is being created.

    Pannello Creazione della rete virtuale

  10. Una volta creata la rete virtuale, verrà visualizzata l'indicazione Creata.Once your virtual network has been created, you see Created.
  11. Aggiungere un server DNS (facoltativo).Add a DNS server (optional). Dopo aver creato la rete virtuale, è possibile aggiungere l'indirizzo IP di un server DNS per la risoluzione dei nomi.After you create your virtual network, you can add the IP address of a DNS server for name resolution. L'indirizzo IP del server DNS specificato deve essere l'indirizzo di un server DNS in grado di risolvere i nomi per le risorse della rete virtuale.The DNS server IP address that you specify should be the address of a DNS server that can resolve the names for the resources in your VNet.
    Per aggiungere un server DNS, aprire le impostazioni della rete virtuale, fare clic su Server DNS e aggiungere l'indirizzo IP del server DNS da usare.To add a DNS server, open the settings for your virtual network, click DNS servers, and add the IP address of the DNS server that you want to use.

Parte 2: Creare una subnet del gateway e un gateway di routing dinamicoPart 2: Create gateway subnet and a dynamic routing gateway

In questo passaggio vengono creati una subnet del gateway e un gateway di routing dinamico.In this step, you create a gateway subnet and a Dynamic routing gateway. Nel portale di Azure per il modello di distribuzione classica è possibile creare la subnet del gateway e il gateway usando le stesse pagine di configurazione.In the Azure portal for the classic deployment model, creating the gateway subnet and the gateway can be done through the same configuration pages.

  1. Nel portale passare alla rete virtuale per cui si vuole creare un gateway.In the portal, navigate to the virtual network for which you want to create a gateway.
  2. Nella pagina Panoramica della pagina della rete virtuale fare clic su Gateway nella sezione Connessioni VPN.On the page for your virtual network, on the Overview page, in the VPN connections section, click Gateway.

    Fare clic per creare un gateway

  3. Nella pagina Nuova connessione VPN selezionare Da punto a sito.On the New VPN Connection page, select Point-to-site.

    Tipo di connessione da punto a sito

  4. In Spazio indirizzi client aggiungere l'intervallo di indirizzi IP,For Client Address Space, add the IP address range. da cui i client VPN ricevono un indirizzo IP al momento della connessione.This is the range from which the VPN clients receive an IP address when connecting. Usare un intervallo di indirizzi IP privati che non si sovrapponga con la posizione locale da cui verrà effettuata la connessione o con la rete virtuale a cui ci si vuole connettere.Use a private IP address range that does not overlap with the on-premises location that you will connect from, or with the VNet that you want to connect to. È possibile eliminare l'intervallo compilato automaticamente e quindi aggiungere l'intervallo di indirizzi IP privati da usare.You can delete the auto-filled range, then add the private IP address range that you want to use.

    Spazio indirizzi client

  5. Selezionare la casella di controllo Crea gateway immediatamente.Select the Create gateway immediately checkbox.

    Crea gateway immediatamente

  6. Fare clic su Configurazione gateway facoltativa per aprire la pagina Configurazione gateway.Click Optional gateway configuration to open the Gateway configuration page.

    Fare clic su Configurazione gateway facoltativa

  7. Fare clic su Subnet Configure required settings (Configura impostazioni necessarie subnet) per aggiungere la subnet del gateway.Click Subnet Configure required settings to add the gateway subnet. Nonostante sia possibile creare una subnet del gateway con dimensioni di /29 soltanto, è consigliabile crearne una più grande che includa più indirizzi selezionando almeno /28 o /27.While it is possible to create a gateway subnet as small as /29, we recommend that you create a larger subnet that includes more addresses by selecting at least /28 or /27. In questo modo saranno disponibili indirizzi sufficienti per supportare in futuro le possibili configurazioni aggiuntive desiderate.This will allow for enough addresses to accommodate possible additional configurations that you may want in the future. Quando si usano le subnet del gateway, evitare di associare un gruppo di sicurezza di rete (NSG) alla subnet del gateway.When working with gateway subnets, avoid associating a network security group (NSG) to the gateway subnet. Se si associa un gruppo di sicurezza di rete a tale subnet, il gateway VPN potrebbe smettere di funzionare come previsto.Associating a network security group to this subnet may cause your VPN gateway to stop functioning as expected.

    Aggiungere GatewaySubnet

  8. Selezionare le dimensioni del gateway,Select the gateway Size. che rappresentano lo SKU di gateway per il gateway di rete virtuale.The size is the gateway SKU for your virtual network gateway. Nel portale, lo SKU predefinito è Basic.In the portal, the Default SKU is Basic. Per altre informazioni sugli SKU di gateway, vedere Informazioni sulle impostazioni del gateway VPN.For more information about gateway SKUs, see About VPN Gateway Settings.

    Dimensioni del gateway

  9. Selezionare il tipo di routing per il gateway.Select the Routing Type for your gateway. Le configurazioni P2S richiedono il tipo di routing Dinamico.P2S configurations require a Dynamic routing type. Al termine della configurazione della pagina, fare clic su OK.Click OK when you have finished configuring this page.

    Configurare il tipo di routing

  10. Nella pagina Nuova connessione VPN fare clic su OK nella parte inferiore per iniziare a creare il gateway di rete virtuale.On the New VPN Connection page, click OK at the bottom of the page to begin creating your virtual network gateway. Per il completamento di un gateway VPN possono essere necessari fino a 45 minuti, in base allo SKU selezionato per il gateway.A VPN gateway can take up to 45 minutes to complete, depending on the gateway sku that you select.

2. Creare i certificati2. Create certificates

I certificati vengono usati da Azure per autenticare i client VPN per VPN da punto a sito.Certificates are used by Azure to authenticate VPN clients for Point-to-Site VPNs. È necessario caricare le informazioni della chiave pubblica del certificato radice in Azure.You upload the public key information of the root certificate to Azure. La chiave pubblica viene quindi considerata "attendibile".The public key is then considered 'trusted'. I certificati client devono essere generati dal certificato radice attendibile e quindi installati in ogni computer client nell'archivio certificati Certificati - Utente corrente/Personale.Client certificates must be generated from the trusted root certificate, and then installed on each client computer in the Certificates-Current User/Personal certificate store. Il certificato viene usato per l'autenticazione del client all'avvio di una connessione alla rete virtuale.The certificate is used to authenticate the client when it initiates a connection to the VNet.

Se usati, i certificati autofirmati devono essere creati con parametri specifici.If you use self-signed certificates, they must be created using specific parameters. È possibile creare un certificato autofirmato seguendo le istruzioni per PowerShell e Windows 10 o MakeCert.You can create a self-signed certificate using the instructions for PowerShell and Windows 10, or MakeCert. È importante seguire i passaggi di queste istruzioni quando si usano i certificati radice autofirmati e si generano certificati client dal certificato radice autofirmato.It's important that you follow the steps in these instructions when working with self-signed root certificates and generating client certificates from the self-signed root certificate. In caso contrario, i certificati creati non saranno compatibili con le connessioni P2S e si riceverà un errore di connessione.Otherwise, the certificates you create will not be compatible with P2S connections and you will receive a connection error.

Parte 1: Ottenere il file di chiave pubblica (con estensione cer) per il certificato radicePart 1: Obtain the public key (.cer) for the root certificate

È possibile usare un certificato radice generato tramite una soluzione aziendale (opzione consigliata) oppure generare un certificato autofirmato.You can use either a root certificate that was generated using an enterprise solution (recommended), or you can generate a self-signed certificate. Dopo avere creato il certificato radice, esportare i dati del certificato pubblico (non la chiave privata) come file CER X.509 con codifica Base 64 e caricarli in Azure.After creating the root certificate, export the public certificate data (not the private key) as a Base-64 encoded X.509 .cer file and upload the public certificate data to Azure.

  • Certificato aziendale: se si tratta di una soluzione aziendale, è possibile usare la catena di certificati esistente.Enterprise certificate: If you are using an enterprise solution, you can use your existing certificate chain. Ottenere il file con estensione cer per il certificato radice che si vuole usare.Obtain the .cer file for the root certificate that you want to use.
  • Certificato radice autofirmato: se non si usa una soluzione aziendale per la creazione di certificati, è necessario creare un certificato radice autofirmato.Self-signed root certificate: If you aren't using an enterprise certificate solution, you need to create a self-signed root certificate. È importante seguire i passaggi di uno dei due articoli seguenti relativi ai certificati da punto a sito (P2S).It's important that you follow the steps in one of the P2S certificate articles below. In caso contrario, i certificati creati non saranno compatibili con le connessioni da punto a sito e i client riceveranno un errore di connessione quando provano a connettersi.Otherwise, the certificates you create won't be compatible with P2S connections and clients receive a connection error when trying to connect. È possibile usare Azure PowerShell, MakeCert oppure OpenSSL.You can use Azure PowerShell, MakeCert, or OpenSSL. I passaggi negli articoli indicati generano un certificato compatibile.The steps in the provided articles generate a compatible certificate:

    • Istruzioni per Windows 10 PowerShell: queste istruzioni richiedono Windows 10 e PowerShell per generare i certificati.Windows 10 PowerShell instructions: These instructions require Windows 10 and PowerShell to generate certificates. I certificati client generati dal certificato radice possono essere installati in qualsiasi client da punto a sito supportato.Client certificates that are generated from the root certificate can be installed on any supported P2S client.
    • Istruzioni per MakeCert: se non si ha accesso a un computer con Windows 10, è possibile usare MakeCert per generare i certificati.MakeCert instructions: Use MakeCert if you don't have access to a Windows 10 computer to use to generate certificates. MakeCert è deprecato, ma è comunque possibile usarlo per generare i certificati.MakeCert deprecated, but you can still use MakeCert to generate certificates. I certificati client generati dal certificato radice possono essere installati in qualsiasi client da punto a sito supportato.Client certificates that are generated from the root certificate can be installed on any supported P2S client.

Parte 2: Generare un certificato clientPart 2: Generate a client certificate

Ogni computer client che si connette a una rete virtuale usando la soluzione Da punto a sito deve avere un certificato client installato.Each client computer that connects to a VNet using Point-to-Site must have a client certificate installed. Il certificato client viene generato dal certificato radice e viene installato in ogni computer client.The client certificate is generated from the root certificate and installed on each client computer. Se non è stato installato un certificato client valido e il client prova a connettersi alla rete virtuale, l'autenticazione avrà esito negativo.If a valid client certificate is not installed and the client tries to connect to the VNet, authentication fails.

È possibile generare un certificato univoco per ogni client oppure usare lo stesso certificato per più client.You can either generate a unique certificate for each client, or you can use the same certificate for multiple clients. Generare certificati client univoci offre il vantaggio di poter revocare un singolo certificato.The advantage to generating unique client certificates is the ability to revoke a single certificate. In caso contrario, se più client utenti usano lo stesso certificato client e questo deve essere revocato, è necessario generare e installare nuovi certificati per tutti i client che usano tale certificato per l'autenticazione.Otherwise, if multiple clients are using the same client certificate and you need to revoke it, you have to generate and install new certificates for all the clients that use that certificate to authenticate.

È possibile generare i certificati client usando i metodi seguenti:You can generate client certificates using the following methods:

  • Certificato aziendale:Enterprise certificate:

    • Se si usa una soluzione aziendale per la creazione di certificati, generare un certificato client con il valore di nome comune nel formato "name@yourdomain.com", invece che nel formato "nome dominio\nome utente".If you are using an enterprise certificate solution, generate a client certificate with the common name value format 'name@yourdomain.com', rather than the 'domain name\username' format.
    • Verificare che il certificato client sia basato sul modello di certificato "Utente" con "Autenticazione client" come primo elemento nell'elenco d'uso, invece di Accesso smart card e così via. È possibile controllare il certificato facendo doppio clic sul certificato client e aprendo Dettagli > Utilizzo chiavi avanzato.Make sure the client certificate is based on the 'User' certificate template that has 'Client Authentication' as the first item in the use list, rather than Smart Card Logon, etc. You can check the certificate by double-clicking the client certificate and viewing Details > Enhanced Key Usage.
  • Certificato radice autofirmato: è importante seguire i passaggi di uno dei due articoli seguenti relativi ai certificati da punto a sito (P2S).Self-signed root certificate: It's important that you follow the steps in one of the P2S certificate articles below. In caso contrario, i certificati client creati non saranno compatibili con le connessioni da punto a sito e i client riceveranno un errore quando provano a connettersi.Otherwise, the client certificates you create won't be compatible with P2S connections and clients receive an error when trying to connect. I passaggi in uno degli articoli seguenti generano un certificato client compatibile:The steps in either of the following articles generate a compatible client certificate:

    • Istruzioni per Windows 10 PowerShell: queste istruzioni richiedono Windows 10 e PowerShell per generare i certificati.Windows 10 PowerShell instructions: These instructions require Windows 10 and PowerShell to generate certificates. I certificati generati possono essere installati in qualsiasi client da punto a sito supportato.The certificates that are generated can be installed on any supported P2S client.
    • Istruzioni per MakeCert: se non si ha accesso a un computer con Windows 10, è possibile usare MakeCert per generare i certificati.MakeCert instructions: Use MakeCert if you don't have access to a Windows 10 computer to use to generate certificates. MakeCert è deprecato, ma è comunque possibile usarlo per generare i certificati.MakeCert deprecated, but you can still use MakeCert to generate certificates. I certificati generati possono essere installati in qualsiasi client da punto a sito supportato.The certificates that are generated can be installed on any supported P2S client.

    Se si genera un certificato client da un certificato radice autofirmato usando le istruzioni precedenti, viene eseguita l'installazione automatica nel computer usato per generarlo.When you generate a client certificate from a self-signed root certificate using the preceding instructions, it's automatically installed on the computer that you used to generate it. Se si vuole installare un certificato client in un altro computer client, è necessario esportarlo come file con estensione pfx, insieme all'intera catena di certificati.If you want to install a client certificate on another client computer, you need to export it as a .pfx, along with the entire certificate chain. Viene creato un file PFX contenente le informazioni del certificato radice necessarie per la corretta autenticazione del client.This creates a .pfx file that contains the root certificate information that is required for the client to successfully authenticate. Per i passaggi per l'esportazione di un certificato, vedere Certificati - Esportare un certificato client.For steps to export a certificate, see Certificates - export a client certificate.

3. Caricare il file CER del certificato radice3. Upload the root certificate .cer file

Dopo la creazione del gateway, è possibile caricare il file con estensione cer, che contiene le informazioni sulla chiave pubblica, per un certificato radice attendibile in Azure.After the gateway has been created, you can upload the .cer file (which contains the public key information) for a trusted root certificate to Azure. Non si può caricare la chiave privata per il certificato radice in Azure.You do not upload the private key for the root certificate to Azure. Al termine del caricamento di un file CER, Azure lo può usare per autenticare i client che hanno installato un certificato client generato dal certificato radice attendibile.Once a.cer file is uploaded, Azure can use it to authenticate clients that have installed a client certificate generated from the trusted root certificate. È possibile caricare fino a 20 file di certificato radice attendibile aggiuntivi in un secondo momento, se necessario.You can upload additional trusted root certificate files - up to a total of 20 - later, if needed.

  1. Nella sezione Connessioni VPN della pagina della rete virtuale fare clic sull'icona client per aprire la pagina Connessione VPN da punto a sito.On the VPN connections section of the page for your VNet, click the clients graphic to open the Point-to-site VPN connection page.

    Client

  2. Nella pagina Connessione VPN da punto a sito fare clic su Gestisci certificato per aprire la pagina Certificati.On the Point-to-site connection page, click Manage certificates to open the Certificates page.

    Pagina Certificati

  3. Nella pagina Certificati fare clic su Carica per aprire la pagina Carica certificato.On the Certificates page, click Upload to open the Upload certificate page.

    Pagina Carica certificato

  4. Fare clic sull'icona della cartella per cercare il file CER.Click the folder graphic to browse for the .cer file. Selezionare il file e quindi fare clic su OK.Select the file, then click OK. Aggiornare la pagina per visualizzare il certificato caricato nella pagina Certificati.Refresh the page to see the uploaded certificate on the Certificates page.

    Caricamento del certificato

4. Configurare il client4. Configure the client

Per connettersi a una rete virtuale tramite VPN da punto a sito, ogni client deve installare un pacchetto per configurare il client VPN di Windows nativo.To connect to a VNet using a Point-to-Site VPN, each client must install a package to configure the native Windows VPN client. Il pacchetto di configurazione configura il client VPN nativo di Windows con le impostazioni necessarie per la connessione alla rete virtuale.The configuration package configures the native Windows VPN client with the settings necessary to connect to the virtual network.

È possibile usare lo stesso pacchetto di configurazione del client VPN in ogni computer client, a condizione che la versione corrisponda all'architettura del client.You can use the same VPN client configuration package on each client computer, as long as the version matches the architecture for the client. Per l'elenco dei sistemi operativi client supportati, vedere Domande frequenti sulla connettività da punto a sito alla fine di questo articolo.For the list of client operating systems that are supported, see the Point-to-Site connections FAQ at the end of this article.

Parte 1: Generare e installare il pacchetto di configurazione del client VPNPart 1: Generate and install the VPN client configuration package

  1. Nella pagina Panoramica della rete virtuale nel portale di Azure fare clic sull'icona relativa ai client in Connessioni VPN per aprire la pagina Connessione VPN da punto a sito.In the Azure portal, in the Overview page for your VNet, in VPN connections, click the client graphic to open the Point-to-site VPN connection page.
  2. Nella parte superiore della pagina Connessione VPN da punto a sito fare clic sul pacchetto di download corrispondente al sistema operativo client in cui verrà installato:At the top of the Point-to-site VPN connection page, click the download package that corresponds to the client operating system on which it will be installed:

    • Per client a 64 bit, selezionare Client VPN (64 bit).For 64-bit clients, select VPN Client (64-bit).
    • Per client a 32 bit, selezionare Client VPN (32 bit).For 32-bit clients, select VPN Client (32-bit).

    Scaricare il pacchetto di configurazione del client VPN

  3. Dopo che è stato generato, scaricare e installare il pacchetto nel computer client.Once the packaged generates, download and install it on your client computer. Se viene visualizzato un popup SmartScreen, fare clic su Altre informazioni e quindi su Esegui comunque per installare il pacchetto.If you see a SmartScreen popup, click More info, then Run anyway. È anche possibile salvare il pacchetto per l'installazione su altri computer client.You can also save the package to install on other client computers.

Parte 2: Installare il certificato clientPart 2: Install the client certificate

Se si vuole creare una connessione da punto a sito da un computer client diverso da quello usato per generare i certificati client, è necessario installare un certificato client.If you want to create a P2S connection from a client computer other than the one you used to generate the client certificates, you need to install a client certificate. Quando si installa un certificato client, è necessaria la password che è stata creata durante l'esportazione del certificato client.When installing a client certificate, you need the password that was created when the client certificate was exported. In genere è sufficiente fare doppio clic sul certificato e installarlo.Typically, this is just a matter of double-clicking the certificate and installing it. Per altre informazioni, vedere Installare un certificato client esportato.For more information, see Install an exported client certificate.

5. Connect to Azure5. Connect to Azure

Connettersi alla rete virtualeConnect to your VNet

  1. Per connettersi alla rete virtuale, nel computer client passare alle connessioni VPN e individuare quella creata,To connect to your VNet, on the client computer, navigate to VPN connections and locate the VPN connection that you created. che ha lo stesso nome della rete virtuale locale.It is named the same name as your virtual network. Fare clic su Connetti.Click Connect. È possibile che venga visualizzato un messaggio popup che fa riferimento all'uso del certificato.A pop-up message may appear that refers to using the certificate. In questo caso, fare clic su Continua per usare privilegi elevati.If this happens, click Continue to use elevated privileges.
  2. Nella pagina Stato connessione fare clic su Connetti per avviare la connessione.On the Connection status page, click Connect to start the connection. Se viene visualizzato un Seleziona certificato dello schermo, verificare che il certificato client visualizzato sia quello che si desidera utilizzare per la connessione.If you see a Select Certificate screen, verify that the client certificate showing is the one that you want to use to connect. In caso contrario, usare la freccia a discesa per selezionare il certificato corretto e quindi fare clic su OK.If it is not, use the drop-down arrow to select the correct certificate, and then click OK.

    Connessione del client VPN

  3. Verrà stabilita la connessione.Your connection is established.

    Connessione stabilita

Risoluzione dei problemi delle connessioni P2STroubleshooting P2S connections

In caso di problemi di connessione, effettuare i controlli seguenti:If you are having trouble connecting, check the following items:

  • Se è stato esportato un certificato client, assicurarsi che si tratti di un file PFX con il valore predefinito "Se possibile, includi tutti i certificati nel percorso certificazione".If you exported a client certificate, make sure that you exported it as a .pfx file using the default value 'Include all certificates in the certification path if possible'. Usando questo valore per l'esportazione, vengono esportate anche le informazioni del certificato radice.When you export it using this value, the root certificate information is also exported. Quando il certificato viene installato nel computer client, anche il certificato radice contenuto nel file PFX viene installato nel computer client.When the certificate is installed on the client computer, the root certificate which is contained in the .pfx file is then also installed on the client computer. Nel computer client devono essere installate le informazioni del certificato radice.The client computer must have the root certificate information installed. Per verificare, aprire Gestire i certificati utente e passare ad Autorità di certificazione radice attendibili\Certificati.To check, go to Manage user certificates and navigate to Trusted Root Certification Authorities\Certificates. Verificare che il certificato radice sia incluso nell'elenco.Verify that the root certificate is listed. Per il corretto funzionamento dell'autenticazione è necessario che il certificato radice sia presente.The root certificate must be present in order for authentication to work.

  • Se si usa un certificato che è stato rilasciato tramite una soluzione CA globale e si riscontrano problemi durante l'autenticazione, controllare l'ordine di autenticazione del certificato client.If you are using a certificate that was issued using an Enterprise CA solution and are having trouble authenticating, check the authentication order on the client certificate. È possibile controllare l'ordine dell'elenco di autenticazione facendo doppio clic sul certificato client e andando in Dettagli > Utilizzo chiavi avanzato.You can check the authentication list order by double-clicking the client certificate, and going to Details > Enhanced Key Usage. Assicurarsi che l'elenco mostri "Autenticazione client" come primo elemento.Make sure the list shows 'Client Authentication' as the first item. In caso contrario, è necessario emettere un certificato client in base al modello di utente con l'autenticazione client come primo elemento nell'elenco.If not, you need to issue a client certificate based on the User template that has Client Authentication as the first item in the list.

  • Per altre informazioni sulla risoluzione dei problemi delle connessioni P2S, vedere Risoluzione dei problemi di connessione da punto a sito.For additional P2S troubleshooting information, see Troubleshoot P2S connections.

Verificare la connessione VPNVerify the VPN connection

  1. Per verificare che la connessione VPN è attiva, aprire un prompt dei comandi con privilegi elevati ed eseguire ipconfig/all.To verify that your VPN connection is active, open an elevated command prompt, and run ipconfig/all.
  2. Visualizzare i risultati.View the results. Si noti che l'indirizzo IP ricevuto è uno degli indirizzi compresi nell'intervallo di indirizzi di connettività da punto a sito specificato al momento della creazione della rete virtuale.Notice that the IP address you received is one of the addresses within the Point-to-Site connectivity address range that you specified when you created your VNet. I risultati dovrebbero essere simili all'esempio seguente:The results should be similar to this example:

     PPP adapter VNet1:
         Connection-specific DNS Suffix .:
         Description.....................: VNet1
         Physical Address................:
         DHCP Enabled....................: No
         Autoconfiguration Enabled.......: Yes
         IPv4 Address....................: 192.168.130.2(Preferred)
         Subnet Mask.....................: 255.255.255.255
         Default Gateway.................:
         NetBIOS over Tcpip..............: Enabled
    

Connettersi a una macchina virtualeConnect to a virtual machine

È possibile connettersi a una VM distribuita nella rete virtuale creando una connessione Desktop remoto alla VM.You can connect to a VM that is deployed to your VNet by creating a Remote Desktop Connection to your VM. Il modo migliore per verificare inizialmente che è possibile connettersi alla VM consiste nel connettersi usando il rispettivo indirizzo IP privato, invece del nome del computer.The best way to initially verify that you can connect to your VM is to connect by using its private IP address, rather than computer name. Ciò consente di verificare se è possibile connettersi, non se la risoluzione dei nomi è configurata correttamente.That way, you are testing to see if you can connect, not whether name resolution is configured properly.

  1. Individuare l'indirizzo IP privato per la VM.Locate the private IP address for your VM. È possibile trovare l'indirizzo IP privato di una VM esaminando le proprietà per la VM nel portale di Azure oppure usando PowerShell.You can find the private IP address of a VM by either looking at the properties for the VM in the Azure portal, or by using PowerShell.
  2. Verificare di essere connessi alla rete virtuale con la connessione VPN da punto a sito.Verify that you are connected to your VNet using the Point-to-Site VPN connection.
  3. Aprire la connessione Desktop remoto digitando "RDP" o "Connessione Desktop remoto" nella casella di ricerca sulla barra delle applicazioni, quindi selezionare Connessione Desktop remoto.Open Remote Desktop Connection by typing "RDP" or "Remote Desktop Connection" in the search box on the taskbar, then select Remote Desktop Connection. È anche possibile aprire una connessione Desktop remoto usando il comando "mstsc" in PowerShell.You can also open Remote Desktop Connection using the 'mstsc' command in PowerShell.
  4. In Connessione Desktop remoto immettere l'indirizzo IP privato della VM.In Remote Desktop Connection, enter the private IP address of the VM. È possibile fare clic su "Mostra opzioni" per modificare altre impostazioni e quindi connettersi.You can click "Show Options" to adjust additional settings, then connect.

Per risolvere i problemi di una connessione RDP a una VMTo troubleshoot an RDP connection to a VM

Se si verificano problemi di connessione a una macchina virtuale tramite la connessione VPN, è possibile controllare alcuni elementi.If you are having trouble connecting to a virtual machine over your VPN connection, there are a few things you can check. Per altre informazioni sulla risoluzione dei problemi, vedere l'articolo su come risolvere i problemi delle connessioni Desktop remoto a una VM.For more troubleshooting information, see Troubleshoot Remote Desktop connections to a VM.

  • Verificare che la connessione VPN sia attiva.Verify that your VPN connection is successful.
  • Verificare che venga effettuata la connessione all'indirizzo IP privato per la VM.Verify that you are connecting to the private IP address for the VM.
  • Usare "ipconfig" per controllare l'indirizzo IPv4 assegnato alla scheda Ethernet nel computer da cui viene effettuata la connessione.Use 'ipconfig' to check the IPv4 address assigned to the Ethernet adapter on the computer from which you are connecting. Se l'indirizzo IP è compreso nell'intervallo di indirizzi della rete virtuale a cui ci si connette o nell'intervallo di indirizzi del pool di indirizzi del client VPN, si verifica la cosiddetta sovrapposizione dello spazio indirizzi.If the IP address is within the address range of the VNet that you are connecting to, or within the address range of your VPNClientAddressPool, this is referred to as an overlapping address space. Con questo tipo di sovrapposizione, il traffico di rete non raggiunge Azure e rimane nella rete locale.When your address space overlaps in this way, the network traffic doesn't reach Azure, it stays on the local network.
  • Se è possibile connettersi alla VM usando l'indirizzo IP privato, ma non il nome del computer, verificare di avere configurato correttamente il valore per DNS.If you can connect to the VM using the private IP address, but not the computer name, verify that you have configured DNS properly. Per altre informazioni sul funzionamento della risoluzione dei nomi per le macchine virtuali, vedere Risoluzione dei nomi per le macchine virtuali.For more information about how name resolution works for VMs, see Name Resolution for VMs.
  • Verificare che il pacchetto di configurazione del client VPN sia stato generato dopo che sono stati specificati gli indirizzi IP del server DNS per la rete virtuale.Verify that the VPN client configuration package was generated after the DNS server IP addresses were specified for the VNet. Se gli indirizzi IP del server DNS sono stati aggiornati, generare e installare un nuovo pacchetto di configurazione del client VPN.If you updated the DNS server IP addresses, generate and install a new VPN client configuration package.

Aggiungere o rimuovere certificati radice attendibiliAdd or remove trusted root certificates

È possibile aggiungere e rimuovere certificati radice attendibili da Azure.You can add and remove trusted root certificates from Azure. Quando si rimuove un certificato radice, i client con un certificato generato da tale radice non potranno eseguire l'autenticazione e quindi non potranno connettersi.When you remove a root certificate, clients that have a certificate generated from that root won't be able to authenticate, and thus will not be able to connect. Per consentire ai client di eseguire l'autenticazione e connettersi, è necessario installare un nuovo certificato client generato da un certificato radice considerato attendibile (caricato) in Azure.If you want a client to authenticate and connect, you need to install a new client certificate generated from a root certificate that is trusted (uploaded) to Azure.

Per aggiungere un certificato radice attendibileTo add a trusted root certificate

In Azure è possibile aggiungere fino a 20 file CER di certificato radice trusted.You can add up to 20 trusted root certificate .cer files to Azure. Per istruzioni, vedere Sezione 3: Caricare il file CER del certificato radice.For instructions, see Section 3 - Upload the root certificate .cer file.

Per rimuovere un certificato radice attendibileTo remove a trusted root certificate

  1. Nella sezione Connessioni VPN della pagina della rete virtuale fare clic sull'icona client per aprire la pagina Connessione VPN da punto a sito.On the VPN connections section of the page for your VNet, click the clients graphic to open the Point-to-site VPN connection page.

    Client

  2. Nella pagina Connessione VPN da punto a sito fare clic su Gestisci certificato per aprire la pagina Certificati.On the Point-to-site connection page, click Manage certificates to open the Certificates page.

    Pagina Certificati

  3. Nella pagina Certificati fare clic sui puntini di sospensione accanto al certificato che si vuole rimuovere e quindi fare clic su Elimina.On the Certificates page, click the ellipsis next to the certificate that you want to remove, then click Delete.

    Eliminare un certificato radice

Revocare un certificato clientRevoke a client certificate

È possibile revocare i certificati client.You can revoke client certificates. L'elenco di revoche di certificati consente di negare in modo selettivo la connettività da punto a sito basata sui singoli certificati client.The certificate revocation list allows you to selectively deny Point-to-Site connectivity based on individual client certificates. Questa operazione è diversa rispetto alla rimozione di un certificato radice attendibile.This differs from removing a trusted root certificate. Se si rimuove un file con estensione cer del certificato radice attendibile da Azure, viene revocato l'accesso per tutti i certificati client generati o firmati dal certificato radice revocato.If you remove a trusted root certificate .cer from Azure, it revokes the access for all client certificates generated/signed by the revoked root certificate. La revoca di un certificato client, anziché del certificato radice, consente di continuare a usare gli altri certificati generati dal certificato radice per l'autenticazione per la connessione da punto a sito.Revoking a client certificate, rather than the root certificate, allows the other certificates that were generated from the root certificate to continue to be used for authentication for the Point-to-Site connection.

La regola generale è quella di usare il certificato radice per gestire l'accesso a livello di team o organizzazione, usando i certificati client revocati per il controllo di accesso con granularità fine su singoli utenti.The common practice is to use the root certificate to manage access at team or organization levels, while using revoked client certificates for fine-grained access control on individual users.

Per revocare un certificato clientTo revoke a client certificate

È possibile revocare un certificato client aggiungendo l'identificazione personale all'elenco di revoche di certificati.You can revoke a client certificate by adding the thumbprint to the revocation list.

  1. Ottenere l'identificazione personale del certificato client.Retrieve the client certificate thumbprint. Per altre informazioni, vedere Procedura: recuperare l'identificazione personale di un certificato.For more information, see How to: Retrieve the Thumbprint of a Certificate.
  2. Copiare le informazioni in un editor di testo e rimuovere tutti gli spazi in modo che sia una stringa continua.Copy the information to a text editor and remove all spaces so that it is a continuous string.
  3. Passare alla pagina "nome rete virtuale classica" > Connessione VPN da punto a sito > Certificati e quindi fare clic su Elenco di revoche per aprire la pagina Elenco di revoche.Navigate to the 'classic virtual network name' > Point-to-site VPN connection > Certificates page and then click Revocation list to open the Revocation list page.
  4. Nella pagina Elenco di revoche fare clic su +Aggiungi certificato per aprire la pagina Aggiungi certificato all'elenco di revoche.On the Revocation list page, click +Add certificate to open the Add certificate to revocation list page.
  5. Nella pagina Aggiungi certificato all'elenco di revoche incollare l'identificazione personale del certificato come una riga di testo continua, senza spazi.On the Add certificate to revocation list page, paste the certificate thumbprint as one continuous line of text, with no spaces. Fare clic su OK nella parte inferiore della pagina.Click OK at the bottom of the page.
  6. Dopo aver completato l'aggiornamento, il certificato non può più essere usato per la connessione.After updating has completed, the certificate can no longer be used to connect. Ai client che provano a connettersi con questo certificato verrà visualizzato un messaggio che informa che il certificato non è più valido.Clients that try to connect using this certificate receive a message saying that the certificate is no longer valid.

Domande frequenti sulla connettività da punto a sitoPoint-to-Site FAQ

Queste domande frequenti si applicano alle connessioni da punto a sito con il modello di distribuzione classica.This FAQ applies to P2S connections using the classic deployment model.

Quali sistemi operativi client è possibile usare con la connettività da punto a sito?What client operating systems can I use with Point-to-Site?

Sono supportati i sistemi operativi client seguenti:The following client operating systems are supported:

  • Windows 7 (a 32 e 64 bit)Windows 7 (32-bit and 64-bit)
  • Windows Server 2008 R2 (solo a 64 bit)Windows Server 2008 R2 (64-bit only)
  • Windows 8 (a 32 e 64 bit)Windows 8 (32-bit and 64-bit)
  • Windows 8.1 (a 32 e 64 bit)Windows 8.1 (32-bit and 64-bit)
  • Windows Server 2012 (solo a 64 bit)Windows Server 2012 (64-bit only)
  • Windows Server 2012 R2 (solo a 64 bit)Windows Server 2012 R2 (64-bit only)
  • Windows 10Windows 10

Per la connettività da punto a sito è possibile usare qualsiasi client VPN software che supporta SSTP?Can I use any software VPN client for Point-to-Site that supports SSTP?

No.No. L'assistenza è limitata solo alle versioni dei sistemi operativi Windows elencati in precedenza.Support is limited only to the Windows operating system versions listed above.

Quanti endpoint client VPN è possibile includere nella configurazione da punto sito?How many VPN client endpoints can I have in my Point-to-Site configuration?

Sono supportati fino a 128 client VPN da poter connettere contemporaneamente a una rete virtuale.We support up to 128 VPN clients to be able to connect to a virtual network at the same time.

È possibile usare la CA radice della PKI interna per la connettività da punto a sito?Can I use my own internal PKI root CA for Point-to-Site connectivity?

Sì.Yes. In precedenza, era possibile utilizzare solo certificati radice autofirmati.Previously, only self-signed root certificates could be used. È ancora possibile caricare 20 certificati radice.You can still upload 20 root certificates.

È possibile attraversare proxy e firewall con la funzionalità Da punto a sitoCan I traverse proxies and firewalls using Point-to-Site capability?

Sì.Yes. Viene usato SSTP (Secure Sockets Tunneling Protocol) per effettuare il tunneling tramite firewall.We use SSTP (Secure Socket Tunneling Protocol) to tunnel through firewalls. Questo tunnel verrà visualizzato come connessione HTTPs.This tunnel will appear as an HTTPs connection.

Se si riavvia un computer client configurato per la funzionalità Da punto a sito, la VPN verrà riconnessa automaticamente?If I restart a client computer configured for Point-to-Site, will the VPN automatically reconnect?

Per impostazione predefinita, tramite il computer client non verrà ristabilita automaticamente la connessione VPN.By default, the client computer will not reestablish the VPN connection automatically.

La funzionalità Da punto a sito supporta la riconnessione automatica e il DNS dinamico nei client VPN?Does Point-to-Site support auto-reconnect and DDNS on the VPN clients?

La riconnessione automatica e il DNS dinamico non sono supportati attualmente nelle VPN da punto a sito.Auto-reconnect and DDNS are currently not supported in Point-to-Site VPNs.

È possibile la coesistenza di configurazioni da sito a sito e punto a sito per la stessa rete virtuale?Can I have Site-to-Site and Point-to-Site configurations coexist for the same virtual network?

Sì.Yes. Entrambe queste soluzioni funzionano se si ha un tipo di VPN basata su route per il gateway.Both these solutions will work if you have a RouteBased VPN type for your gateway. Per il modello di distribuzione classica è necessario un gateway dinamico.For the classic deployment model, you need a dynamic gateway. Non viene fornito il supporto per i gateway VPN con routing statico da punto a sito o i gateway che usano il cmdlet -VpnType PolicyBased.We do not support Point-to-Site for static routing VPN gateways or gateways using the -VpnType PolicyBased cmdlet.

È possibile configurare un client da punto a sito per connettersi contempo a più reti virtuali?Can I configure a Point-to-Site client to connect to multiple virtual networks at the same time?

Sì, è possibile.Yes, it is possible. I prefissi IP delle reti virtuali non devono tuttavia essere sovrapposti e gli spazi di indirizzi da punto a sito non devono sovrapporsi tra le reti virtuali.But the virtual networks cannot have overlapping IP prefixes and the Point-to-Site address spaces must not overlap between the virtual networks.

Che velocità effettiva è possibile prevedere usando connessioni da sito a sito o da punto a sito?How much throughput can I expect through Site-to-Site or Point-to-Site connections?

È difficile mantenere esattamente la velocità effettiva tramite i tunnel VPN.It's difficult to maintain the exact throughput of the VPN tunnels. IPSec e SSTP sono protocolli VPN con un elevato livello di crittografia.IPsec and SSTP are crypto-heavy VPN protocols. La velocità effettiva è limitata inoltre dalla latenza e dalla larghezza di banda tra le sedi locali e Internet.Throughput is also limited by the latency and bandwidth between your premises and the Internet.

Passaggi successiviNext steps

Dopo aver completato la connessione, è possibile aggiungere macchine virtuali alle reti virtuali.Once your connection is complete, you can add virtual machines to your virtual networks. Per altre informazioni, vedere Macchine virtuali.For more information, see Virtual Machines. Per altre informazioni sulla rete e sulle macchine virtuali, vedere Panoramica di rete delle macchine virtuali Linux e Azure.To understand more about networking and virtual machines, see Azure and Linux VM network overview.