Configurare le impostazioni del server per l'autenticazione del certificato VPN da punto a sito - PowerShell

Questo articolo illustra come configurare una VPN da punto a sito (P2S) per connettere in modo sicuro singoli client che eseguono Windows, Linux o macOS a una rete virtuale di Azure. Le connessioni VPN da punto a sito sono utili quando si vuole connettersi alla rete virtuale da una posizione remota, ad esempio quando si esegue il telelavoro da casa o una conferenza.

È anche possibile usare una VPN da punto a sito al posto di una VPN da sito a sito quando solo pochi client devono connettersi a una rete virtuale. Le connessioni da sito a sito non richiedono un dispositivo VPN o un indirizzo IP pubblico. La modalità da punto a sito crea la connessione VPN tramite SSTP (Secure Sockets Tunneling Protocol) o IKEv2.

Per altre informazioni sulla VPN da sito a sito, vedere Informazioni sulla VPN da sito a sito. Per creare questa configurazione usando il portale di Azure, vedere Configurare una VPN da punto a sito usando il portale di Azure.

Le connessioni di autenticazione del certificato di Azure da punto a sito usano gli elementi seguenti, che verranno configurati in questo esercizio:

• Un gateway VPN RouteBased.
• La chiave pubblica (file CER) per un certificato radice, caricato in Azure. Dopo aver caricato il certificato, viene considerato un certificato attendibile e viene usato per l'autenticazione.
• Un certificato client generato dal certificato radice. Il certificato client installato su ogni computer client che si connetterà alla rete virtuale. Questo certificato viene usato per l'autenticazione client.
• File di configurazione del client VPN. Il client VPN viene configurato usando i file di configurazione del client VPN. Questi file contengono le informazioni necessarie per la connessione del client alla rete virtuale. Ogni client che si connette deve essere configurato usando le impostazioni nei file di configurazione.

Prerequisiti

Verificare di possedere una sottoscrizione di Azure. Se non si ha una sottoscrizione di Azure, è possibile attivare i vantaggi per i sottoscrittori di MSDN oppure iscriversi per ottenere un account gratuito.

Azure PowerShell

È possibile usare Azure Cloud Shell oppure eseguire PowerShell in locale. Per altre informazioni, vedere Come installare e configurare Azure PowerShell.

• Molti dei passaggi descritti in questo articolo possono usare Azure Cloud Shell. Tuttavia, non è possibile usare Cloud Shell per generare i certificati. Inoltre, per caricare la chiave pubblica del certificato radice, è necessario usare Azure PowerShell in locale o il portale di Azure.

• Potrebbero essere visualizzati avvisi indicanti che il tipo di oggetto di output del cmdlet verrà modificato in una versione futura. Si tratta del comportamento previsto ed è possibile ignorare questi avvisi.

Accedere

Se si usa Azure Cloud Shell , si verrà indirizzati automaticamente all'accesso all'account dopo aver aperto CloudShell. Non è necessario eseguire Connect-AzAccount. Dopo aver eseguito l'accesso, è comunque possibile modificare le sottoscrizioni, se necessario usando Get-AzSubscription e Select-AzSubscription.

Se si esegue PowerShell in locale, aprire la console di PowerShell con privilegi elevati e connettersi all'account Azure. Il Connect-AzAccount cmdlet richiede le credenziali. Dopo l'autenticazione, scarica le impostazioni dell'account in modo che siano disponibili in Azure PowerShell. È possibile modificare la sottoscrizione usando Get-AzSubscription e Select-AzSubscription -SubscriptionName "Name of subscription".

Creare una rete virtuale

1. Creare un gruppo di risorse usando New-AzResourceGroup.

   New-AzResourceGroup -Name "TestRG1" -Location "EastUS"
   

2. Creare la rete virtuale usando New-AzVirtualNetwork.

   $vnet = New-AzVirtualNetwork `
   -ResourceGroupName "TestRG1" `
   -Location "EastUS" `
   -Name "VNet1" `
   -AddressPrefix 10.1.0.0/16
   

3. Creare subnet usando New-AzVirtualNetworkSubnetConfig con i nomi seguenti: FrontEnd e GatewaySubnet (una subnet del gateway deve essere denominata GatewaySubnet).

   $subnetConfigFrontend = Add-AzVirtualNetworkSubnetConfig `
     -Name Frontend `
     -AddressPrefix 10.1.0.0/24 `
     -VirtualNetwork $vnet
   
   $subnetConfigGW = Add-AzVirtualNetworkSubnetConfig `
     -Name GatewaySubnet `
     -AddressPrefix 10.1.255.0/27 `
     -VirtualNetwork $vnet
   

4. Scrivere le configurazioni della subnet nella rete virtuale con Set-AzVirtualNetwork, che crea le subnet nella rete virtuale:

   $vnet | Set-AzVirtualNetwork
   

Creare il gateway VPN

Richiedere un indirizzo IP pubblico

Un gateway VPN deve avere un indirizzo IP pubblico. È necessario richiedere prima di tutto la risorsa dell'indirizzo IP e quindi farvi riferimento durante la creazione del gateway di rete virtuale. L'indirizzo IP viene assegnato in modo statico alla risorsa quando viene creato il gateway VPN. L'indirizzo IP pubblico viene modificato solo quando il gateway viene eliminato e ricreato. Non viene modificato in caso di ridimensionamento, reimpostazione o altre manutenzioni/aggiornamenti del gateway VPN.

1. Richiedere un indirizzo IP pubblico per il gateway VPN usando New-AzPublicIpAddress.

   $gwpip = New-AzPublicIpAddress -Name "GatewayIP" -ResourceGroupName "TestRG1" -Location "EastUS" -AllocationMethod Static -Sku Standard
   

2. Creare la configurazione dell'indirizzo IP del gateway usando New-AzVirtualNetworkGatewayIpConfig. Questa configurazione viene fatto riferimento quando si crea il gateway VPN.

   $vnet = Get-AzVirtualNetwork -Name "VNet1" -ResourceGroupName "TestRG1"
   $gwsubnet = Get-AzVirtualNetworkSubnetConfig -Name 'GatewaySubnet' -VirtualNetwork $vnet
   $gwipconfig = New-AzVirtualNetworkGatewayIpConfig -Name gwipconfig1 -SubnetId $gwsubnet.Id -PublicIpAddressId $gwpip.Id
   

Creare il gateway VPN

In questo passaggio viene configurato e creato il gateway di rete virtuale per la rete virtuale. Per informazioni più complete sull'autenticazione e sul tipo di tunnel, vedere Specificare il tipo di tunnel e autenticazione nella versione portale di Azure di questo articolo.

• -GatewayType deve essere Vpn e -VpnType deve essere RouteBased.
• -VpnClientProtocol consente di specificare i tipi di tunnel da abilitare. Le opzioni del tunnel sono OpenVPN, SSTP e IKEv2. È possibile scegliere di abilitare una di esse o qualsiasi combinazione supportata. Se si desidera abilitare più tipi, specificare i nomi separati da una virgola. OpenVPN e SSTP non possono essere abilitati insieme. Il client strongSwan in Android e Linux e il client VPN IKEv2 nativo in iOS e macOS useranno solo il tunnel IKEv2 per connettersi. I client Windows provano prima IKEv2 e, se la connessione non viene stabilita, tornano a SSTP. È possibile usare il client OpenVPN per connettersi al tipo di tunnel OpenVPN.
• Lo SKU "Basic" del gateway di rete virtuale non supporta l'autenticazione IKEv2, OpenVPN o RADIUS. Se si prevede di connettere i client Mac alla rete virtuale, non usare lo SKU Basic.
• La compilazione di un gateway VPN può richiedere almeno 45 minuti, a seconda dello SKU del gateway selezionato.

1. Creare il gateway di rete virtuale con il tipo di gateway "Vpn" usando New-AzVirtualNetworkGateway.

   In questo esempio viene usato lo SKU VpnGw2, generazione 2. Se vengono visualizzati errori ValidateSet relativi al valore GatewaySKU e si eseguono questi comandi in locale, verificare di aver installato la versione più recente dei cmdlet di PowerShell. La versione più recente contiene i nuovi valori convalidati per gli SKU del gateway più recenti.

   New-AzVirtualNetworkGateway -Name "VNet1GW" -ResourceGroupName "TestRG1" `
   -Location "EastUS" -IpConfigurations $gwipconfig -GatewayType Vpn `
   -VpnType RouteBased -EnableBgp $false -GatewaySku VpnGw2 -VpnGatewayGeneration "Generation2" -VpnClientProtocol IkeV2,OpenVPN
   

2. Dopo aver creato il gateway, è possibile visualizzarlo usando l'esempio seguente.

   Get-AzVirtualNetworkGateway -Name VNet1GW -ResourceGroup TestRG1
   

Aggiungere il pool di indirizzi client VPN

Al termine della creazione del gateway VPN, è possibile aggiungere il pool di indirizzi del client VPN. Il pool di indirizzi client VPN è l'intervallo da cui i client VPN ricevono un indirizzo IP al momento della connessione. Usare un intervallo di indirizzi IP privati che non si sovrappone alla posizione locale da cui ci si connette o alla rete virtuale a cui si vuole connettersi.

1. Dichiarare le variabili seguenti:

   $VNetName  = "VNet1"
   $VPNClientAddressPool = "172.16.201.0/24"
   $RG = "TestRG1"
   $Location = "EastUS"
   $GWName = "VNet1GW"
   

2. Aggiungere il pool di indirizzi client VPN:

   $Gateway = Get-AzVirtualNetworkGateway -ResourceGroupName $RG -Name $GWName
   Set-AzVirtualNetworkGateway -VirtualNetworkGateway $Gateway -VpnClientAddressPool $VPNClientAddressPool
   

Generare i certificati

Importante

Non è possibile generare certificati usando Azure Cloud Shell. È necessario utilizzare uno dei metodi descritti in questa sezione. Se si vuole usare PowerShell, è necessario installarlo in locale.

I certificati vengono usati da Azure per autenticare i client VPN per vpn da sito a sito. È necessario caricare le informazioni della chiave pubblica del certificato radice in Azure. La chiave pubblica viene quindi considerata "attendibile". I certificati client devono essere generati dal certificato radice attendibile e quindi installati in ogni computer client nell'archivio certificati Certificati - Utente corrente/Personale. Il certificato viene usato per l'autenticazione del client all'avvio di una connessione alla rete virtuale.

Se usati, i certificati autofirmati devono essere creati con parametri specifici. È possibile creare un certificato autofirmato usando le istruzioni per PowerShell per i computer Windows che eseguono Windows 10 o versione successiva. Se non esegui Windows 10 o versioni successive, usa invece MakeCert .

È importante seguire i passaggi delle istruzioni quando si generano certificati radice autofirmati e certificati client. In caso contrario, i certificati generati non saranno compatibili con le connessioni da sito a sito e viene visualizzato un errore di connessione.

Certificato radice

1. Ottenere il file con estensione cer per il certificato radice. È possibile usare un certificato radice generato tramite una soluzione aziendale (scelta consigliata) oppure generare un certificato autofirmato. Dopo avere creato il certificato radice, esportare i dati del certificato pubblico, non la chiave privata, come file CER X.509 con codifica in base 64. Il file viene caricato in un secondo momento in Azure.

   • Certificato aziendale: se si usa una soluzione aziendale, è possibile usare la catena di certificati esistente. Acquisire il file con estensione cer per il certificato radice che si vuole usare.

   • Certificato radice autofirmato: se non si usa una soluzione di certificato aziendale, creare un certificato radice autofirmato. In caso contrario, i certificati creati non saranno compatibili con le connessioni da sito a sito e i client ricevono un errore di connessione quando tentano di connettersi. È possibile usare Azure PowerShell, MakeCert oppure OpenSSL. I passaggi negli articoli seguenti descrivono come generare un certificato radice autofirmato compatibile:

     • Istruzioni di PowerShell per Windows 10 o versioni successive: queste istruzioni richiedono PowerShell in un computer che esegue Windows 10 o versione successiva. I certificati client generati dal certificato radice possono essere installati in qualsiasi client da punto a sito supportato.
     • Istruzioni makeCert: usare MakeCert per generare certificati se non si ha accesso a un computer che esegue Windows 10 o versione successiva. Sebbene MakeCert sia deprecato, è comunque possibile usarlo per generare i certificati. I certificati client generati dal certificato radice possono essere installati in qualsiasi client da punto a sito supportato.
     • Linux - Istruzioni openSSL
     • Linux - Istruzioni strongSwan

2. Dopo aver creato il certificato radice, esportare i dati del certificato pubblico (non la chiave privata) come file X.509 con codifica Base64 .cer.

Certificato client

1. Ogni computer client connesso a una rete virtuale con una connessione da punto a sito deve avere un certificato client installato. Il certificato viene generato dal certificato radice e viene installato in ogni computer client. Se non si installa un certificato client valido, l'autenticazione avrà esito negativo quando il client prova a connettersi alla rete virtuale.

   È possibile generare un certificato univoco per ogni client oppure usare lo stesso certificato per più client. Generare certificati client univoci offre il vantaggio di poter revocare un singolo certificato. In caso contrario, se più client utilizzano lo stesso certificato client per l’autenticazione e questo viene revocato, è necessario generare e installare nuovi certificati per tutti i client che usano tale certificato.

   È possibile generare i certificati client usando i metodi seguenti:

   • Certificato aziendale:

     • Se si usa una soluzione aziendale per la creazione di certificati, generare un certificato client con il valore di nome comune nel formato name@yourdomain.com. Usare questo formato anziché il formato nome dominio\nome utente.

     • Verificare che il certificato client sia basato sul modello di certificato utente con Autenticazione client riportato come primo elemento nell'elenco d'uso. Controllare il certificato facendo doppio clic sul certificato client e aprendo Utilizzo chiavi avanzato nella scheda Dettagli.

   • Certificato radice autofirmato: seguire la procedura descritta in uno degli articoli seguenti sul certificato da punto a sito in modo che i certificati client creati siano compatibili con le connessioni da punto a sito.

     Se si genera un certificato client da un certificato radice autofirmato, viene eseguita l'installazione automatica nel computer usato per generarlo. Se si vuole installare un certificato client in un altro computer client, esportarlo come file con estensione .pfx, insieme all'intera catena di certificati. In questo modo, viene creato un file .pfx contenente le informazioni del certificato radice necessarie per l’autenticazione del client.

     I passaggi di questi articoli generano un certificato client compatibile, che è quindi possibile esportare e distribuire.

     • Istruzioni di PowerShell per Windows 10 o versioni successive: queste istruzioni richiedono Windows 10 o versione successiva e PowerShell per generare i certificati. I certificati generati possono essere installati in qualsiasi client con connessione da punto a sito supportato.

     • Istruzioni makeCert: usare MakeCert se non si ha accesso a un computer Windows 10 o versione successiva per la generazione di certificati. Sebbene MakeCert sia deprecato, è comunque possibile usarlo per generare i certificati. È possibile installare i certificati generati in qualsiasi client con connessione da punto a sito supportato.

     • Istruzioni per Linux.

2. Dopo aver creato il certificato client, esportarlo . Ogni computer client richiede un certificato client per connettersi ed eseguire l'autenticazione.

Caricare le informazioni sulla chiave pubblica del certificato radice

Verificare che la creazione del gateway VPN sia stata completata. In tal caso sarà possibile caricare il file CER, contenente le informazioni sulla chiave pubblica, per un certificato radice attendibile in Azure. Dopo aver caricato un file .cer, Azure può usarlo per autenticare i client che hanno installato un certificato client generato dal certificato radice attendibile. È possibile caricare fino a 20 file di certificato radice attendibile aggiuntivi in un secondo momento, se necessario.

Nota

Non è possibile caricare il file .cer usando Azure Cloud Shell. È possibile usare PowerShell in locale nel computer oppure usare i passaggi portale di Azure.

1. Dichiarare la variabile per il nome del certificato, sostituendo il valore con il proprio.

   $P2SRootCertName = "P2SRootCert.cer"
   

2. Sostituire il percorso file con il proprio e quindi eseguire i cmdlet.

   $filePathForCert = "C:\cert\P2SRootCert.cer"
   $cert = new-object System.Security.Cryptography.X509Certificates.X509Certificate2($filePathForCert)
   $CertBase64 = [system.convert]::ToBase64String($cert.RawData)
   

3. Caricare le informazioni sulla chiave pubblica in Azure. Dopo aver caricato le informazioni sul certificato, Azure lo considera un certificato radice attendibile. Durante il caricamento, assicurarsi di eseguire PowerShell in locale nel computer o, in alternativa, è possibile usare i passaggi portale di Azure. Al termine del caricamento, verrà visualizzato un valore di PowerShell che mostra PublicCertData. Il completamento del processo di caricamento del certificato richiede circa 10 minuti.

   Add-AzVpnClientRootCertificate -VpnClientRootCertificateName $P2SRootCertName -VirtualNetworkGatewayname "VNet1GW" -ResourceGroupName "TestRG1" -PublicCertData $CertBase64
   

Installare un certificato client esportato

La procedura seguente consente di eseguire l'installazione in un client Windows. Per altri client e altre informazioni, vedere Installare un certificato client.

1. Dopo l'esportazione del certificato client, individuare e copiare il file pfx nel computer client.
2. Nel computer client, fare doppio clic sul file .pfx per installarlo. Lasciare l'opzione Store Location (Posizione archivio) come Utente corrente e quindi selezionare Avanti.
3. Nella pagina File da importare non apportare alcuna modifica. Selezionare Avanti.
4. Nella pagina Protezione chiave privata immettere la password per il certificato o verificare che l'entità di sicurezza sia corretta, quindi selezionare Avanti.
5. Nella pagina Archivio certificati lasciare il percorso predefinito e quindi selezionare Avanti.
6. Selezionare Fine. Nell'avviso di sicurezza per l'installazione del certificato selezionare Sì. È possibile selezionare comodamente "Sì" per questo avviso di sicurezza perché è stato generato il certificato.
7. Il certificato è stato importato correttamente.

Verificare che il certificato client sia stato esportato come PFX con l'intera catena di certificati (impostazione predefinita). In caso contrario, le informazioni del certificato radice non sono presenti nel computer client e il client non potrà essere autenticato correttamente.

Configurare i client VPN e connettersi ad Azure

Ogni client VPN viene configurato usando i file in un pacchetto di configurazione del profilo client VPN generato e scaricato. Il pacchetto di configurazione contiene impostazioni specifiche del gateway VPN creato. Se si apportano modifiche al gateway, ad esempio modificando un tipo di tunnel, un certificato o un tipo di autenticazione, è necessario generare un altro pacchetto di configurazione del profilo client VPN e installarlo in ogni client. In caso contrario, i client VPN potrebbero non essere in grado di connettersi.

Per la procedura per generare un pacchetto di configurazione del profilo client VPN, configurare i client VPN e connettersi ad Azure, vedere gli articoli seguenti:

• Windows
• macOS-iOS
• Linux

Per verificare una connessione

Queste istruzioni si applicano ai client Windows.

1. Per verificare che la connessione VPN è attiva, aprire un prompt dei comandi con privilegi elevati ed eseguire ipconfig/all.

2. Visualizzare i risultati. Si noti che l'indirizzo IP ricevuto è uno degli indirizzi all'interno del pool di indirizzi client VPN da sito a sito specificato nella configurazione. I risultati sono simili a questo esempio:

   PPP adapter VNet1:
      Connection-specific DNS Suffix .:
      Description.....................: VNet1
      Physical Address................:
      DHCP Enabled....................: No
      Autoconfiguration Enabled.......: Yes
      IPv4 Address....................: 172.16.201.13(Preferred)
      Subnet Mask.....................: 255.255.255.255
      Default Gateway.................:
      NetBIOS over Tcpip..............: Enabled
   

Per connettersi a una macchina virtuale

Queste istruzioni si applicano ai client Windows.

È possibile connettersi a una macchina virtuale distribuita nella rete virtuale creando un Connessione Desktop remoto nella macchina virtuale. Il modo migliore per verificare inizialmente che è possibile connettersi alla VM consiste nel connettersi usando il rispettivo indirizzo IP privato, invece del nome del computer. Ciò consente di verificare se è possibile connettersi, non se la risoluzione dei nomi è configurata correttamente.

1. Individuare l'indirizzo IP privato. È possibile trovare l'indirizzo IP privato di una macchina virtuale esaminando le proprietà della macchina virtuale nel portale di Azure o usando PowerShell.

   • portale di Azure: individuare la macchina virtuale nel portale di Azure. Visualizzare le proprietà per la VM. Viene elencato l'indirizzo IP.

   • PowerShell: usare l'esempio per visualizzare un elenco di macchine virtuali e indirizzi IP privati dai gruppi di risorse. Non è necessario modificare questo esempio prima di usarlo.

     $VMs = Get-AzVM
     $Nics = Get-AzNetworkInterface | Where-Object VirtualMachine -ne $null
     
     foreach ($Nic in $Nics) {
     $VM = $VMs | Where-Object -Property Id -eq $Nic.VirtualMachine.Id
     $Prv = $Nic.IpConfigurations | Select-Object -ExpandProperty PrivateIpAddress
     $Alloc = $Nic.IpConfigurations | Select-Object -ExpandProperty PrivateIpAllocationMethod
     Write-Output "$($VM.Name): $Prv,$Alloc"
     }
     

2. Verificare di essere connessi alla rete virtuale.

3. Aprire Remote Desktop Connessione ion immettendo RDP o Remote Desktop Connessione ion nella casella di ricerca sulla barra delle applicazioni. Selezionare quindi Desktop remoto Connessione ion. È anche possibile aprire Connessione Desktop remoto usando il mstsc comando in PowerShell.

4. In Connessione Desktop remoto immettere l'indirizzo IP privato della macchina virtuale. È possibile selezionare Mostra opzioni per modificare altre impostazioni e quindi connettersi.

Se si verificano problemi di connessione a una macchina virtuale tramite la connessione VPN, verificare i punti seguenti:

• Verificare che la connessione VPN sia attiva.
• Verificare che venga effettuata la connessione all'indirizzo IP privato per la macchina virtuale.
• Se è possibile connettersi alla macchina virtuale usando l'indirizzo IP privato ma non il nome del computer, verificare di aver configurato il DNS correttamente. Per altre informazioni sul funzionamento della risoluzione dei nomi per le macchine virtuali, vedere Risoluzione dei nomi per le macchine virtuali.

Per altre informazioni sulle connessioni RDP, vedere Risolvere i problemi delle connessioni Desktop remoto a una macchina virtuale.

• Verificare che il pacchetto di configurazione del client VPN sia stato generato dopo che sono stati specificati gli indirizzi IP del server DNS per la rete virtuale. Se gli indirizzi IP del server DNS sono stati aggiornati, generare e installare un nuovo pacchetto di configurazione del client VPN.

• Usare "ipconfig" per controllare l'indirizzo IPv4 assegnato alla scheda Ethernet nel computer da cui ci si connette. Se l'indirizzo IP si trova all'interno dell'intervallo di indirizzi della rete virtuale a cui ci si connette o all'interno dell'intervallo di indirizzi di VPNClientAddressPool, questo viene definito spazio indirizzi sovrapposto. Con questo tipo di sovrapposizione, il traffico di rete non raggiunge Azure e rimane nella rete locale.

Per aggiungere o rimuovere un certificato radice

È possibile aggiungere e rimuovere certificati radice attendibili da Azure. Quando si rimuove un certificato radice, i client con un certificato generato da tale certificato radice non possono eseguire l'autenticazione e non potranno connettersi. Per consentire ai client di eseguire l'autenticazione e connettersi, è necessario installare un nuovo certificato client generato da un certificato radice considerato attendibile (caricato) in Azure. Questi passaggi richiedono i cmdlet di Azure PowerShell installati localmente nel computer (non Azure Cloud Shell). È anche possibile usare il portale di Azure per aggiungere certificati radice.

Per aggiungere:

In Azure è possibile aggiungere fino a 20 file CER di certificato radice. La procedura seguente consente di aggiungere un certificato radice.

1. Preparare il file CER da caricare:

   $filePathForCert = "C:\cert\P2SRootCert3.cer"
   $cert = new-object System.Security.Cryptography.X509Certificates.X509Certificate2($filePathForCert)
   $CertBase64_3 = [system.convert]::ToBase64String($cert.RawData)
   

2. Carica il file . È possibile caricare un solo file alla volta.

   Add-AzVpnClientRootCertificate -VpnClientRootCertificateName $P2SRootCertName -VirtualNetworkGatewayname "VNet1GW" -ResourceGroupName "TestRG1" -PublicCertData $CertBase64_3
   

3. Per verificare che il file del certificato sia stato caricato:

   Get-AzVpnClientRootCertificate -ResourceGroupName "TestRG1" `
   -VirtualNetworkGatewayName "VNet1GW"
   

Per rimuovere:

1. Dichiarare le variabili. Modificare le variabili nell'esempio in modo che corrispondano al certificato da rimuovere.

   $GWName = "Name_of_virtual_network_gateway"
   $RG = "Name_of_resource_group"
   $P2SRootCertName2 = "ARMP2SRootCert2.cer"
   $MyP2SCertPubKeyBase64_2 = "MIIC/zCCAeugAwIBAgIQKazxzFjMkp9JRiX+tkTfSzAJBgUrDgMCHQUAMBgxFjAUBgNVBAMTDU15UDJTUm9vdENlcnQwHhcNMTUxMjE5MDI1MTIxWhcNMzkxMjMxMjM1OTU5WjAYMRYwFAYDVQQDEw1NeVAyU1Jvb3RDZXJ0MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAyjIXoWy8xE/GF1OSIvUaA0bxBjZ1PJfcXkMWsHPzvhWc2esOKrVQtgFgDz4ggAnOUFEkFaszjiHdnXv3mjzE2SpmAVIZPf2/yPWqkoHwkmrp6BpOvNVOpKxaGPOuK8+dql1xcL0eCkt69g4lxy0FGRFkBcSIgVTViS9wjuuS7LPo5+OXgyFkAY3pSDiMzQCkRGNFgw5WGMHRDAiruDQF1ciLNojAQCsDdLnI3pDYsvRW73HZEhmOqRRnJQe6VekvBYKLvnKaxUTKhFIYwuymHBB96nMFdRUKCZIiWRIy8Hc8+sQEsAML2EItAjQv4+fqgYiFdSWqnQCPf/7IZbotgQIDAQABo00wSzBJBgNVHQEEQjBAgBAkuVrWvFsCJAdK5pb/eoCNoRowGDEWMBQGA1UEAxMNTXlQMlNSb290Q2VydIIQKazxzFjMkp9JRiX+tkTfSzAJBgUrDgMCHQUAA4IBAQA223veAZEIar9N12ubNH2+HwZASNzDVNqspkPKD97TXfKHlPlIcS43TaYkTz38eVrwI6E0yDk4jAuPaKnPuPYFRj9w540SvY6PdOUwDoEqpIcAVp+b4VYwxPL6oyEQ8wnOYuoAK1hhh20lCbo8h9mMy9ofU+RP6HJ7lTqupLfXdID/XevI8tW6Dm+C/wCeV3EmIlO9KUoblD/e24zlo3YzOtbyXwTIh34T0fO/zQvUuBqZMcIPfM1cDvqcqiEFLWvWKoAnxbzckye2uk1gHO52d8AVL3mGiX8wBJkjc/pMdxrEvvCzJkltBmqxTM6XjDJALuVh16qFlqgTWCIcb7ju"
   

2. Rimuovere il certificato.

   Remove-AzVpnClientRootCertificate -VpnClientRootCertificateName $P2SRootCertName2 -VirtualNetworkGatewayName $GWName -ResourceGroupName $RG -PublicCertData $MyP2SCertPubKeyBase64_2
   

3. Usare l'esempio seguente per verificare che il certificato sia stato rimosso correttamente.

   Get-AzVpnClientRootCertificate -ResourceGroupName "TestRG1" `
   -VirtualNetworkGatewayName "VNet1GW"
   

Per revocare o ripristinare un certificato client

È possibile revocare i certificati client. L'elenco di revoche di certificati consente di negare in modo selettivo la connettività da punto a sito in base ai singoli certificati client. Questa operazione è diversa rispetto alla rimozione di un certificato radice attendibile. Se si rimuove un file con estensione cer del certificato radice attendibile da Azure, viene revocato l'accesso per tutti i certificati client generati o firmati dal certificato radice revocato. La revoca di un certificato client, anziché del certificato radice, consente di continuare a usare gli altri certificati generati dal certificato radice per l'autenticazione.

La regola generale è quella di usare il certificato radice per gestire l'accesso a livello di team o organizzazione, usando i certificati client revocati per il controllo di accesso con granularità fine su singoli utenti.

Per revocare:

1. Ottenere l'identificazione personale del certificato client. Per altre informazioni, vedere Procedura: recuperare l'identificazione personale di un certificato.

2. Copiare le informazioni in un editor di testo e rimuovere tutti gli spazi in modo che si tratti di una stringa continua. Questa stringa viene dichiarata come variabile nel passaggio successivo.

3. Dichiarare le variabili. Assicurarsi di dichiarare l'identificazione personale ottenuta nel passaggio precedente.

   $RevokedClientCert1 = "NameofCertificate"
   $RevokedThumbprint1 = "‎51ab1edd8da4cfed77e20061c5eb6d2ef2f778c7"
   $GWName = "Name_of_virtual_network_gateway"
   $RG = "Name_of_resource_group"
   

4. Aggiungere l'identificazione personale all'elenco dei certificati revocati. Viene visualizzato il messaggio "Operazione completata" quando l'identificazione personale è stata aggiunta.

   Add-AzVpnClientRevokedCertificate -VpnClientRevokedCertificateName $RevokedClientCert1 `
   -VirtualNetworkGatewayName $GWName -ResourceGroupName $RG `
   -Thumbprint $RevokedThumbprint1
   

5. Verificare che l'identificazione personale sia stata aggiunta all'elenco di revoche di certificati.

   Get-AzVpnClientRevokedCertificate -VirtualNetworkGatewayName $GWName -ResourceGroupName $RG
   

6. Dopo aver aggiunto l'identificazione personale, il certificato non può più essere usato per la connessione. Ai client che provano a connettersi con questo certificato verrà visualizzato un messaggio che informa che il certificato non è più valido.

Per ripristinare:

È possibile reintegrare un certificato client rimuovendo l'identificazione personale dall'elenco dei certificati client revocati.

1. Dichiarare le variabili. Assicurarsi di dichiarare l'identificazione personale corretta per il certificato che si vuole reintegrare.

   $RevokedClientCert1 = "NameofCertificate"
   $RevokedThumbprint1 = "‎51ab1edd8da4cfed77e20061c5eb6d2ef2f778c7"
   $GWName = "Name_of_virtual_network_gateway"
   $RG = "Name_of_resource_group"
   

2. Rimuovere l'identificazione personale del certificato dall'elenco di revoche di certificati.

   Remove-AzVpnClientRevokedCertificate -VpnClientRevokedCertificateName $RevokedClientCert1 `
   -VirtualNetworkGatewayName $GWName -ResourceGroupName $RG -Thumbprint $RevokedThumbprint1
   

3. Verificare che l'identificazione personale sia stata rimossa dall'elenco di quelle revocate.

   Get-AzVpnClientRevokedCertificate -VirtualNetworkGatewayName $GWName -ResourceGroupName $RG
   

Domande frequenti su P2S

Per altre informazioni sul P2S, vedere le domande frequenti Gateway VPN P2S

Passaggi successivi

Dopo aver completato la connessione, è possibile aggiungere macchine virtuali alle reti virtuali. Per altre informazioni, vedere Macchine virtuali. Per altre informazioni sulla rete e sulle macchine virtuali, vedere Panoramica di rete delle macchine virtuali Linux e Azure.

Per informazioni sulla risoluzione dei problemi da sito a sito, risoluzione dei problemi di connessione da sito a sito di Azure.