ネイティブ Azure 証明書認証の P2S 構成のための VPN クライアント構成ファイルを作成およびインストールするCreate and install VPN client configuration files for native Azure certificate authentication P2S configurations

VPN クライアント構成ファイルは、ZIP ファイルに含まれています。VPN client configuration files are contained in a zip file. 構成ファイルでは、Windows、Mac IKEv2 VPN、Linux のネイティブ クライアントが、ネイティブ Azure 証明書認証を使用するポイント対サイト接続を介して VNet に接続するために必要な設定を提供します。Configuration files provide the settings required for a native Windows, Mac IKEv2 VPN, or Linux clients to connect to a VNet over Point-to-Site connections that use native Azure certificate authentication.

クライアント構成ファイルは、VNet の VPN 構成に固有です。Client configuration files are specific to the VPN configuration for the VNet. VPN プロトコルの種類や認証の種類など、VPN クライアント構成ファイルの生成後にポイント対サイト VPN 構成に対する変更があった場合は、ユーザー デバイス用に新しい VPN クライアント構成ファイルを生成してください。If there are any changes to the Point-to-Site VPN configuration after you generate the VPN client configuration files, such as the VPN protocol type or authentication type, be sure to generate new VPN client configuration files for your user devices.

重要

2018 年 7 月 1 日以降、Azure VPN Gateway では TLS 1.0 および 1.1 のサポートが終了します。Starting July 1, 2018, support is being removed for TLS 1.0 and 1.1 from Azure VPN Gateway. VPN Gateway では、TLS 1.2 のみがサポートされるようになります。VPN Gateway will support only TLS 1.2. 影響を受けるのはポイント対サイト接続のみであり、サイト対サイト接続には影響ありません。Only point-to-site connections are impacted; site-to-site connections will not be affected. Windows 10 クライアント上でポイント対サイト VPN に対して TLS を使用する場合、特に何も行う必要はありません。If you’re using TLS for point-to-site VPNs on Windows 10 clients, you don’t need to take any action. Windows 7 および Windows 8 クライアント上でポイント対サイト接続に対して TLS を使用する場合、更新手順については「VPN Gateway に関する FAQ」を参照してください。If you are using TLS for point-to-site connections on Windows 7 and Windows 8 clients, see the VPN Gateway FAQ for update instructions.

VPN クライアント構成ファイルの生成Generate VPN client configuration files

開始する前に、接続するすべてのユーザーでは、有効な証明書がユーザーのデバイスにインストールされていることを確認してください。Before you begin, make sure that all connecting users have a valid certificate installed on the user's device. クライアント証明書のインストールの詳細については、クライアント証明書のインストールに関するページを参照してください。For more information about installing a client certificate, see Install a client certificate.

PowerShell または Azure Portal を使用してクライアント構成ファイルを生成することができます。You can generate client configuration files using PowerShell, or by using the Azure portal. どちらの方法でも、同じ zip ファイルが返されます。Either method returns the same zip file. そのファイルを解凍して、次のフォルダーを表示します。Unzip the file to view the following folders:

  • WindowsAmd64 および WindowsX86。Windows の 32 ビットと 64 ビットのインストーラー パッケージがそれぞれに含まれています。WindowsAmd64 and WindowsX86, which contain the Windows 32-bit and 64-bit installer packages, respectively. WindowsAmd64 インストーラー パッケージは、Amd だけでなく、サポートされている 64 ビットの Windows クライアントを対象としています。The WindowsAmd64 installer package is for all supported 64-bit Windows clients, not just Amd.
  • Generic。これには、独自の VPN クライアント構成の作成に使用される全般的な情報が含まれています。Generic, which contains general information used to create your own VPN client configuration. Generic フォルダーが提供されるのは、IKEv2 または SSTP+IKEv2 がゲートウェイ上で構成された場合です。The Generic folder is provided if IKEv2 or SSTP+IKEv2 was configured on the gateway. 構成されているのが SSTP のみの場合、Generic フォルダーは存在しません。If only SSTP is configured, then the Generic folder is not present.

Azure Portal を使用してルールを生成するGenerate files using the Azure portal

  1. Azure Portal で、接続する仮想ネットワークの仮想ネットワーク ゲートウェイに移動します。In the Azure portal, navigate to the virtual network gateway for the virtual network that you want to connect to.
  2. 仮想ネットワーク ゲートウェイ ページで、 [ポイント対サイトの構成] をクリックします。On the virtual network gateway page, click Point-to-site configuration.
  3. [ポイント対サイトの構成] ページの上部で [VPN クライアントのダウンロード] をクリックします。At the top of the Point-to-site configuration page, click Download VPN client. クライアント構成パッケージが生成されるまでに数分かかります。It takes a few minutes for the client configuration package to generate.
  4. お使いのブラウザーは、クライアント構成の zip ファイルが使用可能なことを示します。Your browser indicates that a client configuration zip file is available. ゲートウェイと同じ名前が付いています。It is named the same name as your gateway. そのファイルを解凍して、フォルダーを表示します。Unzip the file to view the folders.

PowerShell を使用してファイルを生成するGenerate files using PowerShell

注意

この記事は、新しい Azure PowerShell Az モジュールを使用するために更新されました。This article has been updated to use the new Azure PowerShell Az module. AzureRM モジュールはまだ使用でき、少なくとも 2020 年 12 月までは引き続きバグ修正が行われます。You can still use the AzureRM module, which will continue to receive bug fixes until at least December 2020. Az モジュールと AzureRM の互換性の詳細については、「Introducing the new Azure PowerShell Az module (新しい Azure PowerShell Az モジュールの概要)」を参照してください。To learn more about the new Az module and AzureRM compatibility, see Introducing the new Azure PowerShell Az module. Az モジュールのインストール手順については、Azure PowerShell のインストールを参照してください。For Az module installation instructions, see Install Azure PowerShell.

  1. VPN クライアント構成ファイルを生成する際、"-AuthenticationMethod" の値は "EapTls" です。When generating VPN client configuration files, the value for '-AuthenticationMethod' is 'EapTls'. 次のコマンドを使用して、VPN クライアント構成ファイルを生成します。Generate the VPN client configuration files using the following command:

    $profile=New-AzVpnClientConfiguration -ResourceGroupName "TestRG" -Name "VNet1GW" -AuthenticationMethod "EapTls"
    
    $profile.VPNProfileSASUrl
    
  2. ブラウザーに URL をコピーして、zip ファイルをダウンロードし、ファイルを解凍してフォルダーを表示します。Copy the URL to your browser to download the zip file, then unzip the file to view the folders.

WindowsWindows

バージョンがクライアントのアーキテクチャと一致する限り、各 Windows クライアント コンピューターで同じ VPN クライアント構成パッケージを使用できます。You can use the same VPN client configuration package on each Windows client computer, as long as the version matches the architecture for the client. サポートされているクライアント オペレーティング システムの一覧については、「VPN Gateway に関する FAQ」のポイント対サイトに関するセクションを参照してください。For the list of client operating systems that are supported, see the Point-to-Site section of the VPN Gateway FAQ.

注意

接続元の Windows クライアント コンピューターの管理者権限が必要です。You must have Administrator rights on the Windows client computer from which you want to connect.

証明書認証用にネイティブ Windows VPN クライアントを構成するには、次の手順を実行してください。Use the following steps to configure the native Windows VPN client for certificate authentication:

  1. Windows コンピューターのアーキテクチャに対応する VPN クライアント構成ファイルを選択します。Select the VPN client configuration files that correspond to the architecture of the Windows computer. 64 ビットのプロセッサ アーキテクチャの場合は、"VpnClientSetupAmd64" インストーラー パッケージを選択します。For a 64-bit processor architecture, choose the 'VpnClientSetupAmd64' installer package. 32 ビットのプロセッサ アーキテクチャの場合は、"VpnClientSetupX86" インストーラー パッケージを選択します。For a 32-bit processor architecture, choose the 'VpnClientSetupX86' installer package.
  2. パッケージをダブルクリックしてインストールします。Double-click the package to install it. SmartScreen ポップアップが表示された場合は、 [詳細][実行] の順にクリックしてください。If you see a SmartScreen popup, click More info, then Run anyway.
  3. クライアント コンピューターで [ネットワークの設定] に移動し、 [VPN] をクリックします。On the client computer, navigate to Network Settings and click VPN. VPN 接続により、その接続先の仮想ネットワークの名前が表示されます。The VPN connection shows the name of the virtual network that it connects to. 
  4. 接続を試行する前に、クライアント コンピューターにクライアント証明書をインストール済みであることを確認します。Before you attempt to connect, verify that you have installed a client certificate on the client computer. ネイティブ Azure 証明書の認証タイプを使用する場合、認証にはクライアント証明書が必要です。A client certificate is required for authentication when using the native Azure certificate authentication type. 証明書の生成の詳細については、「証明書の生成」をご覧ください。For more information about generating certificates, see Generate Certificates. クライアント証明書のインストール方法については、クライアント証明書のインストールに関するページをご覧ください。For information about how to install a client certificate, see Install a client certificate.

Mac (OS X)Mac (OS X)

Azure に接続するすべての Mac で、ネイティブの IKEv2 VPN クライアントを手動で構成する必要があります。You have to manually configure the native IKEv2 VPN client on every Mac that will connect to Azure. Azure では、ネイティブの Azure 証明書の認証用の mobileconfig ファイルは提供されません。Azure does not provide mobileconfig file for native Azure certificate authentication. Generic には、構成に必要な情報がすべて揃っています。The Generic contains all of the information that you need for configuration. ダウンロードに、Generic フォルダーが表示されない場合は、IKEv2 がトンネルの種類として選択されていない可能性があります。If you don't see the Generic folder in your download, it's likely that IKEv2 was not selected as a tunnel type. VPN Gateway Basic SKU は IKEv2 をサポートしていないことに注意してください。Note that the VPN gateway Basic SKU does not support IKEv2. IKEv2 を選択したら、もう一度 zip ファイルを生成して、Generic フォルダーを取得します。Once IKEv2 is selected, generate the zip file again to retrieve the Generic folder.
Generic フォルダーには、次のファイルが含まれています。The Generic folder contains the following files:

  • VpnSettings.xml。サーバー アドレスやトンネルの種類など、重要な設定が含まれています。VpnSettings.xml, which contains important settings like server address and tunnel type. 
  • VpnServerRoot.cer。P2S 接続の設定中に Azure VPN ゲートウェイを検証するために必要なルート証明書が含まれています。VpnServerRoot.cer, which contains the root certificate required to validate the Azure VPN Gateway during P2S connection setup.

証明書認証用に Mac 上でネイティブ VPN クライアントを構成するには、次の手順を実行してください。Use the following steps to configure the native VPN client on Mac for certificate authentication. Azure に接続するすべての Mac でこれらの手順を完了する必要があります。You have to complete these steps on every Mac that will connect to Azure:

  1. VpnServerRoot ルート証明書を Mac にインポートします。Import the VpnServerRoot root certificate to your Mac. これを行うには、ファイルを Mac にコピーしてダブルクリックします。This can be done by copying the file over to your Mac and double-clicking on it. [追加] をクリックしてインポートします。Click Add to import.

    証明書の追加

    注意

    証明書をダブルクリックしても、 [追加] ダイアログが表示されない場合がありますが、証明書は正しいストアにインストールされています。Double-clicking on the certificate may not display the Add dialog, but the certificate is installed in the correct store. 証明書のカテゴリの下にあるログイン キーチェーンで証明書を確認できます。You can check for the certificate in the login keychain under the certificates category.

  2. P2S 設定を構成したときに、Azure にアップロードしたルート証明書によって発行されたクライアント証明書が、インストール済みであることを確認します。Verify that you have installed a client certificate that was issued by the root certificate that you uploaded to Azure when you configured you P2S settings. これは、前の手順でインストールした VPNServerRoot とは異なります。This is different from the VPNServerRoot that you installed in the previous step. クライアント証明書は認証に使用され、必須です。The client certificate is used for authentication and is required. 証明書の生成の詳細については、「証明書の生成」をご覧ください。For more information about generating certificates, see Generate Certificates. クライアント証明書のインストール方法については、クライアント証明書のインストールに関するページをご覧ください。For information about how to install a client certificate, see Install a client certificate.

  3. [ネットワーク] ダイアログを開き、 [ネットワーク環境設定][+] をクリックして、Azure VNet への P2S 接続用に新しい VPN クライアント接続プロファイルを作成します。Open the Network dialog under Network Preferences and click '+' to create a new VPN client connection profile for a P2S connection to the Azure VNet.

    [インターフェイス] の値は "VPN"、 [VPN タイプ] の値は "IKEv2" です。The Interface value is 'VPN' and VPN Type value is 'IKEv2'. [サービス名] フィールドにプロファイルの名前を指定し、 [作成] をクリックして VPN クライアント接続プロファイルを作成します。Specify a name for the profile in the Service Name field, then click Create to create the VPN client connection profile.

    ネットワーク

  4. Generic フォルダーの VpnSettings.xml ファイルから、VpnServer タグの値をコピーします。In the Generic folder, from the VpnSettings.xml file, copy the VpnServer tag value. この値をプロファイルの [サーバー アドレス] フィールドと [リモート ID] フィールドに貼り付けます。Paste this value in the Server Address and Remote ID fields of the profile.

    サーバー情報

  5. [認証設定] をクリックし、 [証明書] を選択します。Click Authentication Settings and select Certificate. 

    認証設定

  6. [選択] をクリックして、Click Select… 認証に使用するクライアント証明書を選択します。to choose the client certificate that you want to use for authentication. これは、手順 2 でインストールした証明書です。This is the certificate that you installed in Step 2.

    証明書

  7. [Choose An Identity](ID の選択) では、選択できる証明書の一覧が表示されます。Choose An Identity displays a list of certificates for you to choose from. 適切な証明書を選択し、 [続ける] をクリックします。Select the proper certificate, then click Continue.

    identity

  8. [ローカル ID] フィールドに、(手順 6 の) 証明書の名前を指定します。In the Local ID field, specify the name of the certificate (from Step 6). この例では、"ikev2Client.com" です。In this example, it is "ikev2Client.com". 次に、 [適用] ボタンをクリックして変更を保存します。Then, click Apply button to save the changes.

    apply

  9. [ネットワーク] ダイアログで、 [適用] をクリックしてすべての変更を保存します。On the Network dialog, click Apply to save all changes. 次に、 [接続] をクリックして、Azure VNet への P2S 接続を開始します。Then, click Connect to start the P2S connection to the Azure VNet.

Linux (strongSwan GUI)Linux (strongSwan GUI)

strongSwan のインストールInstall strongSwan

以下の手順では、次の構成を使用しました。The following configuration was used for the steps below:

ComputerComputer Ubuntu Server 18.04Ubuntu Server 18.04
依存関係Dependencies strongSwanstrongSwan

次のコマンドを使用して、必要な strongSwan 構成をインストールします。Use the following commands to install the required strongSwan configuration:

sudo apt install strongswan
sudo apt install strongswan-pki
sudo apt install libstrongswan-extra-plugins

次のコマンドを使用して、Azure コマンド ライン インターフェイスをインストールします。Use the following command to install the Azure command-line interface:

curl -sL https://aka.ms/InstallAzureCLIDeb | sudo bash

Azure CLI のインストール方法の詳細Additional instructions on how to install the Azure CLI

証明書の生成Generate certificates

まだ証明書を生成していない場合は、次の手順を使用します。If you have not already generated certificates, use the following steps:

キーと証明書を生成します。Generate the CA certificate.

ipsec pki --gen --outform pem > caKey.pem
ipsec pki --self --in caKey.pem --dn "CN=VPN CA" --ca --outform pem > caCert.pem

CA 証明書 を base64 形式で印刷します。Print the CA certificate in base64 format. これは Azure でサポートされている形式です。This is the format that is supported by Azure. この証明書は、P2S 構成手順の一部として Azure にアップロードします。You upload this certificate to Azure as part of the P2S configuration steps.

openssl x509 -in caCert.pem -outform der | base64 -w0 ; echo

ユーザー証明書を生成します。Generate the user certificate.

export PASSWORD="password"
export USERNAME="client"

ipsec pki --gen --outform pem > "${USERNAME}Key.pem"
ipsec pki --pub --in "${USERNAME}Key.pem" | ipsec pki --issue --cacert caCert.pem --cakey caKey.pem --dn "CN=${USERNAME}" --san "${USERNAME}" --flag clientAuth --outform pem > "${USERNAME}Cert.pem"

ユーザー証明書を収納している p12 バンドルを生成します。Generate a p12 bundle containing the user certificate. このバンドルは、クライアント構成ファイルと連携する場合に、次の手順で使用されます。This bundle will be used in the next steps when working with the client configuration files.

openssl pkcs12 -in "${USERNAME}Cert.pem" -inkey "${USERNAME}Key.pem" -certfile caCert.pem -export -out "${USERNAME}.p12" -password "pass:${PASSWORD}"

インストールと構成Install and configure

次の手順は、Ubuntu 18.0.4 上で作成されました。The following instructions were created on Ubuntu 18.0.4. Ubuntu 16.0.10 は、strongSwan GUI をサポートしていません。Ubuntu 16.0.10 does not support strongSwan GUI. Ubuntu 16.0.10 を使う場合は、コマンド ラインを使う必要があります。If you want to use Ubuntu 16.0.10, you will have to use the command line. Linux および strongSwan のバージョンによっては、次に示す例が実際に表示される画面と一致しない可能性があります。The examples below may not match screens that you see, depending on your version of Linux and strongSwan.

  1. [端末] を起動し、例のコマンドを実行して strongSwan とその Network Manager をインストールします。Open the Terminal to install strongSwan and its Network Manager by running the command in the example.

    sudo apt install network-manager-strongswan
    
  2. [Settings](設定)[Network](ネットワーク) の順に選択します。Select Settings , then select Network.

    接続を編集する

  3. + ボタンをクリックして、新しい接続を作成します。Click the + button to create a new connection.

    接続を追加する

  4. メニューから [IPsec/IKEv2 (strongswan)] を選び、ダブルクリックします。Select IPsec/IKEv2 (strongSwan) from the menu, and double-click. この手順で使用する接続の名前を変更できます。You can name your connection in this step.

    接続の種類を選ぶ

  5. ダウンロード クライアント構成ファイルに含まれる Generic フォルダーから VpnSettings.xml ファイルを開きます。Open the VpnSettings.xml file from the Generic folder contained in the downloaded client configuration files. VpnServer というタグを検索して、"azuregateway" で始まり ".cloudapp.net" で終わる名前をコピーします。Find the tag called VpnServer and copy the name, beginning with 'azuregateway' and ending with '.cloudapp.net'.

    名前をコピーする

  6. この名前を、 [ゲートウェイ] セクションの、新しい VPN 接続の [アドレス] フィールドに貼り付けます。Paste this name into the Address field of your new VPN connection in the Gateway section. 次に、 [証明書] フィールドの最後のフォルダー アイコンを選択して、Generic フォルダーに移動し、VpnServerRoot ファイルを選択します。Next, select the folder icon at the end of the Certificate field, browse to the Generic folder, and select the VpnServerRoot file.

  7. 接続の [クライアント] セクションの [認証] で、 [Certificate/private key](証明書/秘密キー) を選びます。In the Client section of the connection, for Authentication, select Certificate/private key. [証明書][秘密キー] で、前に作成した証明書および秘密キーを選びます。For Certificate and Private key, choose the certificate and the private key that were created earlier. [オプション] で、 [Request an inner IP address](内部 IP アドレスを要求する) をオンにします。In Options, select Request an inner IP address. [追加] をクリックします。Then, click Add.

    内部 IP アドレスを要求する

  8. 接続を [On](オン) にします。Turn the connection On.

Linux (strongSwan CLI)Linux (strongSwan CLI)

strongSwan のインストールInstall strongSwan

以下の手順では、次の構成を使用しました。The following configuration was used for the steps below:

ComputerComputer Ubuntu Server 18.04Ubuntu Server 18.04
依存関係Dependencies strongSwanstrongSwan

次のコマンドを使用して、必要な strongSwan 構成をインストールします。Use the following commands to install the required strongSwan configuration:

sudo apt install strongswan
sudo apt install strongswan-pki
sudo apt install libstrongswan-extra-plugins

次のコマンドを使用して、Azure コマンド ライン インターフェイスをインストールします。Use the following command to install the Azure command-line interface:

curl -sL https://aka.ms/InstallAzureCLIDeb | sudo bash

Azure CLI のインストール方法の詳細Additional instructions on how to install the Azure CLI

証明書の生成Generate certificates

まだ証明書を生成していない場合は、次の手順を使用します。If you have not already generated certificates, use the following steps:

キーと証明書を生成します。Generate the CA certificate.

ipsec pki --gen --outform pem > caKey.pem
ipsec pki --self --in caKey.pem --dn "CN=VPN CA" --ca --outform pem > caCert.pem

CA 証明書 を base64 形式で印刷します。Print the CA certificate in base64 format. これは Azure でサポートされている形式です。This is the format that is supported by Azure. この証明書は、P2S 構成手順の一部として Azure にアップロードします。You upload this certificate to Azure as part of the P2S configuration steps.

openssl x509 -in caCert.pem -outform der | base64 -w0 ; echo

ユーザー証明書を生成します。Generate the user certificate.

export PASSWORD="password"
export USERNAME="client"

ipsec pki --gen --outform pem > "${USERNAME}Key.pem"
ipsec pki --pub --in "${USERNAME}Key.pem" | ipsec pki --issue --cacert caCert.pem --cakey caKey.pem --dn "CN=${USERNAME}" --san "${USERNAME}" --flag clientAuth --outform pem > "${USERNAME}Cert.pem"

ユーザー証明書を収納している p12 バンドルを生成します。Generate a p12 bundle containing the user certificate. このバンドルは、クライアント構成ファイルと連携する場合に、次の手順で使用されます。This bundle will be used in the next steps when working with the client configuration files.

openssl pkcs12 -in "${USERNAME}Cert.pem" -inkey "${USERNAME}Key.pem" -certfile caCert.pem -export -out "${USERNAME}.p12" -password "pass:${PASSWORD}"

インストールと構成Install and configure

  1. Azure portal から VPNClient パッケージをダウンロードします。Download the VPNClient package from Azure portal.

  2. ファイルを抽出します。Extract the File.

  3. VpnServerRoot.cer を Generic フォルダーから /etc/ipsec.d/cacerts にコピーするか移動します。From the Generic folder, copy or move the VpnServerRoot.cer to /etc/ipsec.d/cacerts.

  4. cp client.p12 を /etc/ipsec.d/private/ にコピーするか移動します。Copy or move cp client.p12 to /etc/ipsec.d/private/. このファイルは、Azure VPN Gateway のクライアント証明書です。This file is client certificate for Azure VPN Gateway.

  5. VpnSettings.xml ファイルを開き、<VpnServer> の値をコピーします。Open VpnSettings.xml file and copy the <VpnServer> value. 次の手順でこの値を使用します。You will use this value in the next step.

  6. 以下のサンプルの値を調整し、/etc/ipsec.conf 構成にこのサンプルを追加します。Adjust the values in the example below, then add the example to the /etc/ipsec.conf configuration.

    conn azure
          keyexchange=ikev2
          type=tunnel
          leftfirewall=yes
          left=%any
          leftauth=eap-tls
          leftid=%client # use the DNS alternative name prefixed with the %
          right= Enter the VPN Server value here# Azure VPN gateway address
          rightid=% # Enter the VPN Server value here# Azure VPN gateway FQDN with %
          rightsubnet=0.0.0.0/0
          leftsourceip=%config
          auto=add
    
  7. 次のコードを /etc/ipsec.secrets に追加します。Add the following to /etc/ipsec.secrets.

    : P12 client.p12 'password' # key filename inside /etc/ipsec.d/private directory
    
  8. 次のコマンドを実行します。Run the following commands:

    # ipsec restart
    # ipsec up azure
    

次の手順Next steps

P2S 構成を完了するための記事に戻ります。Return to the article to complete your P2S configuration.

P2S 接続のトラブルシューティングを行うには、次の記事を参照してください。To troubleshoot P2S connections, see the following articles: