Configurare una connessione da punto a sito a una rete virtuale usando l'autenticazione del certificato di Azure nativo: PowerShellConfigure a Point-to-Site connection to a VNet using native Azure certificate authentication: PowerShell

Questo articolo illustra come creare una rete virtuale con una connessione da punto a sito nel modello di distribuzione Resource Manager usando PowerShell.This article shows you how to create a VNet with a Point-to-Site connection in the Resource Manager deployment model using PowerShell. Questa configurazione usa i certificati per l'autenticazione.This configuration uses certificates for authentication. In questa configurazione il gateway VPN di Azure esegue la convalida del certificato, invece che di un server RADIUS.In this configuration, the Azure VPN gateway performs validation of the certificate, rather than a RADIUS server. È anche possibile creare questa configurazione usando strumenti o modelli di distribuzione diversi selezionando un'opzione differente nell'elenco seguente:You can also create this configuration using a different deployment tool or deployment model by selecting a different option from the following list:

Un gateway VPN da punto a sito (P2S) consente di creare una connessione sicura alla rete virtuale da un singolo computer client.A Point-to-Site (P2S) VPN gateway lets you create a secure connection to your virtual network from an individual client computer. Le connessioni VPN da punto a sito sono utili per connettersi alla rete virtuale da una posizione remota, ad esempio nel caso di telecomunicazioni da casa o durante una riunione.Point-to-Site VPN connections are useful when you want to connect to your VNet from a remote location, such when you are telecommuting from home or a conference. Una VPN P2S è anche una soluzione utile da usare al posto di una VPN da sito a sito quando solo pochi client devono connettersi a una rete virtuale.A P2S VPN is also a useful solution to use instead of a Site-to-Site VPN when you have only a few clients that need to connect to a VNet. Una connessione VPN P2S viene avviata dai dispositivi Windows e Mac.A P2S VPN connection is started from Windows and Mac devices.

I client che si connettono possono usare i metodi di autenticazione seguenti:Connecting clients can use the following authentication methods:

  • Server RADIUSRADIUS server
  • Autenticazione del certificato di Azure nativo tramite il gateway VPNVPN Gateway native Azure certificate authentication

Questo articolo illustra come eseguire una configurazione P2S con l'autenticazione usando l'autenticazione del certificato di Azure nativo.This article helps you configure a P2S configuration with authentication using the native Azure certificate authentication. Per usare RADIUS per autenticare gli utenti che si connettono, vedere P2S using RADIUS authentication (P2S con autenticazione RADIUS).If you want to use RADIUS to authenticate connecting users, see P2S using RADIUS authentication.

Connettere un computer a una rete virtuale di Azure: diagramma di connessione da punto a sito

Le connessioni da punto a sito non richiedono un dispositivo VPN o un indirizzo IP pubblico.Point-to-Site connections do not require a VPN device or a public-facing IP address. La modalità da punto a sito crea la connessione VPN tramite SSTP (Secure Sockets Tunneling Protocol) o IKEv2.P2S creates the VPN connection over either SSTP (Secure Socket Tunneling Protocol), or IKEv2.

  • SSTP è un tunnel VPN basato su SSL supportato solo nelle piattaforme client Windows.SSTP is an SSL-based VPN tunnel that is supported only on Windows client platforms. Può penetrare i firewall e per questo è l'opzione ideale per connettersi ad Azure ovunque.It can penetrate firewalls, which makes it an ideal option to connect to Azure from anywhere. Sul lato server sono supportate le versioni 1.0, 1.1 e 1.2 di SSTP.On the server side, SSTP versions 1.0, 1.1, and 1.2 are supported. Il client decide quale versione usare.The client decides which version to use. Per Windows 8.1 e versioni successive, SSTP usa per impostazione predefinita la versione 1.2.For Windows 8.1 and above, SSTP uses 1.2 by default.

  • VPN IKEv2, una soluzione VPN IPsec basata su standard.IKEv2 VPN, a standards-based IPsec VPN solution. VPN IKEv2 può essere usato per connettersi da dispositivi Mac (versioni OSX 10.11 e successive).IKEv2 VPN can be used to connect from Mac devices (OSX versions 10.11 and above).

Le connessioni da punto a sito con l'autenticazione del certificato di Azure nativo richiedono gli elementi seguenti:Point-to-Site native Azure certificate authentication connections require the following:

  • Un gateway VPN RouteBased.A RouteBased VPN gateway.
  • La chiave pubblica (file CER) per un certificato radice, caricato in Azure.The public key (.cer file) for a root certificate, which is uploaded to Azure. Il certificato, dopo essere stato caricato, viene considerato un certificato attendibile e viene usato per l'autenticazione.Once the certificate is uploaded, it is considered a trusted certificate and is used for authentication.
  • Un certificato client generato dal certificato radice e installato in ogni computer client che si connetterà alla rete virtuale.A client certificate that is generated from the root certificate and installed on each client computer that will connect to the VNet. Questo certificato viene usato per l'autenticazione client.This certificate is used for client authentication.
  • Una configurazione del client VPN.A VPN client configuration. I file di configurazione del client VPN contengono le informazioni necessarie per la connessione del client alla rete virtuale.The VPN client configuration files contain the necessary information for the client to connect to the VNet. I file configurano il client VPN esistente, nativo del sistema operativo.The files configure the existing VPN client that is native to the operating system. Ogni client che si connette deve essere configurato usando le impostazioni nei file di configurazione.Each client that connects must be configured using the settings in the configuration files.

Per altre informazioni al riguardo, vedere About Point-to-Site connections (Informazioni sulle connessioni da punto a sito).For more information about Point-to-Site connections, see About Point-to-Site connections.

Prima di iniziareBefore you begin

Valori di esempioExample values

È possibile usare i valori di esempio per creare un ambiente di test o fare riferimento a questi valori per comprendere meglio gli esempi di questo articolo.You can use the example values to create a test environment, or refer to these values to better understand the examples in this article. Le variabili vengono impostate nella sezione 1 dell'articolo.The variables are set in section 1 of the article. È possibile seguire la procedura dettagliata e usare i valori senza modificarle oppure modificarli in base all'ambiente.You can either use the steps as a walk-through and use the values without changing them, or change them to reflect your environment.

  • Nome: VNet1Name: VNet1
  • Spazio degli indirizzi: 192.168.0.0/16 e 10.254.0.0/16Address space: 192.168.0.0/16 and 10.254.0.0/16
    Questo esempio usa più di uno spazio indirizzi per mostrare che la configurazione funziona con più spazi indirizzi,This example uses more than one address space to illustrate that this configuration works with multiple address spaces. ma per questa configurazione non sono necessari più spazi indirizzi.However, multiple address spaces are not required for this configuration.
  • Nome subnet: FrontEndSubnet name: FrontEnd
    • Intervallo di indirizzi subnet: 192.168.1.0/24Subnet address range: 192.168.1.0/24
  • Nome subnet: BackEndSubnet name: BackEnd
    • Intervallo di indirizzi subnet: 10.254.1.0/24Subnet address range: 10.254.1.0/24
  • Nome subnet: GatewaySubnetSubnet name: GatewaySubnet
    Il nome subnet GatewaySubnet è obbligatorio per il funzionamento del gateway VPN.The Subnet name GatewaySubnet is mandatory for the VPN gateway to work.
    • Intervallo di indirizzi subnet del gateway: 192.168.200.0/24GatewaySubnet address range: 192.168.200.0/24
  • Pool di indirizzi client VPN: 172.16.201.0/24VPN client address pool: 172.16.201.0/24
    I client VPN che si connettono alla rete virtuale con questa connessione da punto a sito ricevono un indirizzo IP dal pool di indirizzi client VPN.VPN clients that connect to the VNet using this Point-to-Site connection receive an IP address from the VPN client address pool.
  • Sottoscrizione: se si hanno più sottoscrizioni, verificare di usare quella corretta.Subscription: If you have more than one subscription, verify that you are using the correct one.
  • Gruppo di risorse: TestRGResource Group: TestRG
  • Località: Stati Uniti orientaliLocation: East US
  • Server DNS: indirizzo IP del server DNS che si vuole usare per la risoluzione dei nomi.DNS Server: IP address of the DNS server that you want to use for name resolution. (facoltativo).(optional)
  • Nome del gateway: Vnet1GWGW Name: Vnet1GW
  • Nome dell'IP pubblico: VNet1GWPIPPublic IP name: VNet1GWPIP
  • VpnType: RouteBasedVpnType: RouteBased

1. Accedere e impostare le variabili1. Log in and set variables

In questa sezione si accede e si dichiarano i valori usati per la configurazione.In this section, you log in and declare the values used for this configuration. I valori dichiarati saranno usati negli script di esempio.The declared values are used in the sample scripts. È possibile modificare i valori in base all'ambiente personalizzato.Change the values to reflect your own environment. In alternativa, è possibile usare i valori dichiarati e seguire la procedura come un esercizio.Or, you can use the declared values and go through the steps as an exercise.

  1. Aprire la console di PowerShell con privilegi elevati e accedere al proprio account Azure.Open your PowerShell console with elevated privileges, and log in to your Azure account. Il cmdlet richiederà le credenziali di accesso.This cmdlet prompts you for the login credentials. Dopo l'accesso, vengono scaricate le impostazioni dell'account in modo che siano disponibili per Azure PowerShell.After logging in, it downloads your account settings so that they are available to Azure PowerShell.

    Login-AzureRmAccount
    
  2. Ottenere un elenco delle sottoscrizioni di Azure.Get a list of your Azure subscriptions.

    Get-AzureRmSubscription
    
  3. Specificare la sottoscrizione da usare.Specify the subscription that you want to use.

    Select-AzureRmSubscription -SubscriptionName "Name of subscription"
    
  4. Dichiarare le variabili da usare.Declare the variables that you want to use. Usare l'esempio seguente, sostituendo i valori con quelli personalizzati, se necessario.Use the following sample, substituting the values for your own when necessary.

    $VNetName  = "VNet1"
    $FESubName = "FrontEnd"
    $BESubName = "Backend"
    $GWSubName = "GatewaySubnet"
    $VNetPrefix1 = "192.168.0.0/16"
    $VNetPrefix2 = "10.254.0.0/16"
    $FESubPrefix = "192.168.1.0/24"
    $BESubPrefix = "10.254.1.0/24"
    $GWSubPrefix = "192.168.200.0/26"
    $VPNClientAddressPool = "172.16.201.0/24"
    $RG = "TestRG"
    $Location = "East US"
    $GWName = "VNet1GW"
    $GWIPName = "VNet1GWPIP"
    $GWIPconfName = "gwipconf"
    

2. Configurare una rete virtuale2. Configure a VNet

  1. Creare un gruppo di risorse.Create a resource group.

    New-AzureRmResourceGroup -Name $RG -Location $Location
    
  2. Creare le configurazioni delle subnet per la rete virtuale, denominandole FrontEnd, BackEnd e GatewaySubnet.Create the subnet configurations for the virtual network, naming them FrontEnd, BackEnd, and GatewaySubnet. Questi prefissi devono fare parte dello spazio indirizzi della rete virtuale dichiarato.These prefixes must be part of the VNet address space that you declared.

    $fesub = New-AzureRmVirtualNetworkSubnetConfig -Name $FESubName -AddressPrefix $FESubPrefix
    $besub = New-AzureRmVirtualNetworkSubnetConfig -Name $BESubName -AddressPrefix $BESubPrefix
    $gwsub = New-AzureRmVirtualNetworkSubnetConfig -Name $GWSubName -AddressPrefix $GWSubPrefix
    
  3. Creare la rete virtuale.Create the virtual network.

    In questo esempio il parametro del server -DnsServer è facoltativo.In this example, the -DnsServer server parameter is optional. Se si specifica un valore, non verrà creato un nuovo server DNS.Specifying a value does not create a new DNS server. L'indirizzo IP del server DNS specificato deve essere un server DNS che riesce a risolvere i nomi per le risorse a cui ci si connette dalla rete virtuale.The DNS server IP address that you specify should be a DNS server that can resolve the names for the resources you are connecting to from your VNet. Questo esempio usa un indirizzo IP privato, ma è probabile che non si tratti dell'indirizzo IP del server DNS in uso.This example uses a private IP address, but it is likely that this is not the IP address of your DNS server. Assicurarsi di usare valori personalizzati.Be sure to use your own values. Il valore specificato viene usato dalle risorse distribuite nella rete virtuale, non dalla connessione P2S o dal client VPN.The value you specify is used by the resources that you deploy to the VNet, not by the P2S connection or the VPN client.

    New-AzureRmVirtualNetwork -Name $VNetName -ResourceGroupName $RG -Location $Location -AddressPrefix $VNetPrefix1,$VNetPrefix2 -Subnet $fesub, $besub, $gwsub -DnsServer 10.2.1.3
    
  4. Specificare le variabili per la rete virtuale creata.Specify the variables for the virtual network you created.

    $vnet = Get-AzureRmVirtualNetwork -Name $VNetName -ResourceGroupName $RG
    $subnet = Get-AzureRmVirtualNetworkSubnetConfig -Name "GatewaySubnet" -VirtualNetwork $vnet
    
  5. Un gateway VPN deve avere un indirizzo IP pubblico.A VPN gateway must have a Public IP address. È necessario richiedere prima di tutto la risorsa dell'indirizzo IP e quindi farvi riferimento durante la creazione del gateway di rete virtuale.You first request the IP address resource, and then refer to it when creating your virtual network gateway. L'indirizzo IP viene assegnato dinamicamente alla risorsa durante la creazione del gateway VPN.The IP address is dynamically assigned to the resource when the VPN gateway is created. Il gateway VPN supporta attualmente solo l'allocazione degli indirizzi IP pubblici dinamici.VPN Gateway currently only supports Dynamic Public IP address allocation. Non è possibile richiedere un'assegnazione degli indirizzi IP pubblici statici.You cannot request a Static Public IP address assignment. Ciò non significa tuttavia che l'indirizzo IP venga modificato dopo l'assegnazione al gateway VPN.However, it doesn't mean that the IP address changes after it has been assigned to your VPN gateway. L'indirizzo IP pubblico viene modificato solo quando il gateway viene eliminato e ricreato.The only time the Public IP address changes is when the gateway is deleted and re-created. Non viene modificato in caso di ridimensionamento, reimpostazione o altre manutenzioni/aggiornamenti del gateway VPN.It doesn't change across resizing, resetting, or other internal maintenance/upgrades of your VPN gateway.

    Richiedere un indirizzo IP pubblico assegnato dinamicamente.Request a dynamically assigned public IP address.

    $pip = New-AzureRmPublicIpAddress -Name $GWIPName -ResourceGroupName $RG -Location $Location -AllocationMethod Dynamic
    $ipconf = New-AzureRmVirtualNetworkGatewayIpConfig -Name $GWIPconfName -Subnet $subnet -PublicIpAddress $pip
    

3. Creare il gateway VPN3. Create the VPN gateway

Configurare e creare il gateway di rete virtuale per la rete virtuale.Configure and create the virtual network gateway for your VNet.

  • -GatewayType deve essere Vpn e -VpnType deve essere RouteBased.The -GatewayType must be Vpn and the -VpnType must be RouteBased.
  • -VpnClientProtocol consente di specificare i tipi di tunnel da abilitare.The -VpnClientProtocol is used to specify the types of tunnels that you would like to enable. Le due opzioni per i tunnel sono SSTP e IKEv2.The two tunnel options are SSTP and IKEv2. È possibile scegliere di abilitarne una o entrambe.You can choose to enable one of them or both. Per abilitarle entrambe, specificare entrambi i nomi separati da virgola.If you want to enable both, then specify both the names separated by a comma. Il client Strongswan in Android e Linux e il client VPN IKEv2 nativo in iOS e OSX useranno solo il tunnel IKEv2 per la connessione.The Strongswan client on Android and Linux and the native IKEv2 VPN client on iOS and OSX will use only IKEv2 tunnel to connect. I client Windows provano prima IKEv2 e, se la connessione non viene stabilita, tornano a SSTP.Windows clients try IKEv2 first and if that doesn’t connect, they fall back to SSTP.
  • Per il completamento di un gateway VPN possono essere necessari fino a 45 minuti, in base allo SKU del gateway selezionato.A VPN gateway can take up to 45 minutes to complete, depending on the gateway sku you select. Questo esempio usa IKEv2, attualmente disponibile in versione di anteprima.This example uses IKEv2, which is currently available in Preview.
New-AzureRmVirtualNetworkGateway -Name $GWName -ResourceGroupName $RG `
-Location $Location -IpConfigurations $ipconf -GatewayType Vpn `
-VpnType RouteBased -EnableBgp $false -GatewaySku VpnGw1 -VpnClientProtocol "IKEv2"

4. Aggiungere il pool di indirizzi client VPN4. Add the VPN client address pool

Al termine della creazione del gateway VPN, è possibile aggiungere il pool di indirizzi del client VPN.After the VPN gateway finishes creating, you can add the VPN client address pool. Il pool di indirizzi client VPN è l'intervallo da cui i client VPN ricevono un indirizzo IP al momento della connessione.The VPN client address pool is the range from which the VPN clients receive an IP address when connecting. Usare un intervallo di indirizzi IP privati che non si sovrapponga con la posizione locale da cui viene effettuata la connessione o con la rete virtuale a cui ci si vuole connettere.Use a private IP address range that does not overlap with the on-premises location that you connect from, or with the VNet that you want to connect to. In questo esempio, il pool di indirizzi client VPN viene dichiarato come variabile nel passaggio 1.In this example, the VPN client address pool is declared as a variable in Step 1.

$Gateway = Get-AzureRmVirtualNetworkGateway -ResourceGroupName $RG -Name $GWName
Set-AzureRmVirtualNetworkGateway -VirtualNetworkGateway $Gateway -VpnClientAddressPool $VPNClientAddressPool

5. Generare i certificati5. Generate certificates

I certificati vengono usati da Azure per autenticare i client VPN per VPN da punto a sito.Certificates are used by Azure to authenticate VPN clients for Point-to-Site VPNs. È necessario caricare le informazioni della chiave pubblica del certificato radice in Azure.You upload the public key information of the root certificate to Azure. La chiave pubblica viene quindi considerata "attendibile".The public key is then considered 'trusted'. I certificati client devono essere generati dal certificato radice attendibile e quindi installati in ogni computer client nell'archivio certificati Certificati - Utente corrente/Personale.Client certificates must be generated from the trusted root certificate, and then installed on each client computer in the Certificates-Current User/Personal certificate store. Il certificato viene usato per l'autenticazione del client all'avvio di una connessione alla rete virtuale.The certificate is used to authenticate the client when it initiates a connection to the VNet.

Se usati, i certificati autofirmati devono essere creati con parametri specifici.If you use self-signed certificates, they must be created using specific parameters. È possibile creare un certificato autofirmato seguendo le istruzioni per PowerShell e Windows 10 oppure è possibile usare MakeCert se Windows 10 non è disponibile.You can create a self-signed certificate using the instructions for PowerShell and Windows 10, or, if you don't have Windows 10, you can use MakeCert. È importante seguire i passaggi delle istruzioni quando si generano certificati radice autofirmati e certificati client.It's important that you follow the steps in the instructions when generating self-signed root certificates and client certificates. In caso contrario, i certificati generati non saranno compatibili con le connessioni P2S e si riceverà un errore di connessione.Otherwise, the certificates you generate will not be compatible with P2S connections and you receive a connection error.

1. Ottenere il file CER per il certificato radice1. Obtain the .cer file for the root certificate

È possibile usare un certificato radice generato tramite una soluzione aziendale (opzione consigliata) oppure generare un certificato autofirmato.You can use either a root certificate that was generated using an enterprise solution (recommended), or you can generate a self-signed certificate. Dopo avere creato il certificato radice, esportare i dati del certificato pubblico (non la chiave privata) come file CER X.509 con codifica Base 64 e caricarli in Azure.After creating the root certificate, export the public certificate data (not the private key) as a Base-64 encoded X.509 .cer file and upload the public certificate data to Azure.

  • Certificato aziendale: se si tratta di una soluzione aziendale, è possibile usare la catena di certificati esistente.Enterprise certificate: If you are using an enterprise solution, you can use your existing certificate chain. Ottenere il file con estensione cer per il certificato radice che si vuole usare.Obtain the .cer file for the root certificate that you want to use.
  • Certificato radice autofirmato: se non si usa una soluzione aziendale per la creazione di certificati, è necessario creare un certificato radice autofirmato.Self-signed root certificate: If you aren't using an enterprise certificate solution, you need to create a self-signed root certificate. È importante seguire i passaggi di uno dei due articoli seguenti relativi ai certificati da punto a sito (P2S).It's important that you follow the steps in one of the P2S certificate articles below. In caso contrario, i certificati creati non saranno compatibili con le connessioni da punto a sito e i client riceveranno un errore di connessione quando provano a connettersi.Otherwise, the certificates you create won't be compatible with P2S connections and clients receive a connection error when trying to connect. È possibile usare Azure PowerShell, MakeCert oppure OpenSSL.You can use Azure PowerShell, MakeCert, or OpenSSL. I passaggi negli articoli indicati generano un certificato compatibile.The steps in the provided articles generate a compatible certificate:

    • Istruzioni per Windows 10 PowerShell: queste istruzioni richiedono Windows 10 e PowerShell per generare i certificati.Windows 10 PowerShell instructions: These instructions require Windows 10 and PowerShell to generate certificates. I certificati client generati dal certificato radice possono essere installati in qualsiasi client da punto a sito supportato.Client certificates that are generated from the root certificate can be installed on any supported P2S client.
    • Istruzioni per MakeCert: se non si ha accesso a un computer con Windows 10, è possibile usare MakeCert per generare i certificati.MakeCert instructions: Use MakeCert if you don't have access to a Windows 10 computer to use to generate certificates. MakeCert è deprecato, ma è comunque possibile usarlo per generare i certificati.MakeCert deprecated, but you can still use MakeCert to generate certificates. I certificati client generati dal certificato radice possono essere installati in qualsiasi client da punto a sito supportato.Client certificates that are generated from the root certificate can be installed on any supported P2S client.

2. Generazione di un certificato client2. Generate a client certificate

Ogni computer client che si connette a una rete virtuale usando la soluzione Da punto a sito deve avere un certificato client installato.Each client computer that connects to a VNet using Point-to-Site must have a client certificate installed. Il certificato client viene generato dal certificato radice e viene installato in ogni computer client.The client certificate is generated from the root certificate and installed on each client computer. Se non è stato installato un certificato client valido e il client prova a connettersi alla rete virtuale, l'autenticazione avrà esito negativo.If a valid client certificate is not installed and the client tries to connect to the VNet, authentication fails.

È possibile generare un certificato univoco per ogni client oppure usare lo stesso certificato per più client.You can either generate a unique certificate for each client, or you can use the same certificate for multiple clients. Generare certificati client univoci offre il vantaggio di poter revocare un singolo certificato.The advantage to generating unique client certificates is the ability to revoke a single certificate. In caso contrario, se più client utenti usano lo stesso certificato client e questo deve essere revocato, è necessario generare e installare nuovi certificati per tutti i client che usano tale certificato per l'autenticazione.Otherwise, if multiple clients are using the same client certificate and you need to revoke it, you have to generate and install new certificates for all the clients that use that certificate to authenticate.

È possibile generare i certificati client usando i metodi seguenti:You can generate client certificates using the following methods:

  • Certificato aziendale:Enterprise certificate:

    • Se si usa una soluzione aziendale per la creazione di certificati, generare un certificato client con il valore di nome comune nel formato "name@yourdomain.com", invece che nel formato "nome dominio\nome utente".If you are using an enterprise certificate solution, generate a client certificate with the common name value format 'name@yourdomain.com', rather than the 'domain name\username' format.
    • Verificare che il certificato client sia basato sul modello di certificato "Utente" con "Autenticazione client" come primo elemento nell'elenco d'uso, invece di Accesso smart card e così via. È possibile controllare il certificato facendo doppio clic sul certificato client e aprendo Dettagli > Utilizzo chiavi avanzato.Make sure the client certificate is based on the 'User' certificate template that has 'Client Authentication' as the first item in the use list, rather than Smart Card Logon, etc. You can check the certificate by double-clicking the client certificate and viewing Details > Enhanced Key Usage.
  • Certificato radice autofirmato: è importante seguire i passaggi di uno dei due articoli seguenti relativi ai certificati da punto a sito (P2S).Self-signed root certificate: It's important that you follow the steps in one of the P2S certificate articles below. In caso contrario, i certificati client creati non saranno compatibili con le connessioni da punto a sito e i client riceveranno un errore quando provano a connettersi.Otherwise, the client certificates you create won't be compatible with P2S connections and clients receive an error when trying to connect. I passaggi in uno degli articoli seguenti generano un certificato client compatibile:The steps in either of the following articles generate a compatible client certificate:

    • Istruzioni per Windows 10 PowerShell: queste istruzioni richiedono Windows 10 e PowerShell per generare i certificati.Windows 10 PowerShell instructions: These instructions require Windows 10 and PowerShell to generate certificates. I certificati generati possono essere installati in qualsiasi client da punto a sito supportato.The certificates that are generated can be installed on any supported P2S client.
    • Istruzioni per MakeCert: se non si ha accesso a un computer con Windows 10, è possibile usare MakeCert per generare i certificati.MakeCert instructions: Use MakeCert if you don't have access to a Windows 10 computer to use to generate certificates. MakeCert è deprecato, ma è comunque possibile usarlo per generare i certificati.MakeCert deprecated, but you can still use MakeCert to generate certificates. I certificati generati possono essere installati in qualsiasi client da punto a sito supportato.The certificates that are generated can be installed on any supported P2S client.

    Se si genera un certificato client da un certificato radice autofirmato usando le istruzioni precedenti, viene eseguita l'installazione automatica nel computer usato per generarlo.When you generate a client certificate from a self-signed root certificate using the preceding instructions, it's automatically installed on the computer that you used to generate it. Se si vuole installare un certificato client in un altro computer client, è necessario esportarlo come file con estensione pfx, insieme all'intera catena di certificati.If you want to install a client certificate on another client computer, you need to export it as a .pfx, along with the entire certificate chain. Viene creato un file PFX contenente le informazioni del certificato radice necessarie per la corretta autenticazione del client.This creates a .pfx file that contains the root certificate information that is required for the client to successfully authenticate. Per i passaggi per l'esportazione di un certificato, vedere Certificati - Esportare un certificato client.For steps to export a certificate, see Certificates - export a client certificate.

6. Caricare le informazioni sulla chiave pubblica del certificato radice6. Upload the root certificate public key information

Verificare che la creazione del gateway VPN sia stata completata.Verify that your VPN gateway has finished creating. In tal caso sarà possibile caricare il file CER, contenente le informazioni sulla chiave pubblica, per un certificato radice attendibile in Azure.Once it has completed, you can upload the .cer file (which contains the public key information) for a trusted root certificate to Azure. Al termine del caricamento di un file CER, Azure lo può usare per autenticare i client che hanno installato un certificato client generato dal certificato radice attendibile.Once a.cer file is uploaded, Azure can use it to authenticate clients that have installed a client certificate generated from the trusted root certificate. È possibile caricare fino a 20 file di certificato radice attendibile aggiuntivi in un secondo momento, se necessario.You can upload additional trusted root certificate files - up to a total of 20 - later, if needed.

  1. Dichiarare la variabile per il nome del certificato, sostituendo il valore con il proprio.Declare the variable for your certificate name, replacing the value with your own.

    $P2SRootCertName = "P2SRootCert.cer"
    
  2. Sostituire il percorso file con il proprio e quindi eseguire i cmdlet.Replace the file path with your own, and then run the cmdlets.

    $filePathForCert = "C:\cert\P2SRootCert.cer"
    $cert = new-object System.Security.Cryptography.X509Certificates.X509Certificate2($filePathForCert)
    $CertBase64 = [system.convert]::ToBase64String($cert.RawData)
    $p2srootcert = New-AzureRmVpnClientRootCertificate -Name $P2SRootCertName -PublicCertData $CertBase64
    
  3. Caricare le informazioni sulla chiave pubblica in Azure.Upload the public key information to Azure. Dopo aver caricato le informazioni sul certificato, Azure lo considera un certificato radice attendibile.Once the certificate information is uploaded, Azure considers this to be a trusted root certificate.

    Add-AzureRmVpnClientRootCertificate -VpnClientRootCertificateName $P2SRootCertName -VirtualNetworkGatewayname "VNet1GW" -ResourceGroupName "TestRG" -PublicCertData $CertBase64
    

7. Installare un certificato client esportato7. Install an exported client certificate

Se si vuole creare una connessione da punto a sito da un computer client diverso da quello usato per generare i certificati client, è necessario installare un certificato client.If you want to create a P2S connection from a client computer other than the one you used to generate the client certificates, you need to install a client certificate. Quando si installa un certificato client, è necessaria la password che è stata creata durante l'esportazione del certificato client.When installing a client certificate, you need the password that was created when the client certificate was exported.

Verificare che il certificato client sia stato esportato come PFX con l'intera catena di certificati (impostazione predefinita).Make sure the client certificate was exported as a .pfx along with the entire certificate chain (which is the default). In caso contrario, le informazioni del certificato radice non sono presenti nel computer client e il client non potrà essere autenticato correttamente.Otherwise, the root certificate information isn't present on the client computer and the client won't be able to authenticate properly.

Per la procedura di installazione, vedere Install a client certificate (Installare un certificato client).For install steps, see Install a client certificate.

8. Configurare il client VPN nativo8. Configure the native VPN client

I file di configurazione del client VPN contengono le impostazioni per configurare i dispositivi per la connessione a una rete virtuale tramite una connessione P2S.The VPN client configuration files contain settings to configure devices to connect to a VNet over a P2S connection. Per le istruzioni per generare e installare i file di configurazione del client VPN, vedere Create and install VPN client configuration files for native Azure certificate authentication P2S configurations (Creare e installare i file di configurazione del client VPN per le configurazioni P2S per l'autenticazione del certificato di Azure nativo).For instructions to generate and install VPN client configuration files, see Create and install VPN client configuration files for native Azure certificate authentication P2S configurations.

9. Connect to Azure9. Connect to Azure

Per connettersi da un client VPN WindowsTo connect from a Windows VPN client

  1. Per connettersi alla rete virtuale, nel computer client passare alle connessioni VPN e individuare quella creata,To connect to your VNet, on the client computer, navigate to VPN connections and locate the VPN connection that you created. che ha lo stesso nome della rete virtuale locale.It is named the same name as your virtual network. Fare clic su Connetti.Click Connect. È possibile che venga visualizzato un messaggio popup che fa riferimento all'uso del certificato.A pop-up message may appear that refers to using the certificate. Fare clic su Continua per usare privilegi elevati.Click Continue to use elevated privileges.
  2. Nella pagina Stato connessione fare clic su Connetti per avviare la connessione.On the Connection status page, click Connect to start the connection. Se viene visualizzato un Seleziona certificato dello schermo, verificare che il certificato client visualizzato sia quello che si desidera utilizzare per la connessione.If you see a Select Certificate screen, verify that the client certificate showing is the one that you want to use to connect. In caso contrario, usare la freccia a discesa per selezionare il certificato corretto e quindi fare clic su OK.If it is not, use the drop-down arrow to select the correct certificate, and then click OK.

    Connessione del client VPN ad Azure

  3. Verrà stabilita la connessione.Your connection is established.

    Connessione stabilita

Risoluzione dei problemi delle connessioni P2S del client WindowsTroubleshooting Windows client P2S connections

In caso di problemi di connessione, effettuare i controlli seguenti:If you are having trouble connecting, check the following items:

  • Se è stato esportato un certificato client, assicurarsi che si tratti di un file PFX con il valore predefinito "Se possibile, includi tutti i certificati nel percorso certificazione".If you exported a client certificate, make sure that you exported it as a .pfx file using the default value 'Include all certificates in the certification path if possible'. Usando questo valore per l'esportazione, vengono esportate anche le informazioni del certificato radice.When you export it using this value, the root certificate information is also exported. Quando il certificato viene installato nel computer client, anche il certificato radice contenuto nel file PFX viene installato nel computer client.When the certificate is installed on the client computer, the root certificate which is contained in the .pfx file is then also installed on the client computer. Nel computer client devono essere installate le informazioni del certificato radice.The client computer must have the root certificate information installed. Per verificare, aprire Gestire i certificati utente e passare ad Autorità di certificazione radice attendibili\Certificati.To check, go to Manage user certificates and navigate to Trusted Root Certification Authorities\Certificates. Verificare che il certificato radice sia incluso nell'elenco.Verify that the root certificate is listed. Per il corretto funzionamento dell'autenticazione è necessario che il certificato radice sia presente.The root certificate must be present in order for authentication to work.

  • Se si usa un certificato che è stato rilasciato tramite una soluzione CA globale e si riscontrano problemi durante l'autenticazione, controllare l'ordine di autenticazione del certificato client.If you are using a certificate that was issued using an Enterprise CA solution and are having trouble authenticating, check the authentication order on the client certificate. È possibile controllare l'ordine dell'elenco di autenticazione facendo doppio clic sul certificato client e andando in Dettagli > Utilizzo chiavi avanzato.You can check the authentication list order by double-clicking the client certificate, and going to Details > Enhanced Key Usage. Assicurarsi che l'elenco mostri "Autenticazione client" come primo elemento.Make sure the list shows 'Client Authentication' as the first item. In caso contrario, è necessario emettere un certificato client in base al modello di utente con l'autenticazione client come primo elemento nell'elenco.If not, you need to issue a client certificate based on the User template that has Client Authentication as the first item in the list.

  • Per altre informazioni sulla risoluzione dei problemi delle connessioni P2S, vedere Risoluzione dei problemi di connessione da punto a sito.For additional P2S troubleshooting information, see Troubleshoot P2S connections.

Per connettersi da un client VPN MacTo connect from a Mac VPN client

Dalla finestra di dialogo Rete individuare il profilo client che si vuole usare, quindi fare clic su Connessione.From the Network dialog box, locate the client profile that you want to use, then click Connect.

Connessione Mac

Per verificare la connessioneTo verify your connection

Queste istruzioni si applicano ai client Windows.These instructions apply to Windows clients.

  1. Per verificare che la connessione VPN è attiva, aprire un prompt dei comandi con privilegi elevati ed eseguire ipconfig/all.To verify that your VPN connection is active, open an elevated command prompt, and run ipconfig/all.
  2. Visualizzare i risultati.View the results. Si noti che l'indirizzo IP ricevuto è uno degli indirizzi compresi nel pool di indirizzi del client VPN da punto a sito specificato al momento della configurazione.Notice that the IP address you received is one of the addresses within the Point-to-Site VPN Client Address Pool that you specified in your configuration. I risultati sono simili a questo esempio:The results are similar to this example:

    PPP adapter VNet1:
       Connection-specific DNS Suffix .:
       Description.....................: VNet1
       Physical Address................:
       DHCP Enabled....................: No
       Autoconfiguration Enabled.......: Yes
       IPv4 Address....................: 172.16.201.3(Preferred)
       Subnet Mask.....................: 255.255.255.255
       Default Gateway.................:
       NetBIOS over Tcpip..............: Enabled
    

Per connettersi a una macchina virtualeTo connect to a virtual machine

Queste istruzioni si applicano ai client Windows.These instructions apply to Windows clients.

È possibile connettersi a una VM distribuita nella rete virtuale creando una connessione Desktop remoto alla VM.You can connect to a VM that is deployed to your VNet by creating a Remote Desktop Connection to your VM. Il modo migliore per verificare inizialmente che è possibile connettersi alla VM consiste nel connettersi usando il rispettivo indirizzo IP privato, invece del nome del computer.The best way to initially verify that you can connect to your VM is to connect by using its private IP address, rather than computer name. Ciò consente di verificare se è possibile connettersi, non se la risoluzione dei nomi è configurata correttamente.That way, you are testing to see if you can connect, not whether name resolution is configured properly.

  1. Individuare l'indirizzo IP privato.Locate the private IP address. È possibile trovare l'indirizzo IP privato di una VM esaminando le proprietà per la VM nel portale di Azure oppure usando PowerShell.You can find the private IP address of a VM by either looking at the properties for the VM in the Azure portal, or by using PowerShell.

    • Portale di Azure: individuare la macchina virtuale nel portale di Azure.Azure portal - Locate your virtual machine in the Azure portal. Visualizzare le proprietà per la VM.View the properties for the VM. Viene elencato l'indirizzo IP.The private IP address is listed.

    • PowerShell: usare l'esempio per visualizzare un elenco di macchine virtuali e di indirizzi IP privati dai gruppi di risorse.PowerShell - Use the example to view a list of VMs and private IP addresses from your resource groups. Non è necessario modificare questo esempio prima di usarlo.You don't need to modify this example before using it.

      $VMs = Get-AzureRmVM
      $Nics = Get-AzureRmNetworkInterface | Where VirtualMachine -ne $null
      
      foreach($Nic in $Nics)
      {
       $VM = $VMs | Where-Object -Property Id -eq $Nic.VirtualMachine.Id
       $Prv = $Nic.IpConfigurations | Select-Object -ExpandProperty PrivateIpAddress
       $Alloc = $Nic.IpConfigurations | Select-Object -ExpandProperty PrivateIpAllocationMethod
       Write-Output "$($VM.Name): $Prv,$Alloc"
      }
      
  2. Verificare di essere connessi alla rete virtuale usando la connessione VPN da punto a sito.Verify that you are connected to your VNet using the Point-to-Site VPN connection.

  3. Aprire la connessione Desktop remoto digitando "RDP" o "Connessione Desktop remoto" nella casella di ricerca sulla barra delle applicazioni, quindi selezionare Connessione Desktop remoto.Open Remote Desktop Connection by typing "RDP" or "Remote Desktop Connection" in the search box on the taskbar, then select Remote Desktop Connection. È anche possibile aprire una connessione Desktop remoto usando il comando "mstsc" in PowerShell.You can also open Remote Desktop Connection using the 'mstsc' command in PowerShell.
  4. In Connessione Desktop remoto immettere l'indirizzo IP privato della VM.In Remote Desktop Connection, enter the private IP address of the VM. È possibile fare clic su "Mostra opzioni" per modificare altre impostazioni e quindi connettersi.You can click "Show Options" to adjust additional settings, then connect.

Per risolvere i problemi di una connessione RDP a una VMTo troubleshoot an RDP connection to a VM

Se si verificano problemi di connessione a una macchina virtuale tramite la connessione VPN, controllare gli elementi seguenti:If you are having trouble connecting to a virtual machine over your VPN connection, check the following:

  • Verificare che la connessione VPN sia attiva.Verify that your VPN connection is successful.
  • Verificare che venga effettuata la connessione all'indirizzo IP privato per la VM.Verify that you are connecting to the private IP address for the VM.
  • Usare "ipconfig" per controllare l'indirizzo IPv4 assegnato alla scheda Ethernet nel computer da cui viene effettuata la connessione.Use 'ipconfig' to check the IPv4 address assigned to the Ethernet adapter on the computer from which you are connecting. Se l'indirizzo IP è compreso nell'intervallo di indirizzi della rete virtuale a cui ci si connette o nell'intervallo di indirizzi del pool di indirizzi del client VPN, si verifica la cosiddetta sovrapposizione dello spazio indirizzi.If the IP address is within the address range of the VNet that you are connecting to, or within the address range of your VPNClientAddressPool, this is referred to as an overlapping address space. Con questo tipo di sovrapposizione, il traffico di rete non raggiunge Azure e rimane nella rete locale.When your address space overlaps in this way, the network traffic doesn't reach Azure, it stays on the local network.
  • Se è possibile connettersi alla VM usando l'indirizzo IP privato, ma non il nome del computer, verificare di avere configurato correttamente il valore per DNS.If you can connect to the VM using the private IP address, but not the computer name, verify that you have configured DNS properly. Per altre informazioni sul funzionamento della risoluzione dei nomi per le macchine virtuali, vedere Risoluzione dei nomi per le macchine virtuali.For more information about how name resolution works for VMs, see Name Resolution for VMs.
  • Verificare che il pacchetto di configurazione del client VPN sia stato generato dopo che sono stati specificati gli indirizzi IP del server DNS per la rete virtuale.Verify that the VPN client configuration package was generated after the DNS server IP addresses were specified for the VNet. Se gli indirizzi IP del server DNS sono stati aggiornati, generare e installare un nuovo pacchetto di configurazione del client VPN.If you updated the DNS server IP addresses, generate and install a new VPN client configuration package.
  • Per altre informazioni sulle connessioni RDP, vedere Risolvere i problemi delle connessioni Desktop remoto a una macchina virtuale.For more information about RDP connections, see Troubleshoot Remote Desktop connections to a VM.

Per aggiungere o rimuovere un certificato radiceTo add or remove a root certificate

È possibile aggiungere e rimuovere certificati radice attendibili da Azure.You can add and remove trusted root certificates from Azure. Quando si rimuove un certificato radice, i client con un certificato generato da tale certificato radice non possono eseguire l'autenticazione e non potranno connettersi.When you remove a root certificate, clients that have a certificate generated from the root certificate can't authenticate and won't be able to connect. Per consentire ai client di eseguire l'autenticazione e connettersi, è necessario installare un nuovo certificato client generato da un certificato radice considerato attendibile (caricato) in Azure.If you want a client to authenticate and connect, you need to install a new client certificate generated from a root certificate that is trusted (uploaded) to Azure.

Per aggiungere un certificato radice attendibileTo add a trusted root certificate

In Azure è possibile aggiungere fino a 20 file CER di certificato radice.You can add up to 20 root certificate .cer files to Azure. La procedura seguente consente di aggiungere un certificato radice:The following steps help you add a root certificate:

Metodo 1Method 1

Si tratta del metodo più efficiente per caricare un certificato radice.This is the most efficient method to upload a root certificate.

  1. Preparare il file CER da caricare:Prepare the .cer file to upload:

    $filePathForCert = "C:\cert\P2SRootCert3.cer"
    $cert = new-object System.Security.Cryptography.X509Certificates.X509Certificate2($filePathForCert)
    $CertBase64_3 = [system.convert]::ToBase64String($cert.RawData)
    $p2srootcert = New-AzureRmVpnClientRootCertificate -Name $P2SRootCertName -PublicCertData $CertBase64_3
    
  2. Caricare il file.Upload the file. È possibile caricare un solo file alla volta.You can only upload one file at a time.

    Add-AzureRmVpnClientRootCertificate -VpnClientRootCertificateName $P2SRootCertName -VirtualNetworkGatewayname "VNet1GW" -ResourceGroupName "TestRG" -PublicCertData $CertBase64_3
    
  3. Per verificare che il file del certificato sia stato caricato:To verify that the certificate file uploaded:

    Get-AzureRmVpnClientRootCertificate -ResourceGroupName "TestRG" `
    -VirtualNetworkGatewayName "VNet1GW"
    

Metodo 2Method 2

Questo metodo prevede più passaggi rispetto al metodo 1, ma permette di ottenere lo stesso risultato.This method has more steps than Method 1, but has the same result. Viene incluso qualora si voglia visualizzare i dati del certificato.It is included in case you need to view the certificate data.

  1. Creare e preparare il nuovo certificato da aggiungere in Azure.Create and prepare the new root certificate to add to Azure. Esportare la chiave pubblica come file CER con codifica Base 64 X.509 e aprirla con un editor di testo.Export the public key as a Base-64 encoded X.509 (.CER) and open it with a text editor. Copiare i valori, come illustrato nell'esempio seguente:Copy the values, as shown in the following example:

    certificato

    Nota

    Durante la copia dei dati del certificato, assicurarsi di copiare il testo come unica riga continua senza ritorni a capo o avanzamenti riga.When copying the certificate data, make sure that you copy the text as one continuous line without carriage returns or line feeds. Potrebbe essere necessario modificare la visualizzazione nell'editor di testo in "Show Symbol/Show all characters" (Mostra simbolo/Mostra tutti i caratteri) per visualizzare i ritorni a capo e gli avanzamenti riga.You may need to modify your view in the text editor to 'Show Symbol/Show all characters' to see the carriage returns and line feeds.

  2. Specificare il nome del certificato e le informazioni sulla chiave come variabile.Specify the certificate name and key information as a variable. Sostituire le informazioni con i propri dati, come illustrato nell'esempio seguente:Replace the information with your own, as shown in the following example:

    $P2SRootCertName2 = "ARMP2SRootCert2.cer"
    $MyP2SCertPubKeyBase64_2 = "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"
    
  3. Aggiungere il nuovo certificato radice.Add the new root certificate. È possibile aggiungere solo un certificato alla volta.You can only add one certificate at a time.

    Add-AzureRmVpnClientRootCertificate -VpnClientRootCertificateName $P2SRootCertName2 -VirtualNetworkGatewayname "VNet1GW" -ResourceGroupName "TestRG" -PublicCertData $MyP2SCertPubKeyBase64_2
    
  4. È possibile verificare che il nuovo certificato sia stato aggiunto correttamente usando l'esempio seguente:You can verify that the new certificate was added correctly by using the following example:

    Get-AzureRmVpnClientRootCertificate -ResourceGroupName "TestRG" `
    -VirtualNetworkGatewayName "VNet1GW"
    

Per rimuovere un certificato radiceTo remove a root certificate

  1. Dichiarare le variabili.Declare the variables.

    $GWName = "Name_of_virtual_network_gateway"
    $RG = "Name_of_resource_group"
    $P2SRootCertName2 = "ARMP2SRootCert2.cer"
    $MyP2SCertPubKeyBase64_2 = "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"
    
  2. Rimuovere il certificato.Remove the certificate.

    Remove-AzureRmVpnClientRootCertificate -VpnClientRootCertificateName $P2SRootCertName2 -VirtualNetworkGatewayName $GWName -ResourceGroupName $RG -PublicCertData $MyP2SCertPubKeyBase64_2
    
  3. Usare l'esempio seguente per verificare che il certificato sia stato rimosso correttamente.Use the following example to verify that the certificate was removed successfully.

    Get-AzureRmVpnClientRootCertificate -ResourceGroupName "TestRG" `
    -VirtualNetworkGatewayName "VNet1GW"
    

Per revocare un certificato clientTo revoke a client certificate

È possibile revocare i certificati client.You can revoke client certificates. L'elenco di revoche di certificati consente di negare in modo selettivo la connettività da punto a sito basata sui singoli certificati client.The certificate revocation list allows you to selectively deny Point-to-Site connectivity based on individual client certificates. Questa operazione è diversa rispetto alla rimozione di un certificato radice attendibile.This is different than removing a trusted root certificate. Se si rimuove un file con estensione cer del certificato radice attendibile da Azure, viene revocato l'accesso per tutti i certificati client generati o firmati dal certificato radice revocato.If you remove a trusted root certificate .cer from Azure, it revokes the access for all client certificates generated/signed by the revoked root certificate. La revoca di un certificato client, anziché del certificato radice, consente di continuare a usare gli altri certificati generati dal certificato radice per l'autenticazione.Revoking a client certificate, rather than the root certificate, allows the other certificates that were generated from the root certificate to continue to be used for authentication.

La regola generale è quella di usare il certificato radice per gestire l'accesso a livello di team o organizzazione, usando i certificati client revocati per il controllo di accesso con granularità fine su singoli utenti.The common practice is to use the root certificate to manage access at team or organization levels, while using revoked client certificates for fine-grained access control on individual users.

Revocare un certificato clientRevoke a client certificate

  1. Ottenere l'identificazione personale del certificato client.Retrieve the client certificate thumbprint. Per altre informazioni, vedere Procedura: recuperare l'identificazione personale di un certificato.For more information, see How to retrieve the Thumbprint of a Certificate.
  2. Copiare le informazioni in un editor di testo e rimuovere tutti gli spazi in modo che sia una stringa continua.Copy the information to a text editor and remove all spaces so that it is a continuous string. Questa stringa viene dichiarata come variabile nel passaggio successivo.This string is declared as a variable in the next step.
  3. Dichiarare le variabili.Declare the variables. Assicurarsi di dichiarare l'identificazione personale ottenuta nel passaggio precedente.Make sure to declare the thumbprint you retrieved in the previous step.

    $RevokedClientCert1 = "NameofCertificate"
    $RevokedThumbprint1 = "‎51ab1edd8da4cfed77e20061c5eb6d2ef2f778c7"
    $GWName = "Name_of_virtual_network_gateway"
    $RG = "Name_of_resource_group"
    
  4. Aggiungere l'identificazione personale all'elenco dei certificati revocati.Add the thumbprint to the list of revoked certificates. Viene visualizzato il messaggio "Operazione completata" quando l'identificazione personale è stata aggiunta.You see "Succeeded" when the thumbprint has been added.

    Add-AzureRmVpnClientRevokedCertificate -VpnClientRevokedCertificateName $RevokedClientCert1 `
    -VirtualNetworkGatewayName $GWName -ResourceGroupName $RG `
    -Thumbprint $RevokedThumbprint1
    
  5. Verificare che l'identificazione personale sia stata aggiunta all'elenco di revoche di certificati.Verify that the thumbprint was added to the certificate revocation list.

    Get-AzureRmVpnClientRevokedCertificate -VirtualNetworkGatewayName $GWName -ResourceGroupName $RG
    
  6. Dopo aver aggiunto l'identificazione personale, il certificato non può più essere usato per la connessione.After the thumbprint has been added, the certificate can no longer be used to connect. Ai client che provano a connettersi con questo certificato verrà visualizzato un messaggio che informa che il certificato non è più valido.Clients that try to connect using this certificate receive a message saying that the certificate is no longer valid.

Per reintegrare un certificato clientTo reinstate a client certificate

È possibile reintegrare un certificato client rimuovendo l'identificazione personale dall'elenco dei certificati client revocati.You can reinstate a client certificate by removing the thumbprint from the list of revoked client certificates.

  1. Dichiarare le variabili.Declare the variables. Assicurarsi di dichiarare l'identificazione personale corretta per il certificato che si vuole reintegrare.Make sure you declare the correct thumbprint for the certificate that you want to reinstate.

    $RevokedClientCert1 = "NameofCertificate"
    $RevokedThumbprint1 = "‎51ab1edd8da4cfed77e20061c5eb6d2ef2f778c7"
    $GWName = "Name_of_virtual_network_gateway"
    $RG = "Name_of_resource_group"
    
  2. Rimuovere l'identificazione personale del certificato dall'elenco di revoche di certificati.Remove the certificate thumbprint from the certificate revocation list.

    Remove-AzureRmVpnClientRevokedCertificate -VpnClientRevokedCertificateName $RevokedClientCert1 `
    -VirtualNetworkGatewayName $GWName -ResourceGroupName $RG -Thumbprint $RevokedThumbprint1
    
  3. Verificare che l'identificazione personale sia stata rimossa dall'elenco di quelle revocate.Check if the thumbprint is removed from the revoked list.

    Get-AzureRmVpnClientRevokedCertificate -VirtualNetworkGatewayName $GWName -ResourceGroupName $RG
    

Domande frequenti sulla connettività da punto a sitoPoint-to-Site FAQ

Quali sistemi operativi client è possibile usare con la connettività da punto a sito?What client operating systems can I use with Point-to-Site?

Sono supportati i sistemi operativi client seguenti:The following client operating systems are supported:

  • Windows 7 (a 32 e 64 bit)Windows 7 (32-bit and 64-bit)
  • Windows Server 2008 R2 (solo a 64 bit)Windows Server 2008 R2 (64-bit only)
  • Windows 8 (a 32 e 64 bit)Windows 8 (32-bit and 64-bit)
  • Windows 8.1 (a 32 e 64 bit)Windows 8.1 (32-bit and 64-bit)
  • Windows Server 2012 (solo a 64 bit)Windows Server 2012 (64-bit only)
  • Windows Server 2012 R2 (solo a 64 bit)Windows Server 2012 R2 (64-bit only)
  • Windows Server 2016 (solo a 64 bit)Windows Server 2016 (64-bit only)
  • Windows 10Windows 10
  • OSX versione 10.11 per Mac (El Capitan)OSX version 10.11 for Mac (El Capitan)
  • macOS versione 10.12 per Mac (Sierra)macOS version 10.12 for Mac (Sierra)

Quanti endpoint client VPN è possibile includere nella configurazione da punto sito?How many VPN client endpoints can I have in my Point-to-Site configuration?

Sono supportati fino a 128 client VPN da poter connettere contemporaneamente a una rete virtuale.We support up to 128 VPN clients to be able to connect to a virtual network at the same time.

È possibile attraversare proxy e firewall con la funzionalità Da punto a sitoCan I traverse proxies and firewalls using Point-to-Site capability?

Azure supporta due tipi di opzioni VPN da punto a sito:Azure supports two types of Point-to-site VPN options:

  • SSTP (Secure Socket Tunneling Protocol).Secure Socket Tunneling Protocol (SSTP). SSTP è una soluzione proprietaria Microsoft basata su SSL che può penetrare i firewall perché la porta TCP 443 usata da SSL viene aperta dalla maggior parte dei firewall.SSTP is a Microsoft proprietary SSL-based solution that can penetrate firewalls since most firewalls open the TCP port that 443 SSL uses.

  • VPN IKEv2.IKEv2 VPN. La VPN IKEv2 è una soluzione VPN IPsec basata sugli standard che usa le porte UDP 500 e 4500 e il protocollo IP numeroIKEv2 VPN is a standards-based IPsec VPN solution that uses UDP port 500 and 4500 and IP protocol no. 50.50. Non sempre queste porte vengono aperte dai firewall ed esiste quindi la possibilità che la VPN IKEv2 non riesca ad attraversare proxy e firewall.Firewalls do not always open these ports, so there is a possibility of IKEv2 VPN not being able to traverse proxies and firewalls.

Se si riavvia un computer client configurato per la funzionalità Da punto a sito, la VPN verrà riconnessa automaticamente?If I restart a client computer configured for Point-to-Site, will the VPN automatically reconnect?

Per impostazione predefinita, tramite il computer client non verrà ristabilita automaticamente la connessione VPN.By default, the client computer will not reestablish the VPN connection automatically.

La funzionalità Da punto a sito supporta la riconnessione automatica e il DNS dinamico nei client VPN?Does Point-to-Site support auto-reconnect and DDNS on the VPN clients?

La riconnessione automatica e il DNS dinamico non sono supportati attualmente nelle VPN da punto a sito.Auto-reconnect and DDNS are currently not supported in Point-to-Site VPNs.

È possibile la coesistenza di configurazioni da sito a sito e punto a sito per la stessa rete virtuale?Can I have Site-to-Site and Point-to-Site configurations coexist for the same virtual network?

Sì.Yes. Per il modello di distribuzione Resource Manager, è necessario un gateway di tipo VPN RouteBased.For the Resource Manager deployment model, you must have a RouteBased VPN type for your gateway. Per il modello di distribuzione classica è necessario un gateway dinamico.For the classic deployment model, you need a dynamic gateway. La configurazione da punto a sito non è supportata per gateway VPN con routing statico o PolicyBased.We do not support Point-to-Site for static routing VPN gateways or PolicyBased VPN gateways.

È possibile configurare un client da punto a sito per connettersi contempo a più reti virtuali?Can I configure a Point-to-Site client to connect to multiple virtual networks at the same time?

No.No. Un client da punto a sito può connettersi solo alle risorse nella rete virtuale in cui risiede il gateway di rete virtuale.A Point-to-Site client can only connect to resources in the VNet in which the virtual network gateway resides.

Che velocità effettiva è possibile prevedere usando connessioni da sito a sito o da punto a sito?How much throughput can I expect through Site-to-Site or Point-to-Site connections?

È difficile mantenere esattamente la velocità effettiva tramite i tunnel VPN.It's difficult to maintain the exact throughput of the VPN tunnels. IPSec e SSTP sono protocolli VPN con un elevato livello di crittografia.IPsec and SSTP are crypto-heavy VPN protocols. La velocità effettiva è limitata inoltre dalla latenza e dalla larghezza di banda tra le sedi locali e Internet.Throughput is also limited by the latency and bandwidth between your premises and the Internet. Per un gateway VPN che ha solo connessioni VPN da punto a sito IKEv2, la velocità effettiva totale che è possibile prevedere dipende dallo SKU del gateway.For a VPN Gateway with only IKEv2 Point-to-Site VPN connections, the total throughput that you can expect depends on the Gateway SKU. Per altre informazioni sulla velocità effettiva, vedere SKU del gateway.For more information on throughput, see Gateway SKUs.

Per la connettività da punto a sito è possibile usare qualsiasi client VPN software che supporta SSTP e/o IKEv2?Can I use any software VPN client for Point-to-Site that supports SSTP and/or IKEv2?

No.No. È possibile usare solo il client VPN nativo in Windows per SSTP e il client VPN nativo in Mac per IKEv2.You can only use the native VPN client on Windows for SSTP, and the native VPN client on Mac for IKEv2. Vedere l'elenco dei sistemi operativi client supportati.Refer to the list of supported client operating systems.

Azure supporta VPN IKEv2 con Windows?Does Azure support IKEv2 VPN with Windows?

Gli utenti possono connettersi ad Azure utilizzando il client VPN di Windows integrato che supporta IKEv2.Users can connect to Azure using the built-in Windows VPN client, which does support IKEv2. Tuttavia, le connessioni IKEv2 da un dispositivo Windows non funzionano nello scenario seguente:But, IKEv2 connections from a Windows device won't work in the following scenario:

Se il dispositivo dell'utente contiene un numero elevato di certificati radice attendibili, le dimensioni del payload del messaggio durante lo scambio IKE sono elevate e ciò comporta la frammentazione del livello IP.When the user's device contains a large number of trusted root certificates, the message payload size during IKE exchange is large and causes IP layer fragmentation. I frammenti vengono rifiutati alla fine di Azure, che comporta l'errore di connessione.The fragments are rejected at the Azure end, which results in the connection failing. Il numero di certificati esatto in cui si verifica questo problema è difficile da stimare.The exact certificate count at which this problem occurs is difficult to estimate. Di conseguenza, il funzionamento delle connessioni IKEv2 dai dispositivi Windows non è garantito.As a result, IKEv2 connections from Windows devices are not guaranteed to work. Quando si configura sia SSTP che IKEv2 in un ambiente misto (costituito da dispositivi Windows e Mac), il profilo VPN Windows tenta sempre prima di accedere al tunnel IKEv2.When you configure both SSTP and IKEv2 in a mixed environment (consisting of Windows and Mac devices), the Windows VPN profile always tries IKEv2 tunnel first. Se l’esito è negativo a causa del problema descritto qui, viene utilizzato l’SSTP.If it fails due to the issue described here, it falls back to SSTP.

Oltre a Windows e Mac, quali altre piattaforme supporta Azure per VPN P2S?Other than Windows and Mac, which other platforms does Azure support for P2S VPN?

Per VPN P2S, Azure supporta solo Windows e Mac.Azure supports only Windows and Mac for P2S VPN.

Si dispone già di un Gateway VPN di Azure distribuito.I already have an Azure VPN Gateway deployed. È possibile attivare RADIUS e/o VPN IKEv2 su di esso?Can I enabled RADIUS and/or IKEv2 VPN on it?

Sì, è possibile abilitare queste nuove funzionalità del gateway già distribuito, sia tramite Powershell che il portale di Azure.Yes, you can enable these new features on already deployed gateways, both through Powershell and the Azure portal.

È possibile usare la CA radice della PKI interna per la connettività da punto a sito?Can I use my own internal PKI root CA for Point-to-Site connectivity?

Sì.Yes. In precedenza, era possibile utilizzare solo certificati radice autofirmati.Previously, only self-signed root certificates could be used. È ancora possibile caricare 20 certificati radice.You can still upload 20 root certificates.

Quali strumenti è possibile usare per creare certificati?What tools can I use to create certificates?

È possibile usare la propria soluzione di infrastruttura a chiave pubblica aziendale (PKI interna), Azure PowerShell, MakeCert e OpenSSL.You can use your Enterprise PKI solution (your internal PKI), Azure PowerShell, MakeCert, and OpenSSL.

Sono disponibili istruzioni per le impostazioni e i parametri dei certificati?Are there instructions for certificate settings and parameters?

  • Soluzione PKI aziendale/PKI interna: vedere la procedura per generare i certificati.Internal PKI/Enterprise PKI solution: See the steps to Generate certificates.

  • Azure PowerShell: per la procedura, vedere l'articolo relativo ad Azure PowerShell.Azure PowerShell: See the Azure PowerShell article for steps.

  • MakeCert: per la procedura, vedere l'articolo relativo a MakeCert.MakeCert: See the MakeCert article for steps.

  • OpenSSL:OpenSSL:

    • Quando si esportano certificati, assicurarsi di convertire il certificato radice in Base64.When exporting certificates, be sure to convert the root certificate to Base64.

    • Per il certificato client:For the client certificate:

      • Quando si crea la chiave privata, specificare una lunghezza di 4096.When creating the private key, specify the length as 4096.
      • Quando si crea il certificato, per il parametro -extensions specificare usr_cert.When creating the certificate, for the -extensions parameter, specify usr_cert.

Passaggi successiviNext steps

Dopo aver completato la connessione, è possibile aggiungere macchine virtuali alle reti virtuali.Once your connection is complete, you can add virtual machines to your virtual networks. Per altre informazioni, vedere Macchine virtuali.For more information, see Virtual Machines. Per altre informazioni sulla rete e sulle macchine virtuali, vedere Panoramica di rete delle macchine virtuali Linux e Azure.To understand more about networking and virtual machines, see Azure and Linux VM network overview.