Configurare una connessione da punto a sito a una rete virtuale usando l'autenticazione del certificato di Azure nativo: portale di AzureConfigure a Point-to-Site connection to a VNet using native Azure certificate authentication: Azure portal

Questo articolo illustra come creare una rete virtuale con una connessione da punto a sito nel modello di distribuzione Resource Manager usando il portale di Azure.This article shows you how to create a VNet with a Point-to-Site connection in the Resource Manager deployment model using Azure portal. Questa configurazione usa i certificati per l'autenticazione.This configuration uses certificates for authentication. In questa configurazione il gateway VPN di Azure esegue la convalida del certificato, invece che di un server RADIUS.In this configuration, the Azure VPN gateway performs validation of the certificate, rather than a RADIUS server. È anche possibile creare questa configurazione usando strumenti o modelli di distribuzione diversi selezionando un'opzione differente nell'elenco seguente:You can also create this configuration using a different deployment tool or deployment model by selecting a different option from the following list:

Un gateway VPN da punto a sito (P2S) consente di creare una connessione sicura alla rete virtuale da un singolo computer client.A Point-to-Site (P2S) VPN gateway lets you create a secure connection to your virtual network from an individual client computer. Le connessioni VPN da punto a sito sono utili per connettersi alla rete virtuale da una posizione remota, ad esempio nel caso di telecomunicazioni da casa o durante una riunione.Point-to-Site VPN connections are useful when you want to connect to your VNet from a remote location, such when you are telecommuting from home or a conference. Una VPN P2S è anche una soluzione utile da usare al posto di una VPN da sito a sito quando solo pochi client devono connettersi a una rete virtuale.A P2S VPN is also a useful solution to use instead of a Site-to-Site VPN when you have only a few clients that need to connect to a VNet. Una connessione VPN P2S viene avviata dai dispositivi Windows e Mac.A P2S VPN connection is started from Windows and Mac devices.

I client che si connettono possono usare i metodi di autenticazione seguenti:Connecting clients can use the following authentication methods:

  • Server RADIUS: attualmente in fase di anteprimaRADIUS server - Currently in Preview
  • Autenticazione del certificato di Azure nativo tramite il gateway VPNVPN Gateway native Azure certificate authentication

Questo articolo illustra come eseguire una configurazione P2S con l'autenticazione usando l'autenticazione del certificato di Azure nativo.This article helps you configure a P2S configuration with authentication using the native Azure certificate authentication. Per usare RADIUS per autenticare gli utenti che si connettono, vedere P2S using RADIUS authentication (P2S con autenticazione RADIUS).If you want to use RADIUS to authenticate connecting users, see P2S using RADIUS authentication.

Connettere un computer a una rete virtuale di Azure: diagramma di connessione da punto a sito

Le connessioni da punto a sito non richiedono un dispositivo VPN o un indirizzo IP pubblico.Point-to-Site connections do not require a VPN device or a public-facing IP address. La modalità da punto a sito crea la connessione VPN tramite SSTP (Secure Sockets Tunneling Protocol) o IKEv2.P2S creates the VPN connection over either SSTP (Secure Socket Tunneling Protocol), or IKEv2.

  • SSTP è un tunnel VPN basato su SSL supportato solo nelle piattaforme client Windows.SSTP is an SSL-based VPN tunnel that is supported only on Windows client platforms. Può penetrare i firewall e per questo è l'opzione ideale per connettersi ad Azure ovunque.It can penetrate firewalls, which makes it an ideal option to connect to Azure from anywhere. Sul lato server sono supportate le versioni 1.0, 1.1 e 1.2 di SSTP.On the server side, we support SSTP versions 1.0, 1.1, and 1.2. Il client decide quale versione usare.The client decides which version to use. Per Windows 8.1 e versioni successive, SSTP usa per impostazione predefinita la versione 1.2.For Windows 8.1 and above, SSTP uses 1.2 by default.

  • VPN IKEv2, una soluzione VPN IPsec basata su standard.IKEv2 VPN, a standards-based IPsec VPN solution. VPN IKEv2 può essere usato per connettersi da dispositivi Mac (versioni OSX 10.11 e successive).IKEv2 VPN can be used to connect from Mac devices (OSX versions 10.11 and above). IKEv2 è attualmente in fase di anteprima.IKEv2 is currently in Preview.

Le connessioni da punto a sito con l'autenticazione del certificato di Azure nativo richiedono gli elementi seguenti:Point-to-Site native Azure certificate authentication connections require the following:

  • Un gateway VPN RouteBased.A RouteBased VPN gateway.
  • La chiave pubblica (file CER) per un certificato radice, caricato in Azure.The public key (.cer file) for a root certificate, which is uploaded to Azure. Il certificato, dopo essere stato caricato, viene considerato un certificato attendibile e viene usato per l'autenticazione.Once the certificate is uploaded, it is considered a trusted certificate and is used for authentication.
  • Un certificato client generato dal certificato radice e installato in ogni computer client che si connetterà alla rete virtuale.A client certificate that is generated from the root certificate and installed on each client computer that will connect to the VNet. Questo certificato viene usato per l'autenticazione client.This certificate is used for client authentication.
  • Una configurazione del client VPN.A VPN client configuration. I file di configurazione del client VPN contengono le informazioni necessarie per la connessione del client alla rete virtuale.The VPN client configuration files contain the necessary information for the client to connect to the VNet. I file configurano il client VPN esistente, nativo del sistema operativo.The files configure the existing VPN client that is native to the operating system. Ogni client che si connette deve essere configurato usando le impostazioni nei file di configurazione.Each client that connects must be configured using the settings in the configuration files.

Per altre informazioni al riguardo, vedere About Point-to-Site connections (Informazioni sulle connessioni da punto a sito).For more information about Point-to-Site connections, see About Point-to-Site connections.

Valori di esempioExample values

È possibile usare i valori seguenti per creare un ambiente di test o fare riferimento a questi valori per comprendere meglio gli esempi di questo articolo:You can use the following values to create a test environment, or refer to these values to better understand the examples in this article:

  • Nome della rete virtuale: VNet1VNet Name: VNet1
  • Spazio indirizzi: 192.168.0.0/16Address space: 192.168.0.0/16
    Per questo esempio, viene usato un solo spazio indirizzi.For this example, we use only one address space. È possibile avere più di uno spazio indirizzi per la rete virtuale.You can have more than one address space for your VNet.
  • Nome subnet: FrontEndSubnet name: FrontEnd
  • Intervallo di indirizzi subnet: 192.168.1.0/24Subnet address range: 192.168.1.0/24
  • Sottoscrizione: se si hanno più sottoscrizioni, verificare di usare quella corretta.Subscription: If you have more than one subscription, verify that you are using the correct one.
  • Gruppo di risorse: TestRGResource Group: TestRG
  • Località: Stati Uniti orientaliLocation: East US
  • GatewaySubnet: 192.168.200.0/24GatewaySubnet: 192.168.200.0/24
  • Server DNS: (facoltativo) indirizzo IP del server DNS che si vuole usare per la risoluzione dei nomi.DNS Server: (optional) IP address of the DNS server that you want to use for name resolution.
  • Nome gateway di rete virtuale: VNet1GWVirtual network gateway name: VNet1GW
  • Tipo di gateway: VPNGateway type: VPN
  • Tipo VPN: Basato su routeVPN type: Route-based
  • Nome indirizzo IP pubblico: VNet1GWpipPublic IP address name: VNet1GWpip
  • Tipo di connessione: Da punto a sitoConnection type: Point-to-site
  • Pool di indirizzi client: 172.16.201.0/24Client address pool: 172.16.201.0/24
    I client VPN che si connettono alla rete virtuale con questa connessione da punto a sito ricevono un indirizzo IP dal pool di indirizzi client.VPN clients that connect to the VNet using this Point-to-Site connection receive an IP address from the client address pool.

1. Crea rete virtuale1. Create a virtual network

Prima di iniziare, verificare di possedere una sottoscrizione di Azure.Before beginning, verify that you have an Azure subscription. Se non si ha una sottoscrizione di Azure, è possibile attivare i vantaggi per i sottoscrittori di MSDN oppure iscriversi per ottenere un account gratuito.If you don't already have an Azure subscription, you can activate your MSDN subscriber benefits or sign up for a free account.

Per creare una rete virtuale nel modello di distribuzione Resource Manager usando il portale di Azure, seguire questa procedura.To create a VNet in the Resource Manager deployment model by using the Azure portal, follow the steps below. Gli screenshot sono forniti come esempi.The screenshots are provided as examples. Assicurarsi di sostituire i valori con i propri.Be sure to replace the values with your own. Per altre informazioni sull'uso delle reti virtuali, vedere la panoramica sulla rete virtuale.For more information about working with virtual networks, see the Virtual Network Overview.

Nota

Se si vuole che questa rete virtuale si connetta a una posizione locale, oltre a creare una configurazione da punto a sito, è necessario coordinarsi con l'amministratore di rete locale per definire un intervallo di indirizzi IP da usare in modo specifico per questa rete virtuale.If you want this VNet to connect to an on-premises location (in addition to creating a P2S configuration), you need to coordinate with your on-premises network administrator to carve out an IP address range that you can use specifically for this virtual network. Se su entrambi i lati della connessione VPN è presente un intervallo di indirizzi duplicato, il traffico non viene indirizzato nel modo previsto.If a duplicate address range exists on both sides of the VPN connection, traffic does not route the way you may expect it to. Se inoltre si vuole connettere questa rete virtuale a un'altra rete virtuale, lo spazio degli indirizzi non può sovrapporsi a un'altra rete virtuale.Additionally, if you want to connect this VNet to another VNet, the address space cannot overlap with other VNet. Pianificare quindi con attenzione la configurazione della rete.Take care to plan your network configuration accordingly.

  1. In un browser passare al portale di Azure e, se necessario, accedere con l'account Azure.From a browser, navigate to the Azure portal and, if necessary, sign in with your Azure account.
  2. Fare clic su +Click +. Nel campo Cerca nel Marketplace digitare "Rete virtuale".In the Search the marketplace field, type "Virtual Network". Individuare Rete virtuale nell'elenco restituito e fare clic per aprire la pagina Rete virtuale.Locate Virtual Network from the returned list and click to open the Virtual Network page.

    Pagina per individuare la risorsa Rete virtualeLocate Virtual Network resource page

  3. Nella parte inferiore della pagina Rete virtuale selezionare Resource Manager nell'elenco Selezionare un modello di distribuzione e quindi fare clic su Crea.Near the bottom of the Virtual Network page, from the Select a deployment model list, select Resource Manager, and then click Create.

    Selezionare Resource ManagerSelect Resource Manager

  4. Nella pagina Crea rete virtuale configurare le impostazioni della rete virtuale.On the Create virtual network page, configure the VNet settings. Durante la compilazione dei campi, il punto esclamativo rosso diventa un segno di spunta verde se i caratteri immessi nel campo sono validi.When you fill in the fields, the red exclamation mark becomes a green check mark when the characters entered in the field are valid. Alcuni valori possono essere compilati automaticamente.There may be values that are auto-filled. In questo caso, sostituire i valori con quelli personalizzati.If so, replace the values with your own. La pagina Crea rete virtuale ha un aspetto simile all'esempio seguente:The Create virtual network page looks similar to the following example:

    Convalida dei campiField validation

  5. Nome: immettere un nome per la rete virtuale.Name: Enter the name for your Virtual Network.
  6. Spazio indirizzi: immettere lo spazio degli indirizzi.Address space: Enter the address space. Se si hanno più spazi di indirizzi da aggiungere, aggiungere il primo.If you have multiple address spaces to add, add your first address space. È possibile aggiungere altri spazi di indirizzi in un secondo momento, dopo aver creato la rete virtuale.You can add additional address spaces later, after creating the VNet.
  7. Sottoscrizione: verificare che sia visualizzata la sottoscrizione corretta.Subscription: Verify that the Subscription listed is the correct one. È possibile cambiare sottoscrizione tramite l'elenco a discesa.You can change subscriptions by using the drop-down.
  8. Gruppo di risorse: selezionare un gruppo di risorse esistente o crearne uno nuovo digitandone il nome.Resource group: Select an existing resource group, or create a new one by typing a name for your new resource group. Se si crea un nuovo gruppo, denominare il gruppo di risorse in base ai valori di configurazione pianificati.If you are creating a new group, name the resource group according to your planned configuration values. Per altre informazioni sui gruppi di risorse, vedere Panoramica di Gestione risorse di Azure.For more information about resource groups, visit Azure Resource Manager Overview.
  9. Località: selezionare la località della rete virtuale.Location: Select the location for your VNet. La località determina la posizione in cui risiedono le risorse distribuite in questa rete virtuale.The location determines where the resources that you deploy to this VNet will reside.
  10. Subnet: aggiungere il nome e l'intervallo di indirizzi della subnet.Subnet: Add the subnet name and subnet address range. È possibile aggiungere altre subnet in un secondo momento, dopo aver creato la rete virtuale.You can add additional subnets later, after creating the VNet.
  11. Selezionare Aggiungi al dashboard se si vuole trovare facilmente la rete virtuale nel dashboard e quindi fare clic su Crea.Select Pin to dashboard if you want to be able to find your VNet easily on the dashboard, and then click Create.

    Aggiungi al dashboardPin to dashboard

  12. Dopo aver fatto clic su Crea, verrà visualizzato un riquadro nel dashboard che riflette lo stato di avanzamento della rete virtuale.After clicking Create, you will see a tile on your dashboard that will reflect the progress of your VNet. Il riquadro cambia durante la creazione della rete virtuale.The tile changes as the VNet is being created.

    Riquadro Creazione della rete virtualeCreating virtual network tile

2. Aggiungere una subnet del gateway2. Add a gateway subnet

Prima di connettere la rete virtuale a un gateway, è necessario creare la subnet del gateway per la rete virtuale con cui si vuole stabilire la connessione.Before connecting your virtual network to a gateway, you first need to create the gateway subnet for the virtual network to which you want to connect. Il servizio del gateway usa gli indirizzi IP specificati nella subnet del gateway.The gateway services use the IP addresses specified in the gateway subnet. Se possibile, creare una subnet del gateway con un blocco CIDR di /28 o /27 per fornire indirizzi IP sufficienti a soddisfare altri requisiti di configurazione futuri.If possible, create a gateway subnet using a CIDR block of /28 or /27 to provide enough IP addresses to accommodate additional future configuration requirements.

  1. Nel portale passare alla rete virtuale di Resource Manager per cui si vuole creare un gateway di rete virtuale.In the portal, navigate to the Resource Manager virtual network for which you want to create a virtual network gateway.
  2. Nella sezione Impostazioni della pagina della rete virtuale fare clic su Subnet per espandere la pagina Subnet.In the Settings section of your VNet page, click Subnets to expand the Subnets page.
  3. Nella pagina Subnet fare clic su +Subnet del gateway per aprire la pagina Aggiungi subnet.On the Subnets page, click +Gateway subnet to open the Add subnet page.

    Aggiungere la subnet del gatewayAdd the gateway subnet

  4. Il nome della subnet verrà compilato automaticamente con il valore 'GatewaySubnet'.The Name for your subnet is automatically filled in with the value 'GatewaySubnet'. Questo valore è obbligatorio per consentire ad Azure di riconoscere la subnet come subnet del gateway.This value is required in order for Azure to recognize the subnet as the gateway subnet. Modificare i valori di Intervallo di indirizzi inseriti automaticamente in modo che corrispondano ai requisiti della configurazione e quindi fare clic su OK nella parte inferiore della pagina per creare la subnet.Adjust the auto-filled Address range values to match your configuration requirements, then click OK at the bottom of the page to create the subnet.

    Aggiunta della subnetAdding the subnet

3. Specificare un server DNS (facoltativo)3. Specify a DNS server (optional)

Dopo aver creato la rete virtuale, è possibile aggiungere l'indirizzo IP di un server DNS per gestire la risoluzione dei nomi.After you create your virtual network, you can add the IP address of a DNS server to handle name resolution. Il server DNS è facoltativo per questa configurazione, ma obbligatorio per la risoluzione dei nomi.The DNS server is optional for this configuration, but required if you want name resolution. Se si specifica un valore, non verrà creato un nuovo server DNS.Specifying a value does not create a new DNS server. L'indirizzo IP del server DNS specificato deve essere un server DNS in grado di risolvere i nomi per le risorse a cui ci si connette.The DNS server IP address that you specify should be a DNS server that can resolve the names for the resources you are connecting to. Per questo esempio, è stato usato un indirizzo IP privato, ma è probabile che non si tratti dell'indirizzo IP del server DNS.For this example, we used a private IP address, but it is likely that this is not the IP address of your DNS server. Assicurarsi di usare valori personalizzati.Be sure to use your own values. Il valore specificato viene usato dalle risorse distribuite nella rete virtuale, non dalla connessione P2S o dal client VPN.The value you specify is used by the resources that you deploy to the VNet, not by the P2S connection or the VPN client.

  1. Nella pagina Impostazioni della rete virtuale passare a Server DNS e fare clic per aprire il pannello corrispondente.On the Settings page for your virtual network, navigate to DNS Servers and click to open the DNS servers blade.

    Aggiungi server DNSAdd DNS server

    • Server DNS: selezionare Personalizzato.DNS Servers: Select select Custom.
    • Aggiungi server DNS: immettere l'indirizzo IP del server DNS che si vuole usare per la risoluzione dei nomi.Add DNS server: Enter the IP address of the DNS server that you want to use for name resolution.
  2. Dopo aver aggiunto i server DNS, fare clic su Salva nella parte superiore del pannello.When you are done adding DNS servers, click Save at the top of the blade.

4. Creare un gateway di rete virtuale4. Create a virtual network gateway

  1. Sul lato sinistro del portale fare clic su + e digitare "Gateway di rete virtuale" nella casella di ricerca.In the portal, on the left side, click + and type 'Virtual Network Gateway' in search. Individuare Gateway di rete virtuale nei risultati della ricerca e fare clic sulla voce.Locate Virtual network gateway in the search return and click the entry. Nella pagina Gateway di rete virtuale fare clic su Crea nella parte inferiore per aprire la pagina Crea gateway di rete virtuale.On the Virtual network gateway page, click Create at the bottom of the page to open the Create virtual network gateway page.
  2. Nella pagina Crea gateway di rete virtuale inserire i valori per il gateway di rete virtuale.On the Create virtual network gateway page, fill in the values for your virtual network gateway.

    Campi nella pagina Crea gateway di rete virtualeCreate virtual network gateway page fields

  3. Nella pagina Crea gateway di rete virtuale specificare i valori per il gateway di rete virtuale.On the Create virtual network gateway page, specify the values for your virtual network gateway.

    • Nome: assegnare un nome al gateway.Name: Name your gateway. Questa operazione non è come quella utilizzata per assegnare un nome alla subnet del gateway.This is not the same as naming a gateway subnet. Si tratta del nome dell'oggetto gateway che verrà creato.It's the name of the gateway object you are creating.
    • Tipo di gateway: selezionare VPN.Gateway type: Select VPN. I gateway VPN usano il gateway di rete virtuale di tipo VPN.VPN gateways use the virtual network gateway type VPN.
    • Tipo VPN: selezionare il tipo di VPN specificato per la configurazione.VPN type: Select the VPN type that is specified for your configuration. La maggior parte delle configurazioni richiede un tipo di VPN basato su route.Most configurations require a Route-based VPN type.
    • SKU: selezionare lo SKU del gateway dall'elenco a discesa.SKU: Select the gateway SKU from the dropdown. Gli SKU disponibili nell'elenco a discesa dipendono dal tipo di VPN selezionato.The SKUs listed in the dropdown depend on the VPN type you select. Per informazioni sugli SKU del gateway, vedere SKU del gateway.For more information about gateway SKUs, see Gateway SKUs.
    • Posizione: potrebbe essere necessario scorrere la schermata per trovare la posizione.Location: You may need to scroll to see Location. Modificare il campo Località in modo che faccia riferimento alla località in cui si trova la rete virtuale.Adjust the Location field to point to the location where your virtual network is located. Se la località non fa riferimento all'area in cui si trova la rete virtuale, quest'ultima non verrà visualizzata nell'elenco a discesa quando si seleziona una rete virtuale nel passaggio successivo.If the location is not pointing to the region where your virtual network resides, when you select a virtual network in the next step, it will not appear in the drop-down list.
    • Rete virtuale: scegliere la rete virtuale a cui si vuole aggiungere il gateway.Virtual network: Choose the virtual network to which you want to add this gateway. Fare clic su Rete virtuale per aprire la pagina "Scegliere una rete virtuale".Click Virtual network to open the 'Choose a virtual network' page. Selezionare la rete virtuale.Select the VNet. Se la rete virtuale non viene visualizzata, verificare che il campo Località faccia riferimento all'area in cui si trova la rete virtuale.If you don't see your VNet, make sure the Location field is pointing to the region in which your virtual network is located.
    • Intervallo di indirizzi subnet del gateway: questa impostazione verrà visualizzata solo se in precedenza non è stata creata una subnet del gateway per la rete virtuale.Gateway subnet address range: You will only see this setting if you did not previously create a gateway subnet for your virtual network. Se in precedenza si è creata una subnet del gateway valida, questa impostazione non verrà visualizzata.If you previously created a valid gateway subnet, this setting will not appear.
    • Prima configurazione IP: la pagina "Scegli indirizzo IP pubblico" crea un oggetto indirizzo IP pubblico che viene associato al gateway VPN.First IP configuration: The 'Choose public IP address' page creates a public IP address object that gets associated to the VPN gateway. L'indirizzo IP pubblico viene assegnato dinamicamente a questo oggetto durante la creazione del gateway VPN.The public IP address is dynamically assigned to this object when the VPN gateway is created. Il gateway VPN supporta attualmente solo l'allocazione degli indirizzi IP pubblici dinamici.VPN Gateway currently only supports Dynamic Public IP address allocation. Ciò non significa tuttavia che l'indirizzo IP viene modificato dopo l'assegnazione al gateway VPN.However, this does not mean that the IP address changes after it has been assigned to your VPN gateway. L'indirizzo IP pubblico viene modificato solo quando il gateway viene eliminato e ricreato.The only time the Public IP address changes is when the gateway is deleted and re-created. Non viene modificato in caso di ridimensionamento, reimpostazione o altre manutenzioni/aggiornamenti del gateway VPN.It doesn't change across resizing, resetting, or other internal maintenance/upgrades of your VPN gateway.

      • Per prima cosa fare clic su Crea configurazione IP gateway per aprire la pagina "Scegli indirizzo IP pubblico", quindi fare clic su +Crea nuovo per aprire la pagina "Crea indirizzo IP pubblico".First, click Create gateway IP configuration to open the 'Choose public IP address' page, then click +Create new to open the 'Create public IP address' page.
      • Immettere quindi un nome per l'indirizzo IP pubblico.Next, input a Name for your public IP address. Lasciare lo SKU impostato su Basic a meno che non esista un motivo specifico per modificarlo, quindi fare clic su OK nella parte inferiore della pagina per salvare le modifiche.Leave the SKU as Basic unless there is a specific reason to change it to something else, then click OK at the bottom of this page to save your changes.

        Crea indirizzo IP pubblicoCreate public IP

  4. Verificare le impostazioni.Verify the settings. Se si vuole che il gateway venga visualizzato nel dashboard, è possibile selezionare Aggiungi al dashboard nella parte inferiore della pagina.You can select Pin to dashboard at the bottom of the page if you want your gateway to appear on the dashboard.

  5. Fare clic su Crea per iniziare a creare il gateway VPN.Click Create to begin creating the VPN gateway. Le impostazioni verranno convalidate e nel dashboard verrà visualizzato il riquadro relativo alla distribuzione del gateway di rete virtuale.The settings are validated and you'll see the "Deploying Virtual network gateway" tile on the dashboard. La creazione di un gateway può richiedere fino a 45 minuti.Creating a gateway can take up to 45 minutes. Potrebbe essere necessario aggiornare la pagina del portale per visualizzare lo stato di completamento.You may need to refresh your portal page to see the completed status.

Dopo la creazione del gateway, è possibile visualizzare l'indirizzo IP assegnato esaminando la rete virtuale nel portale.After the gateway is created, view the IP address that has been assigned to it by looking at the virtual network in the portal. Il gateway viene visualizzato come un dispositivo connesso.The gateway appears as a connected device. È possibile fare clic sul dispositivo connesso, ovvero il gateway di rete virtuale, per visualizzare altre informazioni.You can click the connected device (your virtual network gateway) to view more information.

5. Generare i certificati5. Generate certificates

I certificati vengono usati da Azure per autenticare i client che si connettono a una rete virtuale tramite una connessione VPN da punto a sito.Certificates are used by Azure to authenticate clients connecting to a VNet over a Point-to-Site VPN connection. Dopo avere ottenuto un certificato radice, è necessario caricare le informazioni della chiave pubblica in Azure.Once you obtain a root certificate, you upload the public key information to Azure. Il certificato radice viene quindi considerato "attendibile" da Azure per la connessione da punto a sito alla rete virtuale.The root certificate is then considered 'trusted' by Azure for connection over P2S to the virtual network. È anche possibile generare i certificati client dal certificato radice considerato attendibile e quindi installarli in ogni computer client.You also generate client certificates from the trusted root certificate, and then install them on each client computer. Il certificato client viene usato per l'autenticazione del client all'avvio di una connessione alla rete virtuale.The client certificate is used to authenticate the client when it initiates a connection to the VNet.

1. Ottenere il file CER per il certificato radice1. Obtain the .cer file for the root certificate

È possibile usare un certificato radice generato tramite una soluzione aziendale (opzione consigliata) oppure generare un certificato autofirmato.You can use either a root certificate that was generated using an enterprise solution (recommended), or you can generate a self-signed certificate. Dopo avere creato il certificato radice, esportare i dati del certificato pubblico (non la chiave privata) come file CER X.509 con codifica Base 64 e caricarli in Azure.After creating the root certificate, export the public certificate data (not the private key) as a Base-64 encoded X.509 .cer file and upload the public certificate data to Azure.

  • Certificato aziendale: se si tratta di una soluzione aziendale, è possibile usare la catena di certificati esistente.Enterprise certificate: If you are using an enterprise solution, you can use your existing certificate chain. Ottenere il file con estensione cer per il certificato radice che si vuole usare.Obtain the .cer file for the root certificate that you want to use.
  • Certificato radice autofirmato: se non si usa una soluzione aziendale per la creazione di certificati, è necessario creare un certificato radice autofirmato.Self-signed root certificate: If you aren't using an enterprise certificate solution, you need to create a self-signed root certificate. È importante seguire i passaggi di uno dei due articoli seguenti relativi ai certificati da punto a sito (P2S).It's important that you follow the steps in one of the P2S certificate articles below. In caso contrario, i certificati creati non saranno compatibili con le connessioni da punto a sito e i client riceveranno un errore di connessione quando provano a connettersi.Otherwise, the certificates you create won't be compatible with P2S connections and clients receive a connection error when trying to connect. È possibile usare Azure PowerShell, MakeCert oppure OpenSSL.You can use Azure PowerShell, MakeCert, or OpenSSL. I passaggi negli articoli indicati generano un certificato compatibile.The steps in the provided articles generate a compatible certificate:

    • Istruzioni per Windows 10 PowerShell: queste istruzioni richiedono Windows 10 e PowerShell per generare i certificati.Windows 10 PowerShell instructions: These instructions require Windows 10 and PowerShell to generate certificates. I certificati client generati dal certificato radice possono essere installati in qualsiasi client da punto a sito supportato.Client certificates that are generated from the root certificate can be installed on any supported P2S client.
    • Istruzioni per MakeCert: se non si ha accesso a un computer con Windows 10, è possibile usare MakeCert per generare i certificati.MakeCert instructions: Use MakeCert if you don't have access to a Windows 10 computer to use to generate certificates. MakeCert è deprecato, ma è comunque possibile usarlo per generare i certificati.MakeCert deprecated, but you can still use MakeCert to generate certificates. I certificati client generati dal certificato radice possono essere installati in qualsiasi client da punto a sito supportato.Client certificates that are generated from the root certificate can be installed on any supported P2S client.

2. Generazione di un certificato client2. Generate a client certificate

Ogni computer client che si connette a una rete virtuale usando la soluzione Da punto a sito deve avere un certificato client installato.Each client computer that connects to a VNet using Point-to-Site must have a client certificate installed. Il certificato client viene generato dal certificato radice e viene installato in ogni computer client.The client certificate is generated from the root certificate and installed on each client computer. Se non è stato installato un certificato client valido e il client prova a connettersi alla rete virtuale, l'autenticazione avrà esito negativo.If a valid client certificate is not installed and the client tries to connect to the VNet, authentication fails.

È possibile generare un certificato univoco per ogni client oppure usare lo stesso certificato per più client.You can either generate a unique certificate for each client, or you can use the same certificate for multiple clients. Generare certificati client univoci offre il vantaggio di poter revocare un singolo certificato.The advantage to generating unique client certificates is the ability to revoke a single certificate. In caso contrario, se più client utenti usano lo stesso certificato client e questo deve essere revocato, è necessario generare e installare nuovi certificati per tutti i client che usano tale certificato per l'autenticazione.Otherwise, if multiple clients are using the same client certificate and you need to revoke it, you have to generate and install new certificates for all the clients that use that certificate to authenticate.

È possibile generare i certificati client usando i metodi seguenti:You can generate client certificates using the following methods:

  • Certificato aziendale:Enterprise certificate:

    • Se si usa una soluzione aziendale per la creazione di certificati, generare un certificato client con il valore di nome comune nel formato "name@yourdomain.com", invece che nel formato "nome dominio\nome utente".If you are using an enterprise certificate solution, generate a client certificate with the common name value format 'name@yourdomain.com', rather than the 'domain name\username' format.
    • Verificare che il certificato client sia basato sul modello di certificato "Utente" con "Autenticazione client" come primo elemento nell'elenco d'uso, invece di Accesso smart card e così via. È possibile controllare il certificato facendo doppio clic sul certificato client e aprendo Dettagli > Utilizzo chiavi avanzato.Make sure the client certificate is based on the 'User' certificate template that has 'Client Authentication' as the first item in the use list, rather than Smart Card Logon, etc. You can check the certificate by double-clicking the client certificate and viewing Details > Enhanced Key Usage.
  • Certificato radice autofirmato: è importante seguire i passaggi di uno dei due articoli seguenti relativi ai certificati da punto a sito (P2S).Self-signed root certificate: It's important that you follow the steps in one of the P2S certificate articles below. In caso contrario, i certificati client creati non saranno compatibili con le connessioni da punto a sito e i client riceveranno un errore quando provano a connettersi.Otherwise, the client certificates you create won't be compatible with P2S connections and clients receive an error when trying to connect. I passaggi in uno degli articoli seguenti generano un certificato client compatibile:The steps in either of the following articles generate a compatible client certificate:

    • Istruzioni per Windows 10 PowerShell: queste istruzioni richiedono Windows 10 e PowerShell per generare i certificati.Windows 10 PowerShell instructions: These instructions require Windows 10 and PowerShell to generate certificates. I certificati generati possono essere installati in qualsiasi client da punto a sito supportato.The certificates that are generated can be installed on any supported P2S client.
    • Istruzioni per MakeCert: se non si ha accesso a un computer con Windows 10, è possibile usare MakeCert per generare i certificati.MakeCert instructions: Use MakeCert if you don't have access to a Windows 10 computer to use to generate certificates. MakeCert è deprecato, ma è comunque possibile usarlo per generare i certificati.MakeCert deprecated, but you can still use MakeCert to generate certificates. I certificati generati possono essere installati in qualsiasi client da punto a sito supportato.The certificates that are generated can be installed on any supported P2S client.

    Se si genera un certificato client da un certificato radice autofirmato usando le istruzioni precedenti, viene eseguita l'installazione automatica nel computer usato per generarlo.When you generate a client certificate from a self-signed root certificate using the preceding instructions, it's automatically installed on the computer that you used to generate it. Se si vuole installare un certificato client in un altro computer client, è necessario esportarlo come file con estensione pfx, insieme all'intera catena di certificati.If you want to install a client certificate on another client computer, you need to export it as a .pfx, along with the entire certificate chain. Viene creato un file PFX contenente le informazioni del certificato radice necessarie per la corretta autenticazione del client.This creates a .pfx file that contains the root certificate information that is required for the client to successfully authenticate. Per i passaggi per l'esportazione di un certificato, vedere Certificati - Esportare un certificato client.For steps to export a certificate, see Certificates - export a client certificate.

6. Aggiungere il pool di indirizzi client6. Add the client address pool

Il pool di indirizzi client è un intervallo di indirizzi IP privati specificati dall'utente.The client address pool is a range of private IP addresses that you specify. I client che si connettono tramite VPN da punto a sito ricevono un indirizzo IP da questo intervallo.The clients that connect over a Point-to-Site VPN receive an IP address from this range. Usare un intervallo di indirizzi IP privati che non si sovrapponga con la posizione locale da cui viene effettuata la connessione o con la rete virtuale a cui ci si vuole connettere.Use a private IP address range that does not overlap with the on-premises location that you connect from, or the VNet that you want to connect to.

  1. Dopo avere creato il gateway di rete virtuale, andare alla sezione Impostazioni della pagina della rete virtuale.Once the virtual network gateway has been created, navigate to the Settings section of the virtual network gateway page. Nella sezione Impostazioni fare clic su Configurazione da punto a sito per aprire la pagina Configurazione da punto a sito.In the Settings section, click Point-to-site configuration to open the Point-to-Site-Configuration page.

    Pagina Configurazione da punto a sito

  2. Nella pagina Configurazione da punto a sito è possibile eliminare l'intervallo compilato automaticamente e quindi aggiungere l'intervallo di indirizzi IP privati da usare.On the Point-to-Site-Configuration page, you can delete the auto-filled range, then add the private IP address range that you want to use. Fare clic su Salva per convalidare e salvare le impostazioni.Click Save to validate and save the setting.

    Pool di indirizzi client

7. Caricare i dati del certificato pubblico per il certificato radice7. Upload the root certificate public certificate data

Dopo la creazione del gateway, si caricano le informazioni sulla chiave pubblica per il certificato radice in Azure.After the gateway has been created, you upload the public key information for the root certificate to Azure. Al termine del caricamento dei dati del certificato pubblico, Azure li può usare per autenticare i client che hanno installato un certificato client generato dal certificato radice attendibile.Once the public certificate data is uploaded, Azure can use it to authenticate clients that have installed a client certificate generated from the trusted root certificate. È possibile caricare fino a 20 certificati radice attendibili aggiuntivi.You can upload additional trusted root certificates- up to a total of 20.

  1. I certificati vengono aggiunti nella pagina Configurazione da punto a sito nella sezione Certificato radice.Certificates are added on the Point-to-site configuration page in the Root certificate section.
  2. Verificare di avere esportato il certificato radice come file X.509 con codifica in base 64 (CER).Make sure that you exported the root certificate as a Base-64 encoded X.509 (.cer) file. È necessario esportare il certificato in questo formato per poterlo aprire con un editor di testo.You need to export the certificate in this format so you can open the certificate with text editor.
  3. Aprire il certificato con un editor di testo, ad esempio il Blocco note.Open the certificate with a text editor, such as Notepad. Durante la copia dei dati del certificato, assicurarsi di copiare il testo come unica riga continua senza ritorni a capo o avanzamenti riga.When copying the certificate data, make sure that you copy the text as one continuous line without carriage returns or line feeds. Potrebbe essere necessario modificare la visualizzazione nell'editor di testo in "Show Symbol/Show all characters" (Mostra simbolo/Mostra tutti i caratteri) per visualizzare i ritorni a capo e gli avanzamenti riga.You may need to modify your view in the text editor to 'Show Symbol/Show all characters' to see the carriage returns and line feeds. Copiare solo la sezione seguente come un'unica riga continua:Copy only the following section as one continuous line:

    Dati del certificato

  4. Incollare i dati del certificato nel campo Public Certificate Data (Dati del certificato pubblico).Paste the certificate data into the Public Certificate Data field. Dare un nome al certificato e fare quindi clic su Salva.Name the certificate, and then click Save. È possibile aggiungere fino a 20 certificati radice attendibili.You can add up to 20 trusted root certificates.

    Caricamento del certificato

8. Installare un certificato client esportato8. Install an exported client certificate

Se si vuole creare una connessione da punto a sito da un computer client diverso da quello usato per generare i certificati client, è necessario installare un certificato client.If you want to create a P2S connection from a client computer other than the one you used to generate the client certificates, you need to install a client certificate. Quando si installa un certificato client, è necessaria la password che è stata creata durante l'esportazione del certificato client.When installing a client certificate, you need the password that was created when the client certificate was exported.

Verificare che il certificato client sia stato esportato come PFX con l'intera catena di certificati (impostazione predefinita).Make sure the client certificate was exported as a .pfx along with the entire certificate chain (which is the default). In caso contrario, le informazioni del certificato radice non sono presenti nel computer client e il client non potrà essere autenticato correttamente.Otherwise, the root certificate information isn't present on the client computer and the client won't be able to authenticate properly.

Per la procedura di installazione, vedere Install a client certificate (Installare un certificato client).For install steps, see Install a client certificate.

9. Generare e installare il pacchetto di configurazione del client VPN9. Generate and install the VPN client configuration package

I file di configurazione del client VPN contengono le impostazioni per configurare i dispositivi per la connessione a una rete virtuale tramite una connessione P2S.The VPN client configuration files contain settings to configure devices to connect to a VNet over a P2S connection. Per le istruzioni per generare e installare i file di configurazione del client VPN, vedere Create and install VPN client configuration files for native Azure certificate authentication P2S configurations (Creare e installare i file di configurazione del client VPN per le configurazioni P2S per l'autenticazione del certificato di Azure nativo).For instructions to generate and install VPN client configuration files, see Create and install VPN client configuration files for native Azure certificate authentication P2S configurations.

10. Connect to Azure10. Connect to Azure

Per connettersi da un client VPN WindowsTo connect from a Windows VPN client

  1. Per connettersi alla rete virtuale, nel computer client passare alle connessioni VPN e individuare quella creata,To connect to your VNet, on the client computer, navigate to VPN connections and locate the VPN connection that you created. che ha lo stesso nome della rete virtuale locale.It is named the same name as your virtual network. Fare clic su Connetti.Click Connect. È possibile che venga visualizzato un messaggio popup che fa riferimento all'uso del certificato.A pop-up message may appear that refers to using the certificate. Fare clic su Continua per usare privilegi elevati.Click Continue to use elevated privileges.

  2. Nella pagina Stato connessione fare clic su Connetti per avviare la connessione.On the Connection status page, click Connect to start the connection. Se viene visualizzato un Seleziona certificato dello schermo, verificare che il certificato client visualizzato sia quello che si desidera utilizzare per la connessione.If you see a Select Certificate screen, verify that the client certificate showing is the one that you want to use to connect. In caso contrario, usare la freccia a discesa per selezionare il certificato corretto e quindi fare clic su OK.If it is not, use the drop-down arrow to select the correct certificate, and then click OK.

    Connessione del client VPN ad Azure

  3. Verrà stabilita la connessione.Your connection is established.

    Connessione stabilita

Risoluzione dei problemi delle connessioni P2S WindowsTroubleshoot Windows P2S connections

In caso di problemi di connessione, effettuare i controlli seguenti:If you are having trouble connecting, check the following items:

  • Se è stato esportato un certificato client, assicurarsi che si tratti di un file PFX con il valore predefinito "Se possibile, includi tutti i certificati nel percorso certificazione".If you exported a client certificate, make sure that you exported it as a .pfx file using the default value 'Include all certificates in the certification path if possible'. Usando questo valore per l'esportazione, vengono esportate anche le informazioni del certificato radice.When you export it using this value, the root certificate information is also exported. Quando il certificato viene installato nel computer client, anche il certificato radice contenuto nel file PFX viene installato nel computer client.When the certificate is installed on the client computer, the root certificate which is contained in the .pfx file is then also installed on the client computer. Nel computer client devono essere installate le informazioni del certificato radice.The client computer must have the root certificate information installed. Per verificare, aprire Gestire i certificati utente e passare ad Autorità di certificazione radice attendibili\Certificati.To check, go to Manage user certificates and navigate to Trusted Root Certification Authorities\Certificates. Verificare che il certificato radice sia incluso nell'elenco.Verify that the root certificate is listed. Per il corretto funzionamento dell'autenticazione è necessario che il certificato radice sia presente.The root certificate must be present in order for authentication to work.

  • Se si usa un certificato che è stato rilasciato tramite una soluzione CA globale e si riscontrano problemi durante l'autenticazione, controllare l'ordine di autenticazione del certificato client.If you are using a certificate that was issued using an Enterprise CA solution and are having trouble authenticating, check the authentication order on the client certificate. È possibile controllare l'ordine dell'elenco di autenticazione facendo doppio clic sul certificato client e andando in Dettagli > Utilizzo chiavi avanzato.You can check the authentication list order by double-clicking the client certificate, and going to Details > Enhanced Key Usage. Assicurarsi che l'elenco mostri "Autenticazione client" come primo elemento.Make sure the list shows 'Client Authentication' as the first item. In caso contrario, è necessario emettere un certificato client in base al modello di utente con l'autenticazione client come primo elemento nell'elenco.If not, you need to issue a client certificate based on the User template that has Client Authentication as the first item in the list.

  • Per altre informazioni sulla risoluzione dei problemi delle connessioni P2S, vedere Risoluzione dei problemi di connessione da punto a sito.For additional P2S troubleshooting information, see Troubleshoot P2S connections.

Per connettersi da un client VPN MacTo connect from a Mac VPN client

Dalla finestra di dialogo Rete individuare il profilo client che si vuole usare, quindi fare clic su Connessione.From the Network dialog box, locate the client profile that you want to use, then click Connect.

Connessione Mac

Per verificare la connessioneTo verify your connection

Queste istruzioni si applicano ai client Windows.These instructions apply to Windows clients.

  1. Per verificare che la connessione VPN è attiva, aprire un prompt dei comandi con privilegi elevati ed eseguire ipconfig/all.To verify that your VPN connection is active, open an elevated command prompt, and run ipconfig/all.
  2. Visualizzare i risultati.View the results. Si noti che l'indirizzo IP ricevuto è uno degli indirizzi compresi nel pool di indirizzi del client VPN da punto a sito specificato al momento della configurazione.Notice that the IP address you received is one of the addresses within the Point-to-Site VPN Client Address Pool that you specified in your configuration. I risultati sono simili a questo esempio:The results are similar to this example:

    PPP adapter VNet1:
       Connection-specific DNS Suffix .:
       Description.....................: VNet1
       Physical Address................:
       DHCP Enabled....................: No
       Autoconfiguration Enabled.......: Yes
       IPv4 Address....................: 172.16.201.3(Preferred)
       Subnet Mask.....................: 255.255.255.255
       Default Gateway.................:
       NetBIOS over Tcpip..............: Enabled
    

Per connettersi a una macchina virtualeTo connect to a virtual machine

Queste istruzioni si applicano ai client Windows.These instructions apply to Windows clients.

È possibile connettersi a una VM distribuita nella rete virtuale creando una connessione Desktop remoto alla VM.You can connect to a VM that is deployed to your VNet by creating a Remote Desktop Connection to your VM. Il modo migliore per verificare inizialmente che è possibile connettersi alla VM consiste nel connettersi usando il rispettivo indirizzo IP privato, invece del nome del computer.The best way to initially verify that you can connect to your VM is to connect by using its private IP address, rather than computer name. Ciò consente di verificare se è possibile connettersi, non se la risoluzione dei nomi è configurata correttamente.That way, you are testing to see if you can connect, not whether name resolution is configured properly.

  1. Individuare l'indirizzo IP privato.Locate the private IP address. È possibile trovare l'indirizzo IP privato di una VM esaminando le proprietà per la VM nel portale di Azure oppure usando PowerShell.You can find the private IP address of a VM by either looking at the properties for the VM in the Azure portal, or by using PowerShell.

    • Portale di Azure: individuare la macchina virtuale nel portale di Azure.Azure portal - Locate your virtual machine in the Azure portal. Visualizzare le proprietà per la VM.View the properties for the VM. Viene elencato l'indirizzo IP.The private IP address is listed.

    • PowerShell: usare l'esempio per visualizzare un elenco di macchine virtuali e di indirizzi IP privati dai gruppi di risorse.PowerShell - Use the example to view a list of VMs and private IP addresses from your resource groups. Non è necessario modificare questo esempio prima di usarlo.You don't need to modify this example before using it.

      $VMs = Get-AzureRmVM
      $Nics = Get-AzureRmNetworkInterface | Where VirtualMachine -ne $null
      
      foreach($Nic in $Nics)
      {
       $VM = $VMs | Where-Object -Property Id -eq $Nic.VirtualMachine.Id
       $Prv = $Nic.IpConfigurations | Select-Object -ExpandProperty PrivateIpAddress
       $Alloc = $Nic.IpConfigurations | Select-Object -ExpandProperty PrivateIpAllocationMethod
       Write-Output "$($VM.Name): $Prv,$Alloc"
      }
      
  2. Verificare di essere connessi alla rete virtuale usando la connessione VPN da punto a sito.Verify that you are connected to your VNet using the Point-to-Site VPN connection.

  3. Aprire la connessione Desktop remoto digitando "RDP" o "Connessione Desktop remoto" nella casella di ricerca sulla barra delle applicazioni, quindi selezionare Connessione Desktop remoto.Open Remote Desktop Connection by typing "RDP" or "Remote Desktop Connection" in the search box on the taskbar, then select Remote Desktop Connection. È anche possibile aprire una connessione Desktop remoto usando il comando "mstsc" in PowerShell.You can also open Remote Desktop Connection using the 'mstsc' command in PowerShell.
  4. In Connessione Desktop remoto immettere l'indirizzo IP privato della VM.In Remote Desktop Connection, enter the private IP address of the VM. È possibile fare clic su "Mostra opzioni" per modificare altre impostazioni e quindi connettersi.You can click "Show Options" to adjust additional settings, then connect.

Per risolvere i problemi di una connessione RDP a una VMTo troubleshoot an RDP connection to a VM

Se si verificano problemi di connessione a una macchina virtuale tramite la connessione VPN, controllare gli elementi seguenti:If you are having trouble connecting to a virtual machine over your VPN connection, check the following:

  • Verificare che la connessione VPN sia attiva.Verify that your VPN connection is successful.
  • Verificare che venga effettuata la connessione all'indirizzo IP privato per la VM.Verify that you are connecting to the private IP address for the VM.
  • Usare "ipconfig" per controllare l'indirizzo IPv4 assegnato alla scheda Ethernet nel computer da cui viene effettuata la connessione.Use 'ipconfig' to check the IPv4 address assigned to the Ethernet adapter on the computer from which you are connecting. Se l'indirizzo IP è compreso nell'intervallo di indirizzi della rete virtuale a cui ci si connette o nell'intervallo di indirizzi del pool di indirizzi del client VPN, si verifica la cosiddetta sovrapposizione dello spazio indirizzi.If the IP address is within the address range of the VNet that you are connecting to, or within the address range of your VPNClientAddressPool, this is referred to as an overlapping address space. Con questo tipo di sovrapposizione, il traffico di rete non raggiunge Azure e rimane nella rete locale.When your address space overlaps in this way, the network traffic doesn't reach Azure, it stays on the local network.
  • Se è possibile connettersi alla VM usando l'indirizzo IP privato, ma non il nome del computer, verificare di avere configurato correttamente il valore per DNS.If you can connect to the VM using the private IP address, but not the computer name, verify that you have configured DNS properly. Per altre informazioni sul funzionamento della risoluzione dei nomi per le macchine virtuali, vedere Risoluzione dei nomi per le macchine virtuali.For more information about how name resolution works for VMs, see Name Resolution for VMs.
  • Verificare che il pacchetto di configurazione del client VPN sia stato generato dopo che sono stati specificati gli indirizzi IP del server DNS per la rete virtuale.Verify that the VPN client configuration package was generated after the DNS server IP addresses were specified for the VNet. Se gli indirizzi IP del server DNS sono stati aggiornati, generare e installare un nuovo pacchetto di configurazione del client VPN.If you updated the DNS server IP addresses, generate and install a new VPN client configuration package.
  • Per altre informazioni sulle connessioni RDP, vedere Risolvere i problemi delle connessioni Desktop remoto a una macchina virtuale.For more information about RDP connections, see Troubleshoot Remote Desktop connections to a VM.

Per aggiungere o rimuovere certificato radice attendibiliTo add or remove trusted root certificates

È possibile aggiungere e rimuovere certificati radice attendibili da Azure.You can add and remove trusted root certificates from Azure. Quando si rimuove un certificato radice, i client con un certificato generato da tale radice non potranno eseguire l'autenticazione e quindi non potranno connettersi.When you remove a root certificate, clients that have a certificate generated from that root won't be able to authenticate, and thus will not be able to connect. Per consentire ai client di eseguire l'autenticazione e connettersi, è necessario installare un nuovo certificato client generato da un certificato radice considerato attendibile (caricato) in Azure.If you want a client to authenticate and connect, you need to install a new client certificate generated from a root certificate that is trusted (uploaded) to Azure.

Per aggiungere un certificato radice attendibileTo add a trusted root certificate

In Azure è possibile aggiungere fino a 20 file CER di certificato radice trusted.You can add up to 20 trusted root certificate .cer files to Azure. Per istruzioni, vedere la sezione relativa al caricamento di un certificato radice attendibile in questo articolo.For instructions, see the section Upload a trusted root certificate in this article.

Per rimuovere un certificato radice attendibileTo remove a trusted root certificate

  1. Per rimuovere un certificato radice attendibile, passare alla pagina Configurazione da punto a sito per il gateway di rete virtuale.To remove a trusted root certificate, navigate to the Point-to-site configuration page for your virtual network gateway.
  2. Nella sezione Certificato radice della pagina individuare il certificato che si vuole rimuovere.In the Root certificate section of the page, locate the certificate that you want to remove.
  3. Fare clic sui puntini di sospensione accanto al certificato e quindi fare clic su "Rimuovi".Click the ellipsis next to the certificate, and then click 'Remove'.

Per revocare un certificato clientTo Revoke a client certificate

È possibile revocare i certificati client.You can revoke client certificates. L'elenco di revoche di certificati consente di negare in modo selettivo la connettività da punto a sito basata sui singoli certificati client.The certificate revocation list allows you to selectively deny Point-to-Site connectivity based on individual client certificates. Questa operazione è diversa rispetto alla rimozione di un certificato radice attendibile.This is different than removing a trusted root certificate. Se si rimuove un file con estensione cer del certificato radice attendibile da Azure, viene revocato l'accesso per tutti i certificati client generati o firmati dal certificato radice revocato.If you remove a trusted root certificate .cer from Azure, it revokes the access for all client certificates generated/signed by the revoked root certificate. La revoca di un certificato client, anziché del certificato radice, consente di continuare a usare gli altri certificati generati dal certificato radice per l'autenticazione.Revoking a client certificate, rather than the root certificate, allows the other certificates that were generated from the root certificate to continue to be used for authentication.

La regola generale è quella di usare il certificato radice per gestire l'accesso a livello di team o organizzazione, usando i certificati client revocati per il controllo di accesso con granularità fine su singoli utenti.The common practice is to use the root certificate to manage access at team or organization levels, while using revoked client certificates for fine-grained access control on individual users.

Revocare un certificato clientRevoke a client certificate

È possibile revocare un certificato client aggiungendo l'identificazione personale all'elenco di revoche di certificati.You can revoke a client certificate by adding the thumbprint to the revocation list.

  1. Ottenere l'identificazione personale del certificato client.Retrieve the client certificate thumbprint. Per altre informazioni, vedere Procedura: recuperare l'identificazione personale di un certificato.For more information, see How to retrieve the Thumbprint of a Certificate.
  2. Copiare le informazioni in un editor di testo e rimuovere tutti gli spazi in modo che sia una stringa continua.Copy the information to a text editor and remove all spaces so that it is a continuous string.
  3. Passare al gateway di rete virtuale nella pagina Configurazione da punto a sitoNavigate to the virtual network gateway Point-to-site-configuration page. che è stata usata anche per caricare un certificato radice attendibile.This is the same page that you used to upload a trusted root certificate.
  4. Nella sezione Certificati revocati immettere un nome descrittivo per il certificato (non deve corrispondere necessariamente alle credenziali del certificato).In the Revoked certificates section, input a friendly name for the certificate (it doesn't have to be the certificate CN).
  5. Copiare e incollare la stringa di identificazione personale nel campo Identificazione personale.Copy and paste the thumbprint string to the Thumbprint field.
  6. L'identificazione personale viene convalidata e aggiunta automaticamente all'elenco di revoche.The thumbprint validates and is automatically added to the revocation list. Verrà visualizzato un messaggio che segnala che è in corso l'aggiornamento dell'elenco.A message appears on the screen that the list is updating.
  7. Dopo aver completato l'aggiornamento, il certificato non può più essere usato per la connessione.After updating has completed, the certificate can no longer be used to connect. Ai client che provano a connettersi con questo certificato verrà visualizzato un messaggio che informa che il certificato non è più valido.Clients that try to connect using this certificate receive a message saying that the certificate is no longer valid.

Domande frequenti sulla connettività da punto a sitoPoint-to-Site FAQ

Quali sistemi operativi client è possibile usare con la connettività da punto a sito?What client operating systems can I use with Point-to-Site?

Sono supportati i sistemi operativi client seguenti:The following client operating systems are supported:

  • Windows 7 (a 32 e 64 bit)Windows 7 (32-bit and 64-bit)
  • Windows Server 2008 R2 (solo a 64 bit)Windows Server 2008 R2 (64-bit only)
  • Windows 8 (a 32 e 64 bit)Windows 8 (32-bit and 64-bit)
  • Windows 8.1 (a 32 e 64 bit)Windows 8.1 (32-bit and 64-bit)
  • Windows Server 2012 (solo a 64 bit)Windows Server 2012 (64-bit only)
  • Windows Server 2012 R2 (solo a 64 bit)Windows Server 2012 R2 (64-bit only)
  • Windows Server 2016 (solo a 64 bit)Windows Server 2016 (64-bit only)
  • Windows 10Windows 10
  • OSX versione 10.11 per Mac (El Capitan)OSX version 10.11 for Mac (El Capitan)
  • macOS versione 10.12 per Mac (Sierra)macOS version 10.12 for Mac (Sierra)

Quanti endpoint client VPN è possibile includere nella configurazione da punto sito?How many VPN client endpoints can I have in my Point-to-Site configuration?

Sono supportati fino a 128 client VPN da poter connettere contemporaneamente a una rete virtuale.We support up to 128 VPN clients to be able to connect to a virtual network at the same time.

È possibile attraversare proxy e firewall con la funzionalità Da punto a sitoCan I traverse proxies and firewalls using Point-to-Site capability?

Azure supporta due tipi di opzioni VPN da punto a sito:Azure supports two types of Point-to-site VPN options:

  • SSTP (Secure Socket Tunneling Protocol).Secure Socket Tunneling Protocol (SSTP). SSTP è una soluzione proprietaria Microsoft basata su SSL che può penetrare i firewall perché la porta TCP 443 usata da SSL viene aperta dalla maggior parte dei firewall.SSTP is a Microsoft proprietary SSL-based solution that can penetrate firewalls since most firewalls open the TCP port that 443 SSL uses.

  • VPN IKEv2.IKEv2 VPN. La VPN IKEv2 è una soluzione VPN IPsec basata sugli standard che usa le porte UDP 500 e 4500 e il protocollo IP numeroIKEv2 VPN is a standards-based IPsec VPN solution that uses UDP port 500 and 4500 and IP protocol no. 50.50. Non sempre queste porte vengono aperte dai firewall ed esiste quindi la possibilità che la VPN IKEv2 non riesca ad attraversare proxy e firewall.Firewalls do not always open these ports, so there is a possibility of IKEv2 VPN not being able to traverse proxies and firewalls.

Se si riavvia un computer client configurato per la funzionalità Da punto a sito, la VPN verrà riconnessa automaticamente?If I restart a client computer configured for Point-to-Site, will the VPN automatically reconnect?

Per impostazione predefinita, tramite il computer client non verrà ristabilita automaticamente la connessione VPN.By default, the client computer will not reestablish the VPN connection automatically.

La funzionalità Da punto a sito supporta la riconnessione automatica e il DNS dinamico nei client VPN?Does Point-to-Site support auto-reconnect and DDNS on the VPN clients?

La riconnessione automatica e il DNS dinamico non sono supportati attualmente nelle VPN da punto a sito.Auto-reconnect and DDNS are currently not supported in Point-to-Site VPNs.

È possibile la coesistenza di configurazioni da sito a sito e punto a sito per la stessa rete virtuale?Can I have Site-to-Site and Point-to-Site configurations coexist for the same virtual network?

Sì.Yes. Per il modello di distribuzione Resource Manager, è necessario un gateway di tipo VPN RouteBased.For the Resource Manager deployment model, you must have a RouteBased VPN type for your gateway. Per il modello di distribuzione classica è necessario un gateway dinamico.For the classic deployment model, you need a dynamic gateway. La configurazione da punto a sito non è supportata per gateway VPN con routing statico o PolicyBased.We do not support Point-to-Site for static routing VPN gateways or PolicyBased VPN gateways.

È possibile configurare un client da punto a sito per connettersi contempo a più reti virtuali?Can I configure a Point-to-Site client to connect to multiple virtual networks at the same time?

No.No. Un client da punto a sito può connettersi solo alle risorse nella rete virtuale in cui risiede il gateway di rete virtuale.A Point-to-Site client can only connect to resources in the VNet in which the virtual network gateway resides.

Che velocità effettiva è possibile prevedere usando connessioni da sito a sito o da punto a sito?How much throughput can I expect through Site-to-Site or Point-to-Site connections?

È difficile mantenere esattamente la velocità effettiva tramite i tunnel VPN.It's difficult to maintain the exact throughput of the VPN tunnels. IPSec e SSTP sono protocolli VPN con un elevato livello di crittografia.IPsec and SSTP are crypto-heavy VPN protocols. La velocità effettiva è limitata inoltre dalla latenza e dalla larghezza di banda tra le sedi locali e Internet.Throughput is also limited by the latency and bandwidth between your premises and the Internet. Per un gateway VPN che ha solo connessioni VPN da punto a sito IKEv2, la velocità effettiva totale che è possibile prevedere dipende dallo SKU del gateway.For a VPN Gateway with only IKEv2 Point-to-Site VPN connections, the total throughput that you can expect depends on the Gateway SKU. Per altre informazioni sulla velocità effettiva, vedere SKU del gateway.For more information on throughput, see Gateway SKUs.

Per la connettività da punto a sito è possibile usare qualsiasi client VPN software che supporta SSTP e/o IKEv2?Can I use any software VPN client for Point-to-Site that supports SSTP and/or IKEv2?

No.No. È possibile usare solo il client VPN nativo in Windows per SSTP e il client VPN nativo in Mac per IKEv2.You can only use the native VPN client on Windows for SSTP, and the native VPN client on Mac for IKEv2. Vedere l'elenco dei sistemi operativi client supportati.Refer to the list of supported client operating systems.

Azure supporta VPN IKEv2 con Windows?Does Azure support IKEv2 VPN with Windows?

Gli utenti possono connettersi ad Azure utilizzando il client VPN di Windows integrato che supporta IKEv2.Users can connect to Azure using the built-in Windows VPN client, which does support IKEv2. Tuttavia, le connessioni IKEv2 da un dispositivo Windows non funzionano nello scenario seguente:But, IKEv2 connections from a Windows device won't work in the following scenario:

Se il dispositivo dell'utente contiene un numero elevato di certificati radice attendibili, le dimensioni del payload del messaggio durante lo scambio IKE sono elevate e ciò comporta la frammentazione del livello IP.When the user's device contains a large number of trusted root certificates, the message payload size during IKE exchange is large and causes IP layer fragmentation. I frammenti vengono rifiutati alla fine di Azure, che comporta l'errore di connessione.The fragments are rejected at the Azure end, which results in the connection failing. Il numero di certificati esatto in cui si verifica questo problema è difficile da stimare.The exact certificate count at which this problem occurs is difficult to estimate. Di conseguenza, il funzionamento delle connessioni IKEv2 dai dispositivi Windows non è garantito.As a result, IKEv2 connections from Windows devices are not guaranteed to work. Quando si configura sia SSTP che IKEv2 in un ambiente misto (costituito da dispositivi Windows e Mac), il profilo VPN Windows tenta sempre prima di accedere al tunnel IKEv2.When you configure both SSTP and IKEv2 in a mixed environment (consisting of Windows and Mac devices), the Windows VPN profile always tries IKEv2 tunnel first. Se l’esito è negativo a causa del problema descritto qui, viene utilizzato l’SSTP.If it fails due to the issue described here, it falls back to SSTP.

Oltre a Windows e Mac, quali altre piattaforme supporta Azure per VPN P2S?Other than Windows and Mac, which other platforms does Azure support for P2S VPN?

Per VPN P2S, Azure supporta solo Windows e Mac.Azure supports only Windows and Mac for P2S VPN.

Si dispone già di un Gateway VPN di Azure distribuito.I already have an Azure VPN Gateway deployed. È possibile attivare RADIUS e/o VPN IKEv2 su di esso?Can I enabled RADIUS and/or IKEv2 VPN on it?

Sì, è possibile abilitare queste nuove funzionalità del gateway già distribuito, sia tramite Powershell che il portale di Azure.Yes, you can enable these new features on already deployed gateways, both through Powershell and the Azure portal.

È possibile usare la CA radice della PKI interna per la connettività da punto a sito?Can I use my own internal PKI root CA for Point-to-Site connectivity?

Sì.Yes. In precedenza, era possibile utilizzare solo certificati radice autofirmati.Previously, only self-signed root certificates could be used. È ancora possibile caricare 20 certificati radice.You can still upload 20 root certificates.

Quali strumenti è possibile usare per creare certificati?What tools can I use to create certificates?

È possibile usare la propria soluzione di infrastruttura a chiave pubblica aziendale (PKI interna), Azure PowerShell, MakeCert e OpenSSL.You can use your Enterprise PKI solution (your internal PKI), Azure PowerShell, MakeCert, and OpenSSL.

Sono disponibili istruzioni per le impostazioni e i parametri dei certificati?Are there instructions for certificate settings and parameters?

  • Soluzione PKI aziendale/PKI interna: vedere la procedura per generare i certificati.Internal PKI/Enterprise PKI solution: See the steps to Generate certificates.

  • Azure PowerShell: per la procedura, vedere l'articolo relativo ad Azure PowerShell.Azure PowerShell: See the Azure PowerShell article for steps.

  • MakeCert: per la procedura, vedere l'articolo relativo a MakeCert.MakeCert: See the MakeCert article for steps.

  • OpenSSL:OpenSSL:

    • Quando si esportano certificati, assicurarsi di convertire il certificato radice in Base64.When exporting certificates, be sure to convert the root certificate to Base64.

    • Per il certificato client:For the client certificate:

      • Quando si crea la chiave privata, specificare una lunghezza di 4096.When creating the private key, specify the length as 4096.
      • Quando si crea il certificato, per il parametro -extensions specificare usr_cert.When creating the certificate, for the -extensions parameter, specify usr_cert.

Passaggi successiviNext steps

Dopo aver completato la connessione, è possibile aggiungere macchine virtuali alle reti virtuali.Once your connection is complete, you can add virtual machines to your virtual networks. Per altre informazioni, vedere Macchine virtuali.For more information, see Virtual Machines. Per altre informazioni sulla rete e sulle macchine virtuali, vedere Panoramica di rete delle macchine virtuali Linux e Azure.To understand more about networking and virtual machines, see Azure and Linux VM network overview.