ポイント対サイト VPN クライアントの構成ワークフロー: 証明書認証 - Windows
この記事では、証明書認証を使用するポイント対サイト (P2S) 仮想ネットワーク接続用の VPN クライアントを構成するためのワークフローと手順について説明します。 これらの手順は、VPN Gateway ポイント対ポイント サーバー設定を構成した以前の記事の続きです。 この記事では、クライアント構成ファイルを生成し、認証に使用する必要なクライアント証明書をインストールします。
開始する前に
この記事では、VPN Gateway を既に作成しており、P2S 証明書の認証用に構成していることを前提としています。 P2S VPN Gateway 接続用にサーバー設定を構成する - 証明書認証の手順を参照してください。
ワークフローを開始する前に、正しい記事が表示されていることを確認します。 次の表は、Azure VPN Gateway P2S VPN クライアントで使用できる構成記事を示しています。 手順は、認証の種類、トンネルの種類、クライアント OS によって異なります。
認証 | トンネルの種類 | 構成ファイルを生成する | VPN クライアントを構成する |
---|---|---|---|
Azure 証明書 | IKEv2、SSTP | Windows | ネイティブ VPN クライアント |
Azure 証明書 | OpenVPN | Windows | - OpenVPN クライアント - Azure VPN クライアント |
Azure 証明書 | IKEv2、OpenVPN | macOS-iOS | macOS-iOS |
Azure 証明書 | IKEv2、OpenVPN | Linux | Linux |
Microsoft Entra ID | OpenVPN (SSL) | Windows | Windows |
Microsoft Entra ID | OpenVPN (SSL) | macOS | macOS |
RADIUS - 証明書 | - | 記事 | 記事 |
RADIUS - パスワード | - | 記事 | 記事 |
RADIUS - その他の方法 | - | 記事 | 記事 |
Workflow
この記事では、次の VPN クライアント構成ファイルとクライアント証明書の生成を開始します。
VPN クライアントを構成します。 VPN クライアントの構成に使用する手順は、P2S VPN Gateway のトンネルの種類やクライアント コンピューター上の VPN クライアントによって異なります。 特定のトンネルと対応するクライアントの構成記事へのリンクが提供されます。
- IKEv2 と SSTP - ネイティブ VPN クライアント - P2S VPN Gateway で IKEv2/SSTP と証明書の認証を使用するように構成されている場合、Windows オペレーティング システムの一部であるネイティブ VPN クライアントを使って VNet に接続します。 この構成では、追加のクライアント ソフトウェアは必要ありません。 手順については、「IKEv2 と SSTP - ネイティブ VPN クライアント」を参照してください。
- OpenVPN - Azure VPN クライアントと OpenVPN クライアント - P2S VPN ゲートウェイが OpenVPN トンネルと証明書認証を使うように構成されている場合、Azure VPN クライアントまたは OpenVPN クライアントのいずれかを使って接続するオプションがあります。
1.VPN クライアント構成ファイルの生成
VPN クライアントに必要なすべての構成設定は、VPN クライアント プロファイル構成 zip ファイルに含まれています。 PowerShell または Azure portal を使用して、クライアント プロファイル構成ファイルを生成できます。 どちらの方法でも、同じ zip ファイルが返されます。
生成する VPN クライアント プロファイル構成ファイルは、VNet の P2S VPN ゲートウェイ構成に固有です。 ファイルを生成した後に、P2S VPN 構成に変更があった場合は (VPN プロトコルの種類や認証の種類の変更など)、新しい VPN クライアント プロファイル構成ファイルを生成し、接続するすべての VPN クライアントに新しい構成を適用する必要があります。 P2S 接続の詳細については、「ポイント対サイト VPN について」を参照してください。
PowerShell
VPN クライアント構成ファイルを生成する際、"-AuthenticationMethod" の値は "EapTls" です。 次のコマンドを使用して、VPN クライアント構成ファイルを生成します。
$profile=New-AzVpnClientConfiguration -ResourceGroupName "TestRG" -Name "VNet1GW" -AuthenticationMethod "EapTls"
$profile.VPNProfileSASUrl
URL をブラウザーにコピーして、ZIP ファイルをダウンロードします。
Azure portal
Azure portal で、接続する仮想ネットワークの仮想ネットワーク ゲートウェイに移動します。
仮想ネットワーク ゲートウェイ ページで、 [ポイント対サイトの構成] を選択して、[ポイント対サイトの構成] ページを開きます。
[ポイント対サイトの構成] ページの上部で [VPN クライアントのダウンロード] を選択します。 これにより、VPN クライアント ソフトウェアがダウンロードされるのではなく、VPN クライアントの構成に使用される構成パッケージが生成されます。 クライアント構成パッケージが生成されるまでに数分かかります。 この間、パケットが生成されるまで、何も表示されない場合があります。
構成パッケージが生成されると、クライアント構成 ZIP ファイルが使用可能であることがブラウザーに示されます。 ファイルにはゲートウェイと同じ名前が付けられています。
そのファイルを解凍して、フォルダーを表示します。 これらのファイルの一部またはすべてを使用して、VPN クライアントを構成します。 生成されるファイルは、P2S サーバー上に構成した認証とトンネルの種類の設定に対応します。
2. クライアント証明書を生成する
証明書認証の場合は、1 つのクライアント証明書を各クライアント コンピューターにインストールする必要があります。 使用するクライアント証明書は秘密キーを含めてエクスポートし、証明書パスにすべての証明書が含まれている必要があります。 さらに、一部の構成では、ルート証明書情報もインストールする必要があります。
多くの場合、クライアント証明書をダブルクリックして、クライアント コンピューターに直接インストールできます。 ただし、特定の OpenVPN クライアント構成では、構成を完了するためにクライアント証明書から情報を抽出することが必要な場合があります。
- 証明書の操作の詳細については、ポイント対サイトの証明書生成に関するページを参照してください。
- インストールされたクライアント証明書を表示するには、[ユーザー証明書の管理] を開きます。 クライアント証明書は、現在のユーザー\Personal\Certificates にインストールされます。
3. VPN クライアントを構成する
次に、VPN クライアントを構成します。 次の手順から選択します。
Tunnel | VPN client |
---|---|
IKEv2 と SSTP | ネイティブ VPN クライアントの手順 |
OpenVPN | Azure VPN クライアントの手順 |
OpenVPN | OpenVPN クライアントの手順 |
次のステップ
追加の手順については、作業元の P2S に関する記事に戻ります。