ポイント対サイト VPN クライアントの構成 - 証明書認証 - Windows

ポイント対サイト (P2S) と証明書認証を使用して Azure 仮想ネットワーク (VNet) に接続する場合は、接続元のオペレーティング システムに元々インストールされている VPN クライアントを使用します。 トンネルの種類 OpenVPN を使用する場合は、Azure VPN クライアントまたは OpenVPN クライアント ソフトウェアを使用することもできます。 VPN クライアントに必要なすべての構成設定は、VPN クライアント構成 ZIP ファイルに含まれています。 ZIP ファイル内の設定を使用することで、VPN クライアント Windows を簡単に構成できます。

生成する VPN クライアント構成ファイルは、VNet の P2S VPN ゲートウェイ構成に固有です。 ファイルを生成した後に、P2S VPN 構成に変更があった場合は (VPN プロトコルの種類や認証の種類の変更など)、新しい VPN クライアント構成ファイルを生成し、接続するすべての VPN クライアントに新しい構成を適用する必要があります。 P2S 接続の詳細については、「ポイント対サイト VPN について」を参照してください。

開始する前に

開始する前に、正しい記事が表示されていることを確認します。 次の表は、Azure VPN Gateway P2S VPN クライアントで使用できる構成記事を示しています。 手順は、認証の種類、トンネルの種類、クライアント OS によって異なります。

認証 トンネルの種類 HowTo 記事
Azure 証明書 IKEv2、OpenVPN、SSTP Windows クライアント
Azure 証明書 IKEv2、OpenVPN macOS-iOS クライアント
Azure 証明書 IKEv2、OpenVPN Linux クライアント
Azure AD OpenVPN (SSL) Windows クライアント
Azure AD OpenVPN (SSL) macOS クライアント
RADIUS - 証明書 - 記事
RADIUS - パスワード - 記事
RADIUS - その他の方法 - 記事

重要

2018 年 7 月 1 日以降、Azure VPN Gateway では TLS 1.0 および 1.1 のサポートが終了します。 VPN Gateway では、TLS 1.2 のみがサポートされるようになります。 影響を受けるのはポイント対サイト接続のみであり、サイト対サイト接続には影響ありません。 Windows 10 以降のクライアント上でポイント対サイト VPN に対して TLS を使用する場合、特に何も行う必要はありません。 Windows 7 および Windows 8 クライアント上でポイント対サイト接続に対して TLS を使用する場合、更新手順については「VPN Gateway に関する FAQ」を参照してください。

1. 証明書をインストールする

Azure 証明書の認証タイプを使用する場合、認証にはクライアント証明書が必要です。 クライアント証明書は、各クライアント コンピューターにインストールする必要があります。 エクスポートするクライアント証明書は秘密キーを含めてエクスポートし、証明書パスにすべての証明書が含まれている必要があります。

  • クライアント証明書については、ポイント対サイトの証明書生成に関するページを参照してください。
  • インストールされたクライアント証明書を表示するには、[ユーザー証明書の管理] を開きます。 クライアント証明書は、現在のユーザー\Personal\Certificates にインストールされます。

2. VPN クライアント構成ファイルの生成

PowerShell または Azure portal を使用して、VPN クライアント プロファイル構成ファイルを生成できます。 どちらの方法でも、同じ zip ファイルが返されます。

Azure Portal を使用してルールを生成する

  1. Azure portal で、接続する VNet の仮想ネットワーク ゲートウェイに移動します。

  2. 仮想ネットワーク ゲートウェイ ページで、 [ポイント対サイトの構成] を選択して、[ポイント対サイトの構成] ページを開きます。

  3. [ポイント対サイトの構成] ページの上部で [VPN クライアントのダウンロード] を選択します。 これにより、VPN クライアント ソフトウェアがダウンロードされるのではなく、VPN クライアントの構成に使用される構成パッケージが生成されます。 クライアント構成パッケージが生成されるまでに数分かかります。 この期間中は、パケットが生成されるまで、何も表示されない場合があります。

    VPN クライアント構成のダウンロード。

  4. 構成パッケージが生成されると、クライアント構成 ZIP ファイルが使用可能であることがブラウザーに示されます。 ファイルにはゲートウェイと同じ名前が付けられています。 ZIP ファイルに含まれるフォルダーとファイルは、P2S 構成の作成時に選択した設定によって異なります。

  5. 次の手順では、P2S の構成に応じて、次のいずれかのセクションに移動します。

PowerShell を使用してファイルを生成する

  1. VPN クライアント構成ファイルを生成する際、"-AuthenticationMethod" の値は "EapTls" です。 次のコマンドを使用して、VPN クライアント構成ファイルを生成します。

    $profile=New-AzVpnClientConfiguration -ResourceGroupName "TestRG" -Name "VNet1GW" -AuthenticationMethod "EapTls"
    
    $profile.VPNProfileSASUrl
    
  2. URL をブラウザーにコピーして、ZIP ファイルをダウンロードします。 ZIP ファイルに含まれるフォルダーとファイルは、P2S 構成の作成時に選択した設定によって異なります。

  3. 次の手順では、P2S の構成に応じて、次のいずれかのセクションに移動します。

IKEv2 と SSTP - ネイティブ VPN クライアントの手順

このセクションは、Windows コンピューター上のネイティブ VPN クライアントを構成して VNet に接続する場合に役立ちます。 この構成では、追加のクライアント ソフトウェアは必要ありません。

構成ファイルを表示する

構成ファイルを解凍して、次のフォルダーを表示します。

  • WindowsAmd64 および WindowsX86。Windows の 64 ビットと 32 ビットのインストーラー パッケージがそれぞれに含まれています。 WindowsAmd64 インストーラー パッケージは、Amd だけでなく、サポートされている 64 ビットの Windows クライアントを対象としています。
  • Generic。これには、独自の VPN クライアント構成の作成に使用される全般的な情報が含まれています。 Generic フォルダーが提供されるのは、IKEv2 または SSTP+IKEv2 がゲートウェイ上で構成された場合です。 構成されているのが SSTP のみの場合、Generic フォルダーは存在しません。

VPN クライアント プロファイルを構成する

バージョンがクライアントのアーキテクチャと一致する限り、各 Windows クライアント コンピューターで同じ VPN クライアント構成パッケージを使用できます。 サポートされているクライアント オペレーティング システムの一覧については、「VPN Gateway に関する FAQ」のポイント対サイトに関するセクションを参照してください。

Note

接続元の Windows クライアント コンピューターの管理者権限が必要です。

  1. Windows コンピューターのアーキテクチャに対応する VPN クライアント構成ファイルを選択します。 64 ビットのプロセッサ アーキテクチャの場合は、"VpnClientSetupAmd64" インストーラー パッケージを選択します。 32 ビットのプロセッサ アーキテクチャの場合は、"VpnClientSetupX86" インストーラー パッケージを選択します。

  2. パッケージをダブルクリックしてインストールします。 SmartScreen ポップアップが表示された場合は、 [詳細][実行] の順にクリックしてください。

OpenVPN - Azure VPN クライアントの手順

このセクションは、OpenVPN トンネルの種類を使用するように構成された証明書認証の構成に適用されます。 次の手順は、Azure VPN クライアントをダウンロード、インストール、および構成して VNet に接続するために役立ちます。 VNet に接続するには、各クライアントに次の項目が必要です。

  • Azure VPN クライアント ソフトウェアがインストールされています。
  • ダウンロードした azurevpnconfig.xml 構成ファイルを使用して Azure VPN クライアント プロファイルを構成しています。
  • クライアント証明書がローカルにインストールされています。

構成ファイルを表示する

ZIP ファイルを開くと、AzureVPN フォルダーが表示されます。 azurevpnconfig.xml ファイルを見つけます。 このファイルには、VPN クライアント プロファイルの構成に使用する設定が含まれています。 ファイルが表示されない場合は、次の項目を確認します。

  • OpenVPN トンネルの種類を使用するように VPN ゲートウェイが構成されていることを確認します。
  • Azure AD 認証を使用している場合は、AzureVPN フォルダーがない可能性があります。 代わりに、Azure AD 構成に関する記事を参照してください。

Azure VPN クライアントをダウンロードする

  1. 次のいずれかのリンクを使用して、最新バージョンの Azure VPN クライアント インストール ファイルをダウンロードします。

    • クライアント インストール ファイルを使用してインストールする: https://aka.ms/azvpnclientdownload
    • クライアント コンピューターにサインインしたときに直接インストールする: Microsoft Store
  2. Azure VPN クライアントを各コンピューターにインストールします。

  3. Azure VPN クライアントにバックグラウンドで実行するためのアクセス許可があることを確認してください。 手順については、Windows バックグラウンド アプリに関するページを参照してください。

  4. インストールされているクライアントのバージョンを確認するには、Azure VPN クライアントを開きます。 クライアントの下部に移動し、[...] -> [? ヘルプ] をクリックします。 右側のウィンドウで、クライアントのバージョン番号を確認できます。

VPN クライアント プロファイルを構成する

  1. Azure VPN クライアントを開きます。

  2. ページの左下の + をクリックし、[インポート] を選択します。

  3. ウィンドウで、azurevpnconfig.xml ファイルに移動して選択し、[開く] をクリックします。

  4. [証明書情報] ドロップダウンから、子証明書 (クライアント証明書) の名前を選択します。 たとえば、P2SChildCert です。

    Azure VPN クライアント プロファイルの構成ページを示すスクリーンショット。

    [証明書情報] ドロップダウンにクライアント証明書が表示されない場合は、プロファイル構成のインポートを取り消し、問題を解決してから続行する必要があります。 次のいずれかが当てはまる可能性があります。

    • クライアント証明書がクライアント コンピューターのローカルにインストールされていません。
    • ローカル コンピューターにまったく同じ名前の複数の証明書がインストールされています (テスト環境によく見られます)。
    • 子証明書が壊れています。
  5. インポートが検証 (エラーなしでインポート) されたら、[保存] をクリックします。

  6. 左側のウィンドウで [VPN 接続] を探し、[接続] をクリックします。

OpenVPN - OpenVPN クライアントの手順

このセクションは、OpenVPN トンネルの種類を使用するように構成された証明書認証の構成に適用されます。 次の手順は、OpenVPN ® プロトコル クライアントを構成して VNet に接続するために役立ちます。

構成ファイルを表示する

ZIP ファイルを開くと、OpenVPN フォルダーが表示されます。 フォルダーが表示されない場合は、次の項目を確認します。

  • OpenVPN トンネルの種類を使用するように VPN ゲートウェイが構成されていることを確認します。
  • Azure AD 認証を使用している場合は、OpenVPN フォルダーがない可能性があります。 代わりに、Azure AD 構成に関する記事を参照してください。
  1. 公式の OpenVPN Web サイトから OpenVPN クライアント (バージョン 2.4 以降) をダウンロードしてインストールします。

  2. VPN クライアント プロファイル パッケージを Azure portal からダウンロードするか、PowerShell で "New-AzVpnClientConfiguration" コマンドレットを使用します。

  3. プロファイルを展開します。 次に、メモ帳を使って OpenVPN フォルダーの vpnconfig.ovpn 構成ファイルを開きます。

  4. 作成してアップロードしたポイント対サイト クライアント証明書をエクスポートします。 この記事のこのセクションの手順の多くは、VPN Gateway と Virtual WAN の両方の構成に適用できますが、この手順の操作は異なります。 お使いの環境に該当するリンクを使用してください。

  5. .pfx から秘密キーと base64 のサムプリントを抽出します。 これを行うには複数の方法があります。 1 つの方法として、コンピューター上で OpenSSL を使用します。 profileinfo.txt ファイルには、CA およびクライアント証明書の秘密キーとサムプリントが含まれています。 必ず、クライアント証明書のサムプリントを使用してください。

    openssl pkcs12 -in "filename.pfx" -nodes -out "profileinfo.txt"
    
  6. 手順 3 からメモ帳で開いている vpnconfig.ovpn ファイルに切り替えます。 以下の例のように、$CLIENT_CERTIFICATE$INTERMEDIATE_CERTIFICATE$ROOT_CERTIFICATE の値を取得して、<cert> から </cert> までのセクションを入力します。

       # P2S client certificate
       # please fill this field with a PEM formatted cert
       <cert>
       $CLIENT_CERTIFICATE
       $INTERMEDIATE_CERTIFICATE (optional)
       $ROOT_CERTIFICATE
       </cert>
    
    • 前の手順の profileinfo.txt をメモ帳で開きます。 それぞれの証明書は、subject= 行を見て識別できます。 たとえば、子の証明書が P2SChildCert という名称である場合、subject=CN = P2SChildCert 属性の後にあるのがクライアント証明書です。
    • チェーンの証明書ごとに、"-----BEGIN CERTIFICATE-----" から "-----END CERTIFICATE-----" までのテキスト (これらの文字列を含む) をコピーします。
    • $INTERMEDIATE_CERTIFICATE 値を含めるのは、profileinfo.txt ファイルに中間証明書がある場合のみです。
  7. メモ帳で profileinfo.txt を開きます。 秘密キーを取得するには、"-----BEGIN PRIVATE KEY-----" および "-----END PRIVATE KEY-----" (とその間の) テキストを選択してコピーします。

  8. メモ帳の vpnconfig.ovpn ファイルに戻って、このセクションを見つけます。 秘密キーを貼り付けて、<key></key> の間をすべて置き換えます。

    # P2S client root certificate private key
    # please fill this field with a PEM formatted key
    <key>
    $PRIVATEKEY
    </key>
    
  9. その他のフィールドは変更しないでください。 クライアント入力に入力された構成を使用して VPN に接続します。

  10. vpnconfig.ovpn ファイルを C:\Program Files\OpenVPN\config フォルダーにコピーします。

  11. システム トレイの OpenVPN アイコンを右クリックし、[接続] をクリックします。

接続する

接続するには、作業元の記事に戻り、Azure に接続するを参照してください。

次のステップ

追加の手順については、作業元のポイント対サイトの記事に戻ります。