証明書認証 (クラシック) を使用してポイント対サイト接続を構成するConfigure a Point-to-Site connection by using certificate authentication (classic)

注意

この記事は、クラシック デプロイ モデルを想定しています。This article is written for the classic deployment model. Azure に慣れていない場合には、代わりに Resource Manager デプロイ モデルを使用することをお勧めします。If you're new to Azure, we recommend that you use the Resource Manager deployment model instead. Resource Manager デプロイ モデルは、最新のデプロイ モデルであり、クラシック デプロイ モデルよりも多くのオプションと機能の互換性を提供します。The Resource Manager deployment model is the most current deployment model and offers more options and feature compatibility than the classic deployment model. デプロイメント モデルについては、デプロイメント モデルの概要に関するページを参照してください。For more information about the deployment models, see Understanding deployment models.

この記事の Resource Manager 版は、下のドロップダウン リストから選択するか、または左側の目次から選択して表示できます。For the Resource Manager version of this article, select it from the drop-down list below, or from the table of contents on the left.

この記事では、ポイント対サイト接続を備えた VNet を作成する方法について説明します。This article shows you how to create a VNet with a Point-to-Site connection. この Vnet は、Azure Portal を使用してクラシック デプロイ モデルで作成します。You create this Vnet with the classic deployment model by using the Azure portal. この構成では、自己署名証明書または CA によって発行された証明書を使用して接続クライアントを認証します。This configuration uses certificates to authenticate the connecting client, either self-signed or CA issued. また、次の記事で説明されているオプションを使用して、別のデプロイ ツールまたはモデルでこの構成を作成することもできます。You can also create this configuration with a different deployment tool or model by using options that are described in the following articles:

個々のクライアント コンピューターから仮想ネットワークへのセキュリティで保護された接続を作成するには、ポイント対サイト (P2S) VPN ゲートウェイを使用します。You use a Point-to-Site (P2S) VPN gateway to create a secure connection to your virtual network from an individual client computer. ポイント対サイト VPN 接続は、リモートの場所から VNet に接続する場合に役立ちます。Point-to-Site VPN connections are useful when you want to connect to your VNet from a remote location. VNet に接続する必要のあるクライアントが少数しか存在しない場合は、P2S VPN が、サイト間 VPN の代わりに使用する有効なソリューションになります。When you have only a few clients that need to connect to a VNet, a P2S VPN is a useful solution to use instead of a Site-to-Site VPN. P2S VPN 接続は、クライアント コンピューターから接続を開始することによって確立されます。A P2S VPN connection is established by starting it from the client computer.

重要

クラシック デプロイ モデルでは、Windows VPN クライアントのみをサポートし、SSL ベースの VPN プロトコルである Secure Socket トンネリング プロトコル (SSTP) を使用します。The classic deployment model supports Windows VPN clients only and uses the Secure Socket Tunneling Protocol (SSTP), an SSL-based VPN protocol. Windows 以外の VPN クライアントをサポートするには、Resource Manager デプロイ モデルで VNet を作成する必要があります。To support non-Windows VPN clients, you must create your VNet with the Resource Manager deployment model. Resource Manager デプロイ モデルでは、SSTP に加えて IKEv2 VPN をサポートしています。The Resource Manager deployment model supports IKEv2 VPN in addition to SSTP. 詳細については、P2S 接続に関するページを参照してください。For more information, see About P2S connections.

ポイント対サイトのダイアログ

前提条件Prerequisites

ポイント対サイトの証明書認証接続には、次の前提条件が必要です。Point-to-Site certificate authentication connections require the following prerequisites:

  • Dynamic VPN ゲートウェイ。A Dynamic VPN gateway.
  • Azure にアップロードされた、ルート証明書の公開キー (.cer ファイル)。The public key (.cer file) for a root certificate, which is uploaded to Azure. このキーは信頼された証明書と見なされ、認証に使用されます。This key is considered a trusted certificate and is used for authentication.
  • ルート証明書から生成され、接続する各クライアント コンピューターにインストールされたクライアント証明書。A client certificate generated from the root certificate, and installed on each client computer that will connect. この証明書はクライアントの認証に使用されます。This certificate is used for client authentication.
  • VPN クライアント構成パッケージが生成され、接続するすべてのクライアント コンピューターにインストールされていること。A VPN client configuration package must be generated and installed on every client computer that connects. このクライアント構成パッケージは、VNet に接続するための必要な情報を持つ、既にオペレーティング システム上に存在するネイティブ VPN クライアントを構成します。The client configuration package configures the native VPN client that's already on the operating system with the necessary information to connect to the VNet.

ポイント対サイト接続には、VPN デバイスやオンプレミスの公開された IP アドレスは必要ありません。Point-to-Site connections don't require a VPN device or an on-premises public-facing IP address. VPN 接続は、SSTP (Secure Socket トンネリング プロトコル) 経由で作成されます。The VPN connection is created over SSTP (Secure Socket Tunneling Protocol). サーバー側でのサポート対象の SSTP バージョンは、1.0、1.1、1.2 です。On the server side, we support SSTP versions 1.0, 1.1, and 1.2. 使用するバージョンはクライアントによって決まります。The client decides which version to use. Windows 8.1 以降の場合、SSTP では既定で 1.2 が使用されます。For Windows 8.1 and above, SSTP uses 1.2 by default.

ポイント対サイト接続の詳細については、「ポイント対サイトに関する FAQ」を参照してください。For more information about Point-to-Site connections, see Point-to-Site FAQ.

設定例Example settings

テスト環境を作成するには、次の値を使用します。または、この記事にある例をより適切に理解するには、これらの値を参照してください。Use the following values to create a test environment, or refer to these values to better understand the examples in this article:

  • [仮想ネットワーク (クラシック) の作成] の設定Create virtual network (classic) settings

    • [名前] : 「VNet1」と入力します。Name: Enter VNet1.

    • [アドレス空間] : 「192.168.0.0/16」と入力します。Address space: Enter 192.168.0.0/16. この例では、1 つのアドレス空間のみを使用します。For this example, we use only one address space. 図に示すように、VNet では複数のアドレス空間を使用することができます。You can have more than one address space for your VNet, as shown in the diagram.

    • [サブネット名] : 「FrontEnd」と入力します。Subnet name: Enter FrontEnd.

    • [サブネットのアドレス範囲] : 「192.168.1.0/24」と入力します。Subnet address range: Enter 192.168.1.0/24.

    • サブスクリプション:使用可能なサブスクリプションの一覧からサブスクリプションを選択します。Subscription: Select a subscription from the list of available subscriptions.

    • [リソース グループ] : 「TestRG」と入力します。Resource group: Enter TestRG. リソース グループが存在しない場合は、 [新規作成] を選択します。Select Create new, if the resource group doesn't exist.

    • [場所] : 一覧から [米国東部] を選択します。Location: Select East US from the list.

    • [VPN 接続] の設定VPN connection settings

      • [接続の種類] : [ポイント対サイト] を選択します。Connection type: Select Point-to-site.
      • [クライアント アドレス空間] : 「172.16.201.0/24」と入力します。Client Address Space: Enter 172.16.201.0/24. このポイント対サイト接続を使用して VNet に接続する VPN クライアントは、指定されたプールから IP アドレスを受信します。VPN clients that connect to the VNet by using this Point-to-Site connection receive an IP address from the specified pool.
  • [Gateway configuration subnet] (ゲートウェイ構成サブネット) の設定Gateway configuration subnet settings

    • [名前] : 「GatewaySubnet」が自動入力されます。Name: Autofilled with GatewaySubnet.
    • [アドレス範囲] : 「192.168.200.0/24」と入力します。Address range: Enter 192.168.200.0/24.
  • [ゲートウェイの構成] の設定:Gateway configuration settings:

    • [サイズ] :使用するゲートウェイ SKU を選択します。Size: Select the gateway SKU that you want to use.
    • [ルーティングの種類] : [動的] を選択します。Routing Type: Select Dynamic.

仮想ネットワークと VPN ゲートウェイを作成するCreate a virtual network and a VPN gateway

開始する前に、Azure サブスクリプションを持っていることを確認してください。Before you begin, verify that you have an Azure subscription. Azure サブスクリプションをまだお持ちでない場合は、MSDN サブスクライバーの特典を有効にするか、無料アカウントにサインアップしてください。If you don't already have an Azure subscription, you can activate your MSDN subscriber benefits or sign up for a free account.

パート 1:仮想ネットワークの作成Part 1: Create a virtual network

まだ仮想ネットワーク (VNet) がない場合は、作成してください。If you don't already have a virtual network (VNet), create one. スクリーンショットは例として示されています。Screenshots are provided as examples. サンプルの値は必ず実際の値に変更してください。Be sure to replace the values with your own. Azure Portal を使用して VNet を作成するには、以下の手順に従ってください。To create a VNet by using the Azure portal, use the following steps:

  1. Azure Portal にサインインし、 [リソースの作成] を選択します。Sign in to the Azure portal and select Create a resource. [新規] ページが開きます。The New page opens.

  2. [Marketplace を検索] フィールドに「仮想ネットワーク」と入力し、返された一覧から [仮想ネットワーク] を選択します。In the Search the marketplace field, enter virtual network and select Virtual network from the returned list. [仮想ネットワーク] ページが開きます。The Virtual network page opens.

  3. [デプロイ モデルの選択] 一覧から、 [Classic] (クラシック)[作成] の順に選択します。From the Select a deployment model list, select Classic, and then select Create. [仮想ネットワークの作成] ページが開きます。The Create virtual network page opens.

  4. [仮想ネットワークの作成] ページで、VNet の設定を構成します。On the Create virtual network page, configure the VNet settings. このページでは、最初のアドレス空間と 1 つのサブネット アドレスの範囲を追加します。On this page, you add your first address space and a single subnet address range. VNet の作成が完了したら、戻って、さらにサブネットとアドレス空間を追加できます。After you finish creating the VNet, you can go back and add additional subnets and address spaces.

    [仮想ネットワークの作成] ページ

  5. ドロップダウン リストから、使用する [サブスクリプション] を選択します。Select the Subscription you want to use from the drop-down list.

  6. 既存の [リソース グループ] を選択します。Select an existing Resource Group. または、 [新規作成] を選択することによって新しいリソース グループを作成し、名前を入力します。Or, create a new resource group by selecting Create new and entering a name. 新しいリソース グループを作成している場合は、計画された構成値に従ってリソース グループに名前を付けます。If you're creating a new resource group, name the resource group according to your planned configuration values. リソース グループの詳細については、「Azure Resource Manager の概要」を参照してください。For more information about resource groups, see Azure Resource Manager overview.

  7. VNet の [場所] を選択します。Select a Location for your VNet. この設定によって、この VNet にデプロイするリソースの地理的な場所が決定されます。This setting determines the geographical location of the resources that you deploy to this VNet.

  8. [作成] を選択して VNet を作成します。Select Create to create the VNet. [通知] ページに、"デプロイを実行しています" というメッセージが表示されます。From the Notifications page, you'll see a Deployment in progress message.

  9. 仮想ネットワークが作成されると、 [通知] ページ上のメッセージが "デプロイメントに成功しました" に変化します。After your virtual network has been created, the message on the Notifications page changes to Deployment succeeded. ダッシュボードで VNet を簡単に見つけるには、 [ダッシュボードにピン留めする] を選択します。Select Pin to dashboard if you want to easily find your VNet on the dashboard.

  10. DNS サーバーを追加します (省略可)。Add a DNS server (optional). 仮想ネットワークを作成した後は、名前解決に使用する DNS サーバーの IP アドレスを追加できます。After you create your virtual network, you can add the IP address of a DNS server for name resolution. 指定する DNS サーバーの IP アドレスは、VNet 内のリソースの名前を解決できる DNS サーバーのアドレスである必要があります。The DNS server IP address that you specify should be the address of a DNS server that can resolve the names for the resources in your VNet.

    DNS サーバーを追加するには、VNet ページから [DNS サーバー] を選択します。To add a DNS server, select DNS servers from your VNet page. 次に、使用する DNS サーバーの IP アドレスを入力し、 [保存] を選択します。Then, enter the IP address of the DNS server that you want to use and select Save.

パート 2:ゲートウェイ サブネットと動的ルーティング ゲートウェイを作成するPart 2: Create a gateway subnet and a dynamic routing gateway

この手順では、ゲートウェイ サブネットと動的ルーティング ゲートウェイを作成します。In this step, you create a gateway subnet and a dynamic routing gateway. クラシック デプロイ モデルの Azure Portal では、同じ構成ページを使用してゲートウェイ サブネットとゲートウェイを作成します。In the Azure portal for the classic deployment model, you create the gateway subnet and the gateway through the same configuration pages. ゲートウェイ サブネットは、ゲートウェイ サービスにのみ使用します。Use the gateway subnet for the gateway services only. ゲートウェイ サブネットに VM やその他のサービスを直接デプロイしないでください。Never deploy anything directly to the gateway subnet (such as VMs or other services).

  1. Azure Portal で、ゲートウェイを作成する仮想ネットワークに移動します。In the Azure portal, navigate to the virtual network for which you want to create a gateway.

  2. 仮想ネットワークのページで [概要] を選択し、 [VPN 接続] セクションで [ゲートウェイ] を選択します。On the page for your virtual network, select Overview, and in the VPN connections section, select Gateway.

    クリックしてゲートウェイを作成する

  3. [新しい VPN 接続] ページで、 [ポイント対サイト] を選択します。On the New VPN Connection page, select Point-to-site.

    接続の種類 (ポイント対サイト)

  4. [クライアント アドレス空間] で、VPN クライアントが接続時に IP アドレスを受信する IP アドレス範囲を追加します。For Client Address Space, add the IP address range from which the VPN clients receive an IP address when connecting. 接続元のオンプレミスの場所や、接続先の VNet と重複しないプライベート IP アドレス範囲を使用します。Use a private IP address range that doesn't overlap with the on-premises location that you connect from, or with the VNet that you connect to. 自動入力された範囲は、使用するプライベート IP アドレス範囲で上書きすることができます。You can overwrite the autofilled range with the private IP address range that you want to use. この例は、自動入力された範囲を示しています。This example shows the autofilled range.

    クライアント アドレス空間

  5. [ゲートウェイをすぐに作成する] をオンにし、 [ゲートウェイの構成 (オプション)] を選択して [ゲートウェイの構成] ページを開きます。Select Create gateway immediately, and then select Optional gateway configuration to open the Gateway configuration page.

    [ゲートウェイの構成 (オプション)] を選択する

  6. [ゲートウェイの構成] ページから、 [サブネット] を選択してゲートウェイ サブネットを追加します。From the Gateway configuration page, select Subnet to add the gateway subnet. /29 という小さなゲートウェイ サブネットを作成できます。It's possible to create a gateway subnet as small as /29. ただし、少なくとも /28 または /27 を選択することによって、さらに多くのアドレスを含むより大きなサブネットを作成することをお勧めします。However, we recommend that you create a larger subnet that includes more addresses by selecting at least /28 or /27. そうすることにより、将来必要になる可能性がある追加の構成に対応できる十分なアドレスが確保されます。Doing so will allow for enough addresses to accommodate possible additional configurations that you may want in the future. ゲートウェイ サブネットを使用する場合は、ゲートウェイ サブネットにネットワーク セキュリティ グループ (NSG) を関連付けないようにしてください。When working with gateway subnets, avoid associating a network security group (NSG) to the gateway subnet. このサブネットにネットワーク セキュリティ グループを関連付けると、VPN ゲートウェイが期待どおりに機能しなくなる可能性があります。Associating a network security group to this subnet may cause your VPN gateway to not function as expected. [OK] を選択してこの設定を保存します。Select OK to save this setting.

    GatewaySubnet の追加

  7. ゲートウェイの [サイズ] を選択します。Select the gateway Size. このサイズは、ご使用の仮想ネットワーク ゲートウェイの SKU です。The size is the gateway SKU for your virtual network gateway. Azure Portal では、既定の SKU は [Default] です。In the Azure portal, the default SKU is Default. ゲートウェイ SKU の詳細については、VPN ゲートウェイ の設定に関するページを参照してください。For more information about gateway SKUs, see About VPN gateway settings.

    ゲートウェイのサイズ

  8. ゲートウェイの [ルーティングの種類] を選択します。Select the Routing Type for your gateway. P2S 構成には、動的なルーティングの種類が必要です。P2S configurations require a Dynamic routing type. このページの構成を完了したら、 [OK] を選択します。Select OK when you've finished configuring this page.

    ルーティングの種類の構成

  9. [新しい VPN 接続] ページで、ページの一番下にある [OK] を選択して、仮想ネットワーク ゲートウェイの作成を開始します。On the New VPN Connection page, select OK at the bottom of the page to begin creating your virtual network gateway. 選択したゲートウェイ SKU によっては、VPN ゲートウェイの完了に最大 45 分かかることがあります。A VPN gateway can take up to 45 minutes to complete, depending on the gateway SKU that you select.

証明書を作成するCreate certificates

Azure は、ポイント対サイト VPN の VPN クライアントを認証するために証明書を使用します。Azure uses certificates to authenticate VPN clients for Point-to-Site VPNs. そのため、ルート証明書の公開キー情報を Azure にアップロードします。You upload the public key information of the root certificate to Azure. それにより、その公開キーは信頼できると見なされます。The public key is then considered trusted. 信頼されたルート証明書からクライアント証明書を生成し、各クライアント コンピューターの Certificates-Current User\Personal\Certificates 証明書ストアにインストールする必要があります。Client certificates must be generated from the trusted root certificate, and then installed on each client computer in the Certificates-Current User\Personal\Certificates certificate store. この証明書は、VNet に接続しようとするクライアントを認証するために使用されます。The certificate is used to authenticate the client when it connects to the VNet.

自己署名証明書を使用する場合は、特定のパラメーターを使用してその証明書を作成する必要があります。If you use self-signed certificates, they must be created by using specific parameters. 自己署名証明書は、PowerShell と Windows 10、または MakeCert の手順を使用して作成できます。You can create a self-signed certificate by using the instructions for PowerShell and Windows 10, or MakeCert. 自己署名ルート証明書を使用したり、自己署名ルート証明書からクライアント証明書を生成したりする場合は、これらの説明にある手順に従うことが重要です。It's important to follow the steps in these instructions when you use self-signed root certificates and generate client certificates from the self-signed root certificate. そうしないと、作成する証明書が P2S 接続との互換性がなくなり、接続エラーが表示されます。Otherwise, the certificates you create won't be compatible with P2S connections and you'll receive a connection error.

ルート証明書の公開キー (.cer) を取得するAcquire the public key (.cer) for the root certificate

エンタープライズ ソリューションを使って生成されたルート証明書を使用する (推奨) か、または自己署名証明書を生成します。Use either a root certificate that was generated with an enterprise solution (recommended), or generate a self-signed certificate. ルート証明書の作成後、秘密キーではなく公開証明書データを、Base64 でエンコードされた X.509 .cer ファイルとしてエクスポートします。After you create the root certificate, export the public certificate data (not the private key) as a Base64 encoded X.509 .cer file. その後、公開証明書データを Azure サーバーにアップロードします。Then, upload the public certificate data to the Azure server.

  • エンタープライズ証明書: エンタープライズ ソリューションを使用している場合は、既存の証明書チェーンを使うことができます。Enterprise certificate: If you're using an enterprise solution, you can use your existing certificate chain. 使用するルート証明書の .cer ファイルを取得します。Acquire the .cer file for the root certificate that you want to use.

  • 自己署名ルート証明書: エンタープライズ証明書ソリューションを使用していない場合は、自己署名ルート証明書を作成します。Self-signed root certificate: If you aren't using an enterprise certificate solution, create a self-signed root certificate. そうしないと、作成する証明書と P2S 接続との互換性がなくなり、クライアントが接続しようとすると接続エラー メッセージを受信するようになります。Otherwise, the certificates you create won't be compatible with your P2S connections and clients will receive a connection error when they try to connect. Azure PowerShell、MakeCert、または OpenSSL を使用できます。You can use Azure PowerShell, MakeCert, or OpenSSL. 以下の記事の手順では、互換性のある自己署名ルート証明書を生成する方法が説明されています。The steps in the following articles describe how to generate a compatible self-signed root certificate:

    • Windows 10 PowerShell の手順:これらの手順で証明書を生成するには、Windows 10 および PowerShell が必要です。Windows 10 PowerShell instructions: These instructions require Windows 10 and PowerShell to generate certificates. ルート証明書から生成されるクライアント証明書は、サポートされている任意の P2S クライアントにインストールすることができます。Client certificates that are generated from the root certificate can be installed on any supported P2S client.
    • MakeCert の手順: 証明書を生成するために使用する Windows 10 コンピューターにアクセスできない場合は、MakeCert を使用します。MakeCert instructions: Use MakeCert if you don't have access to a Windows 10 computer to use to generate certificates. MakeCert は非推奨になりましたが、まだ証明書の生成に使用することができます。Although MakeCert is deprecated, you can still use it to generate certificates. ルート証明書から生成されるクライアント証明書は、サポートされている任意の P2S クライアントにインストールすることができます。Client certificates that you generate from the root certificate can be installed on any supported P2S client.
    • Linux の手順Linux instructions

クライアント証明書を生成Generate a client certificate

お客様がポイント対サイト接続を使用して VNet に接続する各クライアント コンピューターには、クライアント証明書がインストールされていなければなりません。Each client computer that you connect to a VNet with a Point-to-Site connection must have a client certificate installed. ルート証明書からそれを生成し、各クライアント コンピューターにインストールします。You generate it from the root certificate and install it on each client computer. 有効なクライアント証明書をインストールしないと、クライアントが VNet への接続を試行したときに認証が失敗します。If you don't install a valid client certificate, authentication will fail when the client tries to connect to the VNet.

クライアントごとに一意の証明書を生成することも、複数のクライアントに同じ証明書を使用することもできます。You can either generate a unique certificate for each client, or you can use the same certificate for multiple clients. 一意のクライアント証明書を生成する利点は、1 つの証明書を失効させることができる点です。The advantage to generating unique client certificates is the ability to revoke a single certificate. そうでなければ、複数のクライアントで同じクライアント証明書が認証に使用されていて、お客様がそれを失効させる場合に、その証明書が使用されているすべてのクライアントに対して新しい証明書を生成してインストールする必要があります。Otherwise, if multiple clients use the same client certificate to authenticate and you revoke it, you'll need to generate and install new certificates for every client that uses that certificate.

クライアント証明書は、次の方法を使用して生成できます。You can generate client certificates by using the following methods:

  • エンタープライズ証明書:Enterprise certificate:

    • エンタープライズ証明書ソリューションを使用している場合は、共通名の値の形式 name@yourdomain.com を使用してクライアント証明書を生成します。If you're using an enterprise certificate solution, generate a client certificate with the common name value format name@yourdomain.com. domain name\username 形式の代わりに、この形式を使用します。Use this format instead of the domain name\username format.
    • クライアント証明書が、ユーザー一覧の最初の項目が "クライアント認証" であるユーザー証明書テンプレートに基づいていることを確認します。Make sure the client certificate is based on a user certificate template that has Client Authentication listed as the first item in the user list. 証明書を確認するには、それをダブルクリックし、 [詳細] タブの [拡張キー使用法] を表示します。Check the certificate by double-clicking it and viewing Enhanced Key Usage in the Details tab.
  • 自己署名ルート証明書: お客様が作成するクライアント証明書が P2S 接続との互換性を備えるよう、P2S 証明書に関する以下のいずれかの記事の手順に従ってください。Self-signed root certificate: Follow the steps in one of the following P2S certificate articles so that the client certificates you create will be compatible with your P2S connections. これらの記事の手順では、互換性のあるクライアント証明書が生成されます。The steps in these articles generate a compatible client certificate:

    • Windows 10 PowerShell の手順: これらの手順で証明書を生成するには、Windows 10 および PowerShell が必要です。Windows 10 PowerShell instructions: These instructions require Windows 10 and PowerShell to generate certificates. 生成される証明書は、サポートされている任意の P2S クライアントにインストールできます。The generated certificates can be installed on any supported P2S client.
    • MakeCert の手順: 証明書を生成する Windows 10 コンピューターにアクセスできない場合は、MakeCert を使用します。MakeCert instructions: Use MakeCert if you don't have access to a Windows 10 computer for generating certificates. MakeCert は非推奨になりましたが、まだ証明書の生成に使用することができます。Although MakeCert is deprecated, you can still use it to generate certificates. 生成される証明書は、サポートされている任意の P2S クライアントにインストールできます。You can install the generated certificates on any supported P2S client.
    • Linux の手順Linux instructions

    自己署名ルート証明書からクライアント証明書を生成した場合、お客様が生成に使用したコンピューターにそれが自動的にインストールされます。When you generate a client certificate from a self-signed root certificate, it's automatically installed on the computer that you used to generate it. クライアント証明書を別のクライアント コンピューターにインストールしたい場合は、それを .pfx ファイルとして、証明書チェーン全体と共にエクスポートします。If you want to install a client certificate on another client computer, export it as a .pfx file, along with the entire certificate chain. そうすることで、クライアントの認証に必要なルート証明書情報が含まれている .pfx ファイルが作成されます。Doing so will create a .pfx file that contains the root certificate information required for the client to authenticate.

証明書をエクスポートするにはTo export the certificate

証明書をエクスポートする手順については、「PowerShell を使用したポイント対サイトの証明書の生成とエクスポート」を参照してください。For steps to export a certificate, see Generate and export certificates for Point-to-Site using PowerShell.

ルート証明書 .cer ファイルのアップロードUpload the root certificate .cer file

ゲートウェイが作成されたら、信頼されたルート証明書の .cer ファイル (公開キー情報を含む) を Azure サーバーにアップロードします。After the gateway has been created, upload the .cer file (which contains the public key information) for a trusted root certificate to the Azure server. ルート証明書の秘密キーをアップロードしないでください。Don't upload the private key for the root certificate. 証明書をアップロードした後、Azure はそれを使用して、信頼されたルート証明書から生成されたクライアント証明書がインストールされているクライアントを認証します。After you upload the certificate, Azure uses it to authenticate clients that have installed a client certificate generated from the trusted root certificate. 後で、必要に応じて、追加の信頼されたルート証明書ファイルを (最大 20 個) アップロードできます。You can later upload additional trusted root certificate files (up to 20), if needed.

  1. VNet のページの [VPN 接続] セクションで、クライアントのグラフィックを選択して [ポイント対サイト VPN 接続] ページを開きます。On the VPN connections section of the page for your VNet, select the clients graphic to open the Point-to-site VPN connection page.

    クライアント

  2. [ポイント対サイト VPN 接続] ページで、 [証明書の管理] を選択して [証明書] ページを開きます。On the Point-to-site VPN connection page, select Manage certificate to open the Certificates page.

    [証明書] ページ

  3. [証明書] ページで、 [アップロード] を選択して [証明書のアップロード] ページを開きます。On the Certificates page, select Upload to open the Upload certificate page.

    [証明書のアップロード] ページ

  4. フォルダーのグラフィックを選択して .cer ファイルを参照します。Select the folder graphic to browse for the .cer file. ファイルを選択し、 [OK] を選択します。Select the file, then select OK. アップロードされた証明書が [証明書] ページに表示されます。The uploaded certificate appears on the Certificates page.

    証明書のアップロード

クライアントの構成Configure the client

ポイント対サイト VPN を使用して VNet に接続するには、各クライアントにネイティブ Windows VPN クライアントを構成するためのパッケージをインストールする必要があります。To connect to a VNet by using a Point-to-Site VPN, each client must install a package to configure the native Windows VPN client. 構成パッケージは、仮想ネットワークに接続するために必要な設定を使って、ネイティブ Windows VPN クライアントを構成します。The configuration package configures the native Windows VPN client with the settings necessary to connect to the virtual network.

バージョンがクライアントのアーキテクチャと一致すれば、各クライアント コンピューターで同じ VPN クライアント構成パッケージを使用できます。You can use the same VPN client configuration package on each client computer, as long as the version matches the architecture for the client. サポートされているクライアント オペレーティング システムの一覧については、ポイント対サイト接続の FAQ に関するページを参照してください。For the list of client operating systems that are supported, see the Point-to-Site connections FAQ.

VPN クライアント構成パッケージを生成してインストールするGenerate and install a VPN client configuration package

  1. Azure Portal で、VNet の [概要] ページの [VPN 接続] にあるクライアントのグラフィックを選択して、 [ポイント対サイト VPN 接続] ページを開きます。In the Azure portal, in the Overview page for your VNet, in VPN connections, select the client graphic to open the Point-to-site VPN connection page.

  2. [ポイント対サイト VPN 接続] ページから、インストール先のクライアント オペレーティング システムに対応するダウンロード パッケージを選択します。From the Point-to-site VPN connection page, select the download package that corresponds to the client operating system where it's installed:

    • 64 ビット クライアントの場合は、 [VPN クライアント (64 ビット)] を選択します。For 64-bit clients, select VPN Client (64-bit).
    • 32 ビット クライアントの場合は、 [VPN クライアント (32 ビット)] を選択します。For 32-bit clients, select VPN Client (32-bit).

    VPN クライアント構成パッケージのダウンロード

  3. パッケージが生成されたら、それをダウンロードしてクライアント コンピューターにインストールします。After the package generates, download it and then install it on your client computer. SmartScreen ポップアップが表示された場合は、 [詳細][実行] の順に選択します。If you see a SmartScreen popup, select More info, then select Run anyway. パッケージを保存して、他のクライアント コンピューターにインストールすることもできます。You can also save the package to install on other client computers.

クライアント証明書をインストールするInstall a client certificate

クライアント証明書を生成するために使用されたものとは異なるクライアント コンピューターから P2S 接続を作成するには、クライアント証明書をインストールします。To create a P2S connection from a different client computer than the one used to generate the client certificates, install a client certificate. クライアント証明書をインストールする場合は、そのクライアント証明書がエクスポートされたときに作成されたパスワードが必要です。When you install a client certificate, you need the password that was created when the client certificate was exported. 通常、その証明書はダブルクリックするだけでインストールできます。Typically, you can install the certificate by just double-clicking it. 詳細については、「エクスポートしたクライアント証明書のインストール」を参照してください。For more information, see Install an exported client certificate.

VNet への接続Connect to your VNet

注意

接続元のクライアント コンピューターの管理者権限が必要です。You must have Administrator rights on the client computer from which you are connecting.

  1. VNet に接続するには、クライアント コンピューターで Azure Portal の [VPN 接続] に移動し、作成した VPN 接続を見つけます。To connect to your VNet, on the client computer, navigate to VPN connections in the Azure portal and locate the VPN connection that you created. この VPN 接続には、仮想ネットワークと同じ名前が付いています。The VPN connection has the same name as your virtual network. [接続] を選択します。Select Connect. 証明書に関するポップアップ メッセージが表示された場合は、 [続行] を選択して管理者特権を使用します。If a pop-up message about the certificate appears, select Continue to use elevated privileges.

  2. [接続] 状態ページで、 [接続] を選択して接続を開始します。On the Connection status page, select Connect to start the connection. [証明書の選択] 画面が表示された場合は、表示されているクライアント証明書が正しいものであることを確認します。If you see the Select Certificate screen, verify that the displayed client certificate is the correct one. そうでない場合は、ドロップダウン リストから正しい証明書を選択し、 [OK] を選択します。If not, select the correct certificate from the drop-down list, and then select OK.

  3. 接続が成功すると、 [接続中] の通知が表示されます。If your connection succeeds, you'll see a Connected notification.

P2S 接続のトラブルシューティングTroubleshooting P2S connections

接続に問題がある場合は、次の点を確認してください。If you have trouble connecting, check the following items:

  • 証明書のエクスポート ウィザードを使用してクライアント証明書をエクスポートした場合は、 [証明のパスにある証明書を可能であればすべて含む] を選択してクライアント証明書を .pfx ファイルとしてエクスポートしたことを確認してください。If you exported a client certificate with Certificate Export Wizard, make sure that you exported it as a .pfx file and selected Include all certificates in the certification path if possible. この値を使用してクライアント証明書をエクスポートすると、ルート証明書情報もエクスポートされます。When you export it with this value, the root certificate information is also exported. クライアント コンピューターに証明書をインストールした後、.pfx ファイルのルート証明書もインストールされます。After you install the certificate on the client computer, the root certificate in the .pfx file is also installed. ルート証明書がインストールされていることを確認するには、 [ユーザー証明書の管理] を開いて [Trusted Root Certification Authorities\Certificates] を選択します。To verify that the root certificate is installed, open Manage user certificates and select Trusted Root Certification Authorities\Certificates. ルート証明書が一覧にあることを確認します。認証が正しく機能するためには、ルート証明書が必要です。Verify that the root certificate is listed, which must be present for authentication to work.

  • エンタープライズ CA ソリューションによって発行された証明書を使用し、認証できない場合は、クライアント証明書の認証の順序を確認します。If you used a certificate that was issued by an Enterprise CA solution and you can't authenticate, verify the authentication order on the client certificate. 認証の一覧の順序を確認するには、クライアント証明書をダブルクリックし、 [詳細] タブ、 [拡張キー使用法] の順に選択します。Check the authentication list order by double-clicking the client certificate, selecting the Details tab, and then selecting Enhanced Key Usage. 一覧の最初の項目が "クライアント認証" であることを確認します。Make sure Client Authentication is the first item in the list. そうでない場合は、一覧の最初の項目が "クライアント認証" であるユーザー テンプレートに基づいたクライアント証明書を発行します。If it isn't, issue a client certificate based on the user template that has Client Authentication as the first item in the list.

  • P2S のトラブルシューティングの補足情報については、P2S 接続のトラブルシューティングに関するページを参照してください。For additional P2S troubleshooting information, see Troubleshoot P2S connections.

VPN 接続の確認Verify the VPN connection

  1. VPN 接続がアクティブであることを確認します。Verify that your VPN connection is active. クライアント コンピューターで管理者特権でのコマンド プロンプトを開き、ipconfig/all を実行します。Open an elevated command prompt on your client computer, and run ipconfig/all.

  2. 結果を表示します。View the results. 受信した IP アドレスが、VNet の作成時に指定したポイント対サイト接続アドレス範囲内のアドレスのいずれかであることに注意してください。Notice that the IP address you received is one of the addresses within the Point-to-Site connectivity address range that you specified when you created your VNet. 結果は、次の例のようになります。The results should be similar to this example:

     PPP adapter VNet1:
         Connection-specific DNS Suffix .:
         Description.....................: VNet1
         Physical Address................:
         DHCP Enabled....................: No
         Autoconfiguration Enabled.......: Yes
         IPv4 Address....................: 192.168.130.2(Preferred)
         Subnet Mask.....................: 255.255.255.255
         Default Gateway.................:
         NetBIOS over Tcpip..............: Enabled
    

仮想マシンへの接続Connect to a virtual machine

VNet にデプロイされた VM に接続するためのリモート デスクトップ接続を作成します。Create a Remote Desktop Connection to connect to a VM that's deployed to your VNet. VM に接続できることを確認する最善の方法は、その VM のコンピューター名ではなく、プライベート IP アドレスで接続してみることです。The best way to verify you can connect to your VM is to connect with its private IP address, rather than its computer name. この方法であれば、名前の解決が適切に構成されているかではなく、VM に接続できるかどうかをテストすることができます。That way, you're testing to see if you can connect, not whether name resolution is configured properly.

  1. ご利用の VM のプライベート IP アドレスを特定します。Locate the private IP address for your VM. VM のプライベート IP アドレスを確認するには、Azure portal で VM のプロパティを表示するか、PowerShell を使用します。To find the private IP address of a VM, view the properties for the VM in the Azure portal or use PowerShell.
  2. ポイント対サイト VPN 接続を使って VNet に接続していることを確認します。Verify that you're connected to your VNet with the Point-to-Site VPN connection.
  3. リモート デスクトップ接続を開くには、タスク バーの検索ボックスに「RDP」または「リモート デスクトップ接続」と入力し、 [リモート デスクトップ接続] を選択します。To open Remote Desktop Connection, enter RDP or Remote Desktop Connection in the search box on the taskbar, then select Remote Desktop Connection. このほか、PowerShell で "mstsc" コマンドを使って開くこともできます。You can also open it by using the mstsc command in PowerShell.
  4. リモート デスクトップ接続で、VM のプライベート IP アドレスを入力します。In Remote Desktop Connection, enter the private IP address of the VM. 必要に応じて [オプションの表示] を選択し、追加の設定を行ってから接続します。If necessary, select Show Options to adjust additional settings, then connect.

VM に対する RDP 接続をトラブルシューティングするにはTo troubleshoot an RDP connection to a VM

VPN 接続を使って仮想マシンに接続する際に問題が発生した場合には、いくつかの点を確認する必要があります。If you're having trouble connecting to a virtual machine over your VPN connection, there are a few things you can check.

  • VPN 接続が成功したことを確認します。Verify that your VPN connection is successful.
  • VM のプライベート IP アドレスに接続していることを確認します。Verify that you're connecting to the private IP address for the VM.
  • ipconfig」と入力して、接続元のコンピューターのイーサネット アダプターに割り当てられている IPv4 アドレスをチェックします。Enter ipconfig to check the IPv4 address assigned to the Ethernet adapter on the computer from which you're connecting. その IP アドレスが、接続先の VNet のアドレス範囲内または VPNClientAddressPool のアドレス範囲内にある場合、アドレス空間の重複が起こります。An overlapping address space occurs when the IP address is within the address range of the VNet that you're connecting to, or within the address range of your VPNClientAddressPool. アドレス空間がこのように重複していると、ネットワーク トラフィックが Azure に到達せずローカル ネットワーク上に留まることになります。When your address space overlaps in this way, the network traffic doesn't reach Azure, it stays on the local network.
  • プライベート IP アドレスを使って VM に接続できるものの、コンピューター名では接続できない場合には、DNS が正しく構成されているかどうかを確認します。If you can connect to the VM by using the private IP address, but not the computer name, verify that you have configured DNS properly. VM の名前解決の動作について詳しくは、VM の名前解決に関するページを参照してください。For more information about how name resolution works for VMs, see Name Resolution for VMs.
  • VNet に対して DNS サーバーの IP アドレスを指定した後に VPN クライアント構成パッケージが生成されたことを確認します。Verify that the VPN client configuration package is generated after you specify the DNS server IP addresses for the VNet. DNS サーバーの IP アドレスを更新した場合は、新しい VPN クライアント構成パッケージを生成してインストールしてください。If you update the DNS server IP addresses, generate and install a new VPN client configuration package.

トラブルシューティングの詳細については、VM へのリモート デスクトップ接続のトラブルシューティングに関するページを参照してください。For more troubleshooting information, see Troubleshoot Remote Desktop connections to a VM.

信頼されたルート証明書を追加または削除するAdd or remove trusted root certificates

信頼されたルート証明書を Azure に追加したり、Azure から削除したりできます。You can add and remove trusted root certificates from Azure. ルート証明書を削除すると、そのルートから生成された証明書を含むクライアントは認証を受けて接続することができなくなります。When you remove a root certificate, clients that have a certificate generated from that root can no longer authenticate and connect. それらのクライアントが再び認証を受けて接続するには、Azure に信頼されているルート証明書から生成された新しいクライアント証明書をインストールする必要があります。For those clients to authenticate and connect again, you must install a new client certificate generated from a root certificate that's trusted by Azure.

信頼されたルート証明書を追加するにはTo add a trusted root certificate

信頼されたルート証明書 .cer ファイルを最大 20 個まで Azure に追加できます。You can add up to 20 trusted root certificate .cer files to Azure. 手順については、ルート証明書 .cer ファイルのアップロードに関するページを参照してください。For instructions, see Upload the root certificate .cer file.

信頼されたルート証明書を削除するにはTo remove a trusted root certificate

  1. VNet のページの [VPN 接続] セクションで、クライアントのグラフィックを選択して [ポイント対サイト VPN 接続] ページを開きます。On the VPN connections section of the page for your VNet, select the clients graphic to open the Point-to-site VPN connection page.

    クライアント

  2. [ポイント対サイト VPN 接続] ページで、 [証明書の管理] を選択して [証明書] ページを開きます。On the Point-to-site VPN connection page, select Manage certificate to open the Certificates page.

    [証明書] ページ

  3. [証明書] ページで、削除する証明書の横にある省略記号を選択し、 [削除] を選択します。On the Certificates page, select the ellipsis next to the certificate that you want to remove, then select Delete.

    ルート証明書の削除

クライアント証明書の失効Revoke a client certificate

必要に応じて、クライアント証明書を失効させることができます。If necessary, you can revoke a client certificate. 証明書失効リストを使用すると、個々のクライアント証明書に基づくポイント対サイト接続を選択して拒否することができます。The certificate revocation list allows you to selectively deny Point-to-Site connectivity based on individual client certificates. この方法は、信頼されたルート証明書の削除とは異なります。This method differs from removing a trusted root certificate. 信頼されたルート証明書 .cer を Azure から削除すると、失効したルート証明書によって生成または署名されたすべてのクライアント証明書のアクセス権が取り消されます。If you remove a trusted root certificate .cer from Azure, it revokes the access for all client certificates generated/signed by the revoked root certificate. ルート証明書ではなくクライアント証明書を失効させることで、ルート証明書から生成されたその他の証明書は、その後もポイント対サイト接続の認証に使用できます。Revoking a client certificate, rather than the root certificate, allows the other certificates that were generated from the root certificate to continue to be used for authentication for the Point-to-Site connection.

一般的な方法としては、ルート証明書を使用してチームまたは組織レベルでアクセスを管理し、失効したクライアント証明書を使用して、個々のユーザーの細かいアクセス制御を構成します。The common practice is to use the root certificate to manage access at team or organization levels, while using revoked client certificates for fine-grained access control on individual users.

クライアント証明書を失効させるにはTo revoke a client certificate

失効リストに拇印を追加することで、クライアント証明書を失効させることができます。You can revoke a client certificate by adding the thumbprint to the revocation list.

  1. クライアント証明書の拇印を取得します。Retrieve the client certificate thumbprint. 詳細については、「方法: 証明書のサムプリントを取得する」を参照してください。For more information, see How to: Retrieve the Thumbprint of a Certificate.
  2. この情報をテキスト エディターにコピーし、連続した文字列になるようにスペースを削除します。Copy the information to a text editor and remove its spaces so that it's a continuous string.
  3. クラシック仮想ネットワークに移動します。Navigate to the classic virtual network. [ポイント対サイト VPN 接続] を選択し、 [証明書の管理] を選択して [証明書] ページを開きます。Select Point-to-site VPN connection, then select Manage certificate to open the Certificates page.
  4. [失効リスト] を選択して [失効リスト] ページを開きます。Select Revocation list to open the Revocation list page.
  5. [証明書の追加] を選択して [失効リストに証明書を追加する] ページを開きます。Select Add certificate to open the Add certificate to revocation list page.
  6. [Thumbprint] (サムプリント) で、証明書のサムプリントをスペースのない連続した 1 行のテキストとして貼り付けます。In Thumbprint, paste the certificate thumbprint as one continuous line of text, with no spaces. [OK] を選択して完了します。Select OK to finish.

更新が完了した後は、証明書を接続に使用することができなくなります。After updating has completed, the certificate can no longer be used to connect. この証明書を使用して接続しようとするクライアントは、その証明書が有効でなくなったことを示すメッセージを受信します。Clients that try to connect by using this certificate receive a message saying that the certificate is no longer valid.

ポイント対サイトに関する FAQPoint-to-Site FAQ

この FAQ は、クラシック デプロイ モデルを使用した P2S 接続に適用されます。This FAQ applies to P2S connections that use the classic deployment model.

ポイント対サイト接続で使用できるクライアント オペレーティング システムを教えてください。What client operating systems can I use with Point-to-Site?

次のクライアント オペレーティング システムがサポートされています。The following client operating systems are supported:

  • Windows 7 (32 ビットと 64 ビット)Windows 7 (32-bit and 64-bit)
  • Windows Server 2008 R2 (64 ビットのみ)Windows Server 2008 R2 (64-bit only)
  • Windows 8 (32 ビットと 64 ビット)Windows 8 (32-bit and 64-bit)
  • Windows 8.1 (32 ビットと 64 ビット)Windows 8.1 (32-bit and 64-bit)
  • Windows Server 2012 (64 ビットのみ)Windows Server 2012 (64-bit only)
  • Windows Server 2012 R2 (64 ビットのみ)Windows Server 2012 R2 (64-bit only)
  • Windows 10Windows 10

ポイント対サイト用に SSTP をサポートしているソフトウェア VPN クライアントを使用できますか。Can I use any software VPN client that supports SSTP for Point-to-Site?

いいえ。No. 一覧にあるバージョンの Windows オペレーティング システムのみがサポートされています。Support is limited only to the listed Windows operating system versions.

ポイント対サイト構成に存在できる VPN クライアント エンドポイントの最大数を教えてください。How many VPN client endpoints can exist in my Point-to-Site configuration?

仮想ネットワークに同時に接続できる VPN クライアント数は、最大で 128 個です。Up to 128 VPN clients can connect to a virtual network at the same time.

ポイント対サイト接続で自社の内部 PKI ルート CA を使用できますか。Can I use my own internal PKI root CA for Point-to-Site connectivity?

はい。Yes. 以前は、自己署名ルート証明書のみを使用できました。Previously, only self-signed root certificates could be used. 引き続き、最大で 20 個のルート証明書をアップロードできます。You can still upload up to 20 root certificates.

ポイント対サイトを使用して、プロキシやファイアウォールを通過できますか。Can I traverse proxies and firewalls by using Point-to-Site?

はい。Yes. ファイアウォールを越えるトンネリングを行うために、SSTP (Secure Socket トンネリング プロトコル) が使用されます。We use Secure Socket Tunneling Protocol (SSTP) to tunnel through firewalls. このトンネルは HTTPS 接続として表示されます。This tunnel appears as an HTTPS connection.

ポイント対サイト接続用に構成されたクライアント コンピューターを再起動した場合、VPN は自動的に再接続されますか。If I restart a client computer configured for Point-to-Site, will the VPN automatically reconnect?

既定では、クライアント コンピューターは VPN 接続を自動的に再確立しません。By default, the client computer won't reestablish the VPN connection automatically.

ポイント対サイトは、VPN クライアントでの自動再接続と DDNS をサポートしていますか。Does Point-to-Site support auto reconnect and DDNS on the VPN clients?

いいえ。No. ポイント対サイト VPN では、自動再接続と DDNS は現時点ではサポートされていません。Auto reconnect and DDNS are currently not supported in Point-to-Site VPNs.

サイト間接続とポイント対サイト接続の構成を同一仮想ネットワークに共存させることはできますか。Can I have Site-to-Site and Point-to-Site configurations for the same virtual network?

はい。Yes. ゲートウェイの VPN の種類が RouteBased の場合は、どちらのソリューションも機能します。Both solutions will work if you have a RouteBased VPN type for your gateway. クラシック デプロイ モデルの場合は、動的ゲートウェイが必要です。For the classic deployment model, you need a dynamic gateway. 静的ルーティング VPN ゲートウェイと、 -VpnType PolicyBased コマンドレットを使用するゲートウェイでは、ポイント対サイト接続はサポートされません。We don't support Point-to-Site for static routing VPN gateways or gateways that use the -VpnType PolicyBased cmdlet.

ポイント対サイト接続のクライアントを同時に複数の仮想ネットワークに接続するように構成することはできますか。Can I configure a Point-to-Site client to connect to multiple virtual networks at the same time?

はい。Yes. ただし、仮想ネットワーク内で重複する IP プレフィックスを使用することはできません。また、ポイント対サイト接続のアドレス空間は仮想ネットワーク間で重複しないようにする必要があります。However, the virtual networks can't have overlapping IP prefixes and the Point-to-Site address spaces must not overlap between the virtual networks.

サイト間接続またはポイント対サイト接続ではどの程度のスループットが得られますか。How much throughput can I expect through Site-to-Site or Point-to-Site connections?

VPN トンネルのスループットを正確に一定レベルに維持することは困難です。It's difficult to maintain the exact throughput of the VPN tunnels. IPsec と SSTP は、VPN プロトコルの中でも暗号化処理の負荷が高いものです。IPsec and SSTP are crypto-heavy VPN protocols. また、スループットはオンプレミスとインターネットの間の待ち時間や帯域幅によっても制限されます。Throughput is also limited by the latency and bandwidth between your premises and the internet.

次の手順Next steps