Azure 証明書認証を使用したポイント対サイト VPN 接続を構成する: Azure portal

この記事では、Windows、Linux、または macOS が実行されている個々のクライアントを Azure VNet に安全に接続する方法を紹介します。 ポイント対サイト VPN 接続は、自宅や会議室でのテレワークなど、リモートの場所から VNet に接続する場合に便利です。 VNet への接続を必要とするクライアントがごく少ない場合は、サイト対サイト VPN の代わりに P2S を使用することもできます。 ポイント対サイト接続に、VPN デバイスや公開 IP アドレスは必要ありません。 P2S により、SSTP (Secure Socket トンネリング プロトコル) または IKEv2 経由の VPN 接続が作成されます。 ポイント対サイト VPN について詳しくは、「ポイント対サイト VPN について」を参照してください。

コンピューターから Azure VNet への接続 - ポイント対サイト接続の図

ポイント対サイト VPN の詳細については、「ポイント対サイト VPN について」を参照してください。 Azure PowerShell を使用してこの構成を作成するには、Azure PowerShell を使用したポイント対サイト VPN の構成に関する記事を参照してください。

ポイント対サイトのネイティブ Azure 証明書認証接続には、以下のものが必要となります。これらの要素をこの演習で構成していきます。

  • RouteBased VPN ゲートウェイ。
  • Azure にアップロードされた、ルート証明書の公開キー (.cer ファイル)。 証明書をアップロードすると、その証明書は信頼された証明書と見なされ、認証に使用されます。
  • ルート証明書から生成されたクライアント証明書。 VNet に接続する予定の各クライアント コンピューターにインストールされるクライアント証明書です。 この証明書はクライアントの認証に使用されます。
  • VPN クライアント構成。 VPN クライアントは、VPN クライアント構成ファイルを使用して構成されます。 これらのファイルには、クライアントと VNet の接続に必要な情報が含まれています。 このファイルを使用すると、オペレーティング システムにネイティブな既存の VPN クライアントが構成されます。 接続する各クライアントは、構成ファイルの設定を使って構成する必要があります。

前提条件

Azure サブスクリプションを持っていることを確認します。 Azure サブスクリプションをまだお持ちでない場合は、MSDN サブスクライバーの特典を有効にするか、無料アカウントにサインアップしてください。

値の例

次の値を使用して、テスト環境を作成できます。また、この値を参考にしながら、この記事の例を確認していくこともできます。

VNet

  • VNet 名: VNet1
  • [アドレス空間]: 10.1.0.0/16
    この例では、1 つのアドレス空間のみを使用します。 VNet には、複数のアドレス空間を使用することができます。
  • サブネット名: FrontEnd
  • サブネットのアドレス範囲: 10.1.0.0/24
  • サブスクリプション: サブスクリプションが複数ある場合は、適切なサブスクリプションを使用していることを確認します。
  • [リソース グループ]: TestRG1
  • [場所]: 米国東部

仮想ネットワーク ゲートウェイ

  • 仮想ネットワーク ゲートウェイ名: VNet1GW
  • ゲートウェイの種類: VPN
  • VPN の種類: ルート ベース
  • SKU: VpnGw2
  • 世代: Generation2
  • ゲートウェイ サブネットのアドレス範囲: 10.1.255.0/27
  • パブリック IP アドレス名: VNet1GWpip

接続の種類とクライアント アドレス プール

  • [接続の種類] : ポイント対サイト
  • クライアント アドレス プール: 172.16.201.0/24
    このポイント対サイト接続を利用して VNet に接続する VPN クライアントは、クライアント アドレス プールから IP アドレスを受け取ります。

VNet を作成する

このセクションでは、仮想ネットワークを作成します。

注意

クロスプレミス アーキテクチャの一部として仮想ネットワークを使用する場合は、必ずオンプレミスのネットワーク管理者と調整を行って、この仮想ネットワーク専用に使用できる IP アドレスの範囲を見つけます。 VPN 接続の両側に重複するアドレス範囲が存在する場合、予期しない方法でトラフィックがルーティングされます。 また、この仮想ネットワークを別の仮想ネットワークに接続する場合、アドレス空間を別の仮想ネットワークと重複させることはできません。 この点を踏まえてネットワーク構成を計画してください。

  1. Azure portal にサインインします。

  2. [Search resources, service, and docs (G+/)](リソース、サービス、ドキュメントを検索する (G+/)) に「virtual network」と入力します。

    Azure portal 検索バーを示すスクリーンショット。

  3. [Marketplace] 結果から [Virtual Network] を選択します。

    Azure portal 検索バーの結果が表示され、Marketplace から Virtual Network を選択していることを示すスクリーンショット。

  4. [仮想ネットワーク] ページで、 [作成] を選択します。

    Virtual Network ページを表示し、[作成] ボタンを選択していることを示すスクリーンショット。

  5. [作成] を選択すると、 [仮想ネットワークの作成] ページが開きます。

  6. [基本] タブで、 [プロジェクトの詳細] および [インスタンスの詳細] VNet 設定を構成します。

    [基本] タブを示すスクリーンショット。

    フィールドへの入力時、各フィールドに入力した文字の有効性が確認されると、緑色のチェック マークが表示されます。 いくつかの値は自動入力されます。実際の値に置き換えてください。

    • サブスクリプション:一覧表示されているサブスクリプションが正しいことを確認します。 ドロップダウンを使用して、サブスクリプションを変更できます。
    • [リソース グループ] :既存のリソース グループを選択するか、 [新規作成] をクリックして新しく作成します。 リソース グループの詳細については、「Azure Resource Manager の概要」を参照してください。
    • Name:仮想ネットワークの名前を入力します。
    • [リージョン] :VNet の場所を選択します。 この場所の設定によって、この VNet にデプロイしたリソースの配置先が決まります。
  7. [IP アドレス] タブで、値を構成します。 次の例に示す値は、デモンストレーションを目的としています。 必要な設定に応じて、これらの値を調整してください。

    [IP アドレス] タブを示すスクリーンショット。

    • [IPv4 アドレス空間] : 既定では、アドレス空間が自動的に作成されます。 アドレス空間をクリックして、独自の値が反映されるように調整できます。 また、新しいアドレス空間を追加することもできます。
    • サブネット:既定のアドレス空間を使用すると、既定のサブネットが自動的に作成されます。 アドレス空間を変更する場合は、サブネットを追加する必要があります。 [+ サブネットの追加] を選択して、 [サブネットの追加] ウィンドウを開きます。 次の設定を構成し、 [追加] を選択して値を追加します。
      • [サブネット名] : この例では、サブネットに "FrontEnd" という名前が付いています。
      • [サブネットのアドレス範囲] : このサブネットのアドレス範囲です。
  8. 現時点では、 [セキュリティ] タブは既定値のままにします。

    • DDos 保護: 無効
    • ファイアウォール:無効
  9. [確認と作成] を選択して、仮想ネットワークの設定を検証します。

  10. 設定が検証されたら、 [作成] を選択します。

VPN ゲートウェイの作成

この手順では、VNet の仮想ネットワーク ゲートウェイを作成します。 選択したゲートウェイ SKU によっては、ゲートウェイの作成に 45 分以上かかる場合も少なくありません。

注意

Basic ゲートウェイ SKU では、IKEv2 と RADIUS 認証はサポートされません。 Mac クライアントを仮想ネットワークに接続する予定がある場合は、Basic SKU を使用しないでください。

仮想ネットワーク ゲートウェイは、"ゲートウェイ サブネット" と呼ばれる特定のサブネットを使用します。 ゲートウェイ サブネットは、仮想ネットワークの構成時に指定した仮想ネットワーク IP アドレス範囲に含まれます。 そこには、仮想ネットワーク ゲートウェイのリソースやサービスによって使用される IP アドレスが含まれます。

ゲートウェイ サブネットを作成するときに、サブネットに含まれる IP アドレスの数を指定します。 必要な IP アドレスの数は、作成する VPN ゲートウェイの構成によって異なります。 一部の構成では、他の構成よりも多くの IP アドレスを割り当てる必要があります。 作成するゲートウェイ サブネットには /27 または /28 を使用することをお勧めします。

アドレス空間がサブネットと重複していることを示すエラーや、ご使用の仮想ネットワークのアドレス空間内にサブネットが存在しないことを示すエラーが表示された場合は、VNet のアドレス範囲をチェックしてください。 仮想ネットワーク用に作成したアドレス範囲から、十分な IP アドレスを確保できない場合があります。 たとえば、既定のサブネットがアドレス範囲全体にわたる場合、新たに別のサブネットを作成するだけの IP アドレスは残っていません。 既存のアドレス空間内のサブネットを調整して IP アドレスを解放するか、または新たに別のアドレス範囲を指定して、そこにゲートウェイ サブネットを作成してください。

  1. [リソース、サービス、ドキュメントの検索 (G+/)] に「仮想ネットワーク ゲートウェイ」と入力します。 検索結果で 仮想ネットワーク ゲートウェイ を見つけて、それを選択します。

    検索フィールドのスクリーンショット。

  2. [仮想ネットワーク ゲートウェイ] ページで、 [+ 作成] を選択します。 [仮想ネットワーク ゲートウェイの作成] ページが開きます。

     [作成] が強調表示されている [仮想ネットワーク ゲートウェイ] ページのスクリーンショット。

  3. [基本] タブで、 [プロジェクトの詳細][インスタンスの詳細] の各値を入力します。

    インスタンスのフィールドのスクリーンショット。

    • サブスクリプション:使用するサブスクリプションをドロップダウンから選択します。
    • リソース グループ:この設定は、このページで仮想ネットワークを選択すると自動入力されます。
    • Name:ゲートウェイに名前を付けます。 ゲートウェイの名前付けは、ゲートウェイ サブネットの名前付けと同じではありません。 作成するゲートウェイ オブジェクトの名前です。
    • [リージョン] :このリソースを作成するリージョンを選択します。 ゲートウェイのリージョンは、仮想ネットワークと同じである必要があります。
    • [ゲートウェイの種類] : [VPN] を選択します。 VPN Gateway では、仮想ネットワーク ゲートウェイの種類として VPN を使用します。
    • VPN の種類:構成に指定されている VPN の種類を選択します。 ほとんどの構成で [VPN の種類] は [ルート ベース] にする必要があります。
    • SKU: 使用するゲートウェイ SKU をドロップダウンから選択します。 ドロップダウン リストに表示される SKU は、選択した VPN の種類によって異なります。 使用する機能をサポートする SKU を選択してください。 ゲートウェイの SKU の詳細については、「ゲートウェイの SKU」を参照してください。
    • 世代: 使用する世代を選択します。 詳細については、「ゲートウェイの SKU」を参照してください。
    • 仮想ネットワーク:ドロップダウンから、このゲートウェイの追加先の仮想ネットワークを選択します。
    • [ゲートウェイ サブネットのアドレス範囲] : このフィールドは、VNet にゲートウェイ サブネットがない場合にのみ表示されます。 これは /27 またはそれ以上 (/26、/25 など) を指定することをお勧めします。 これにより、ExpressRoute ゲートウェイの追加など、将来の変更のために十分な IP アドレスが許可されます。 /28 より小さい範囲を作成することはお勧めしません。 既にゲートウェイ サブネットがある場合は、仮想ネットワークから GatewaySubnet の詳細を表示できます。 範囲を表示するには、 [サブネット] をクリックします。 範囲を変更する場合は、GatewaySubnet を削除して再作成できます。
  1. [パブリック IP アドレス] の各値を指定します。 これらの設定では、VPN ゲートウェイに関連付けられるパブリック IP アドレス オブジェクトを指定します。 パブリック IP アドレスは、VPN ゲートウェイの作成時に、このオブジェクトに対して動的に割り当てられます。 パブリック IP アドレスが変わるのは、ゲートウェイが削除され、再度作成されたときのみです。 VPN ゲートウェイのサイズ変更、リセット、その他の内部メンテナンス/アップグレードでは、IP アドレスは変わりません。

    [パブリック IP アドレス] フィールドのスクリーンショット。

    • [パブリック IP アドレス] : [新規作成] を選択しておいてください。
    • パブリック IP アドレス名:このテキスト ボックスに、パブリック IP アドレス インスタンスの名前を入力します。
    • 割り当て: VPN ゲートウェイでは動的のみがサポートされます。
    • [アクティブ/アクティブ モードの有効化] : [アクティブ/アクティブ モードの有効化] を選択するのは、アクティブ/アクティブ ゲートウェイ構成を作成する場合だけです。 それ以外の場合は、この設定を [Disabled](無効) のままにします。
    • [Configure BGP](BGP の構成) の設定は、実際の構成で特に必要でない限り、 [無効] のままにしておいてください。 この設定が必要である場合、既定の ASN は 65515 です。ただし、これは変わる場合があります。
  2. [確認と作成] を選択して検証を実行します。

  3. 検証に合格したら、 [作成] を選択して VPN ゲートウェイをデプロイします。

デプロイの状態は、ゲートウェイの [概要] ページで確認できます。 ゲートウェイの作成後は、ポータルの仮想ネットワークを調べることで、ゲートウェイに割り当てられている IP アドレスを確認できます。 ゲートウェイは、接続されたデバイスとして表示されます。

重要

ゲートウェイ サブネットを使用する場合は、ゲートウェイ サブネットにネットワーク セキュリティ グループ (NSG) を関連付けないようにしてください。 このサブネットにネットワーク セキュリティ グループを関連付けると、仮想ネットワーク ゲートウェイ (VPN と Express Route ゲートウェイ) が正常に動作しなくなることがあります。 ネットワーク セキュリティ グループの詳細については、ネットワーク セキュリティ グループの概要に関するページを参照してください。

証明書の生成

証明書は、ポイント対サイト VPN 接続を介して VNet に接続するクライアントを認証するために、Azure によって使用されます。 ルート証明書を取得したら、公開キー情報を Azure にアップロードします。 ルート証明書は、Azure によって "信頼された" と見なされ、P2S 経由での仮想ネットワークへの接続に使用されます。 また、信頼されたルート証明書からクライアント証明書を生成し、それを各クライアント コンピューターにインストールします。 クライアント証明書は、クライアントで VNet への接続を開始するときに、そのクライアントを認証するために使用されます。

ルート証明書を生成する

ルート証明書の .cer ファイルを取得します。 エンタープライズ ソリューションを使って生成されたルート証明書を使用することも (推奨)、自己署名証明書を生成することもできます。 ルート証明書の作成後、秘密キーではなく公開証明書データを、Base64 でエンコードされた X.509 .cer ファイルとしてエクスポートします。 このファイルは、後で Azure にアップロードします。

  • エンタープライズ証明書: エンタープライズ ソリューションを使用している場合は、既存の証明書チェーンを使うことができます。 使用するルート証明書の .cer ファイルを取得します。

  • 自己署名ルート証明書: エンタープライズ証明書ソリューションを使用していない場合は、自己署名ルート証明書を作成します。 そうしないと、作成する証明書と P2S 接続との互換性がなくなり、クライアントが接続しようとすると接続エラー メッセージを受信するようになります。 Azure PowerShell、MakeCert、または OpenSSL を使用できます。 以下の記事の手順では、互換性のある自己署名ルート証明書を生成する方法が説明されています。

    • Windows 10 PowerShell の手順: これらの手順で証明書を生成するには、Windows 10 および PowerShell が必要です。 ルート証明書から生成されるクライアント証明書は、サポートされている任意の P2S クライアントにインストールすることができます。
    • MakeCert の手順: 証明書を生成するために使用する Windows 10 コンピューターにアクセスできない場合は、MakeCert を使用します。 MakeCert は非推奨になりましたが、まだ証明書の生成に使用することができます。 ルート証明書から生成されるクライアント証明書は、サポートされている任意の P2S クライアントにインストールすることができます。
    • Linux の手順

クライアント証明書を生成する

お客様がポイント対サイト接続を使用して VNet に接続する各クライアント コンピューターには、クライアント証明書がインストールされていなければなりません。 ルート証明書からそれを生成し、各クライアント コンピューターにインストールします。 有効なクライアント証明書をインストールしないと、クライアントが VNet への接続を試行したときに認証が失敗します。

クライアントごとに一意の証明書を生成することも、複数のクライアントに同じ証明書を使用することもできます。 一意のクライアント証明書を生成する利点は、1 つの証明書を失効させることができる点です。 そうでなければ、複数のクライアントで同じクライアント証明書が認証に使用されていて、お客様がそれを失効させる場合に、その証明書が使用されているすべてのクライアントに対して新しい証明書を生成してインストールする必要があります。

クライアント証明書は、次の方法を使用して生成できます。

  • エンタープライズ証明書:

    • エンタープライズ証明書ソリューションを使用している場合は、共通名の値の形式 name@yourdomain.com を使用してクライアント証明書を生成します。 domain name\username 形式の代わりに、この形式を使用します。

    • クライアント証明書が、ユーザー一覧の最初の項目が "クライアント認証" であるユーザー証明書テンプレートに基づいていることを確認します。 証明書を確認するには、それをダブルクリックし、 [詳細] タブの [拡張キー使用法] を表示します。

  • 自己署名ルート証明書: お客様が作成するクライアント証明書が P2S 接続との互換性を備えるよう、P2S 証明書に関する以下のいずれかの記事の手順に従ってください。

    自己署名ルート証明書からクライアント証明書を生成した場合、お客様が生成に使用したコンピューターにそれが自動的にインストールされます。 クライアント証明書を別のクライアント コンピューターにインストールしたい場合は、それを .pfx ファイルとして、証明書チェーン全体と共にエクスポートします。 そうすることで、クライアントの認証に必要なルート証明書情報が含まれている .pfx ファイルが作成されます。

    これらの記事の手順では、互換性のあるクライアント証明書が生成されます。この証明書をエクスポートして配布できます。

    • Windows 10 PowerShell の手順: これらの手順で証明書を生成するには、Windows 10 および PowerShell が必要です。 生成される証明書は、サポートされている任意の P2S クライアントにインストールできます。

    • MakeCert の手順: 証明書を生成する Windows 10 コンピューターにアクセスできない場合は、MakeCert を使用します。 MakeCert は非推奨になりましたが、まだ証明書の生成に使用することができます。 生成される証明書は、サポートされている任意の P2S クライアントにインストールできます。

    • Linux の手順

VPN クライアント アドレス プールを追加する

クライアント アドレス プールとは、指定するプライベート IP アドレスの範囲です。 ポイント対サイト VPN 経由で接続するクライアントは、この範囲内の IP アドレスを動的に受け取ります。 接続元であるオンプレミスの場所、または接続先とする VNet と重複しないプライベート IP アドレス範囲を使用してください。 複数のプロトコルを構成するとき、SSTP がプロトコルの 1 つの場合、構成後のアドレス プールは構成されるプロトコル間で均等に分割されます。

  1. 仮想ネットワーク ゲートウェイが作成されたら、[仮想ネットワーク ゲートウェイ] ページの [設定] セクションに移動します。 [設定] で、 [ポイント対サイトの構成] を選択します。 [今すぐ構成] を選択して、構成ページを開きます。

    [ポイント対サイトの構成] ページ。

  2. [ポイント対サイトの構成] ページの [アドレス プール] ボックスに、使用するプライベート IP アドレス範囲を追加します。 VPN クライアントには、指定した範囲から動的に IP アドレスが割り当てられます。 最小のサブネット マスクは、アクティブ/パッシブ構成の場合は 29 ビット、アクティブ/アクティブ構成の場合は 28 ビットです。

  3. 次のセクションに進み、認証とトンネルの種類を構成します。

トンネルの種類と認証の種類を指定する

このセクションでは、トンネルの種類と認証の種類を指定します。 [ポイント対サイトの構成] ページで、トンネルの種類も認証の種類も表示されない場合、ご利用のゲートウェイで使用されているのは Basic SKU です。 Basic SKU では、IKEv2 と RADIUS 認証はサポートされません。 これらの設定を使用する場合は、ゲートウェイを削除し、別のゲートウェイ SKU を使って再作成する必要があります。

トンネルの種類

[ポイント対サイトの構成] ページで、 [トンネルの種類] を選択します。 トンネルの種類を選択するときは、次の点にご注意ください。

  • Android と Linux の strongSwan クライアントおよび iOS と macOS のネイティブ IKEv2 VPN クライアントでは、接続にトンネルの種類 IKEv2 のみを使用します。
  • Windows クライアントでは最初に IKEv2 を試し、接続できなかった場合に SSTP にフォールバックします。
  • OpenVPN クライアントを使用して、OpenVPN トンネルの種類に接続することができます。

認証の種類

[認証の種類][Azure 証明書] を選択します。

Azure 証明書が選択されている認証の種類のスクリーンショット。

ルート証明書の公開キー情報のアップロード

このセクションでは、公開ルート証明書データを Azure にアップロードします。 公開証明書データがアップロードされたら、Azure でそれを使用し、信頼されたルート証明書から生成されたクライアント証明書がインストールされているクライアントを認証できます。

  1. [ルート証明書] セクションで 仮想ネットワーク ゲートウェイの [ポイント対サイトの構成] ページに移動します。 このセクションは、認証の種類として [Azure 証明書] を選択した場合にのみ表示されます。

  2. ルート証明書を Base 64 でエンコードされた X.509 (.CER) ファイルとして、エクスポートしたことをご確認ください。 証明書をテキスト エディターで開くことができるように、この形式でエクスポートする必要があります。 秘密キーをエクスポートする必要はありません。

    Base-64 でエンコードされた x.509 としてのエクスポートを示すスクリーンショット。

  3. 証明書をメモ帳などのテキスト エディターで開きます。 証明書データをコピーするときはに、必ず、テキストを復帰や改行のない 1 つの連続した行としてコピーしてください。 復帰や改行を確認するには、テキスト エディターのビューを "記号を表示する/すべての文字を表示する" ように変更することが必要になる場合があります。 次のセクションのみを 1 つの連続した行としてコピーします。

    メモ帳のルート証明書情報を示すスクリーンショット。

  4. [ルート証明書] セクションで、最大 20 個の信頼されたルート証明書を追加できます。

    • [公開証明書データ] フィールドに証明書データを貼り付けます。
    • 証明書に 名前 を付けます。

    証明書データ フィールドのスクリーンショット。

  5. ページの上部にある [保存] を選択して、構成設定をすべて保存します。

    [保存] が選択されている P2S 構成のスクリーンショット。

エクスポートしたクライアント証明書をインストールします

クライアント証明書の生成に使用したクライアント コンピューター以外から P2S 接続を作成する場合は、クライアント証明書をインストールする必要があります。 クライアント証明書をインストールするときに、クライアント証明書のエクスポート時に作成されたパスワードが必要になります。

クライアント証明書が証明書チェーン全体と一緒に .pfx としてエクスポートされている (既定値) ことを確認します。 そうでないと、ルート証明書情報がクライアント コンピューターに存在せず、クライアントは正しく認証されません。

インストールの手順については、クライアント証明書のインストールに関するページを参照してください。

VPN クライアントの設定を構成する

P2S を使用して仮想ネットワーク ゲートウェイに接続するために、各コンピューターは、オペレーティング システムの一部としてネイティブにインストールされている VPN クライアントを使用します。 たとえば、Windows コンピューターの VPN 設定に移動すると、別に VPN クライアントをインストールせずに VPN 接続を追加できます。 各 VPN クライアントは、クライアント構成パッケージを使用して構成します。 クライアント構成パッケージには、作成した VPN ゲートウェイに固有の設定が含まれています。

VPN クライアント構成ファイルの生成とインストールに関する手順については、Azure 証明書認証の P2S 構成のための VPN クライアント構成ファイルを作成およびインストールに関するページを参照してください。

Azure に接続する

Windows VPN クライアントから接続するには

注意

接続元の Windows クライアント コンピューターの管理者権限が必要です。

  1. VNet に接続するには、クライアント コンピューターで VPN 設定に移動し、作成した VPN 接続を見つけます。 仮想ネットワークと同じ名前が付いています。 [接続] を選択します。 証明書を使用することを示すポップアップ メッセージが表示される場合があります。 [続行] を選択して、昇格された特権を使用します。

  2. [接続] 状態ページで、 [接続] を選択して接続を開始します。 [証明書の選択] 画面が表示された場合は、表示されているクライアント証明書が接続に使用する証明書であることを確認します。 そうでない場合は、ドロップダウン矢印を使用して適切な証明書を選び、 [OK] を選択します。

    Windows コンピューターから接続する

  3. 接続が確立されました。

    コンピューターから Azure VNet への接続 - ポイント対サイト接続の図

接続に問題がある場合は、次の点を確認してください。

  • 証明書のエクスポート ウィザード を使用してクライアント証明書をエクスポートした場合は、[証明のパスにある証明書を可能であればすべて含む] を選択してクライアント証明書を .pfx ファイルとしてエクスポートしたことを確認してください。 この値を使用してクライアント証明書をエクスポートすると、ルート証明書情報もエクスポートされます。 クライアント コンピューターに証明書をインストールした後、.pfx ファイルのルート証明書もインストールされます。 ルート証明書がインストールされていることを確認するには、[ユーザー証明書の管理] を開いて [Trusted Root Certification Authorities\Certificates] を選択します。 ルート証明書が一覧にあることを確認します。認証が正しく機能するためには、ルート証明書が必要です。

  • エンタープライズ CA ソリューションによって発行された証明書を使用し、認証できない場合は、クライアント証明書の認証の順序を確認します。 認証の一覧の順序を確認するには、クライアント証明書をダブルクリックし、[詳細] タブ、[拡張キー使用法] の順に選択します。 一覧の最初の項目が "クライアント認証" であることを確認します。 そうでない場合は、一覧の最初の項目が "クライアント認証" であるユーザー テンプレートに基づいたクライアント証明書を発行します。

  • P2S のトラブルシューティングの補足情報については、P2S 接続のトラブルシューティングに関するページを参照してください。

Mac の VPN クライアントから接続するには

[ネットワーク] ダイアログ ボックスで、使用するクライアント プロファイルを検索し、VpnSettings.xml の設定を指定して、 [接続] を選択します。 詳細な手順については、VPN クライアント構成ファイルを生成してインストールする - macOS に関するページを参照してください。

接続に問題がある場合は、仮想ネットワーク ゲートウェイが Basic SKU を使用していないことを確認します。 Basic SKU は Mac クライアントではサポートされていません。

[接続] ボタンを示すスクリーンショット。

接続を確認するには

ここで紹介する手順は、Windows クライアントに適用されます。

  1. VPN 接続がアクティブであることを確認するには、管理者特権でのコマンド プロンプトを開いて、 ipconfig/all を実行します。

  2. 結果を表示します。 受信した IP アドレスが、構成に指定したポイント対サイト VPN クライアント アドレス プール内のアドレスのいずれかであることに注意してください。 結果は次の例のようになります。

    PPP adapter VNet1:
       Connection-specific DNS Suffix .:
       Description.....................: VNet1
       Physical Address................:
       DHCP Enabled....................: No
       Autoconfiguration Enabled.......: Yes
       IPv4 Address....................: 172.16.201.3(Preferred)
       Subnet Mask.....................: 255.255.255.255
       Default Gateway.................:
       NetBIOS over Tcpip..............: Enabled
    

仮想マシンに接続するには

ここで紹介する手順は、Windows クライアントに適用されます。

リモート デスクトップ接続を作成すると、VNet にデプロイされている VM に接続できます。 VM に接続できるかどうかを初めて確認する際に最も良い方法は、その VM のコンピューター名ではなく、プライベート IP アドレスを使って接続してみることです。 この方法であれば、名前の解決が適切に構成されているかではなく、VM に接続できるかどうかをテストすることができます。

  1. プライベート IP アドレスを特定します。 VM のプライベート IP アドレスは、Azure Portal で VM のプロパティを表示するか、PowerShell を使うと確認できます。

    • Azure Portal を使用する場合: Azure Portal で仮想マシンを探します。 VM のプロパティを表示すると、 プライベート IP アドレスが表示されます。

    • PowerShell を使用する場合: 以下の例に示したコマンドを使用すると、リソース グループに含まれる VM とプライベート IP アドレスの一覧が表示されます。 このコマンドは、使用前に変更を加える必要はありません。

      $VMs = Get-AzVM
      $Nics = Get-AzNetworkInterface | Where VirtualMachine -ne $null
      
      foreach($Nic in $Nics)
      {
      $VM = $VMs | Where-Object -Property Id -eq $Nic.VirtualMachine.Id
      $Prv = $Nic.IpConfigurations | Select-Object -ExpandProperty PrivateIpAddress
      $Alloc = $Nic.IpConfigurations | Select-Object -ExpandProperty PrivateIpAllocationMethod
      Write-Output "$($VM.Name): $Prv,$Alloc"
      }
      
  2. ポイント対サイト VPN 接続を使って VNet に接続していることを確認します。

  3. タスク バーの検索ボックスに「RDP」または「リモート デスクトップ接続」と入力してリモート デスクトップ接続を開き、リモート デスクトップ接続 を選択します。 このほか、PowerShell で "mstsc" コマンドを使ってリモート デスクトップ接続を開くこともできます。

  4. リモート デスクトップ接続で、VM のプライベート IP アドレスを入力します。 必要に応じて [オプションの表示] をクリックして追加の設定を済ませたら、接続します。

接続のトラブルシューティング

VPN 接続を使って仮想マシンに接続する際に問題が発生した場合には、次のことを確認してください。

  • VPN 接続が成功したことを確認します。

  • VM のプライベート IP アドレスに接続できていることを確認します。

  • プライベート IP アドレスを使って VM に接続できるものの、コンピューター名では接続できない場合には、DNS が正しく構成されているかどうかを確認します。 VM の名前解決の動作について詳しくは、VM の名前解決に関するページを参照してください。

  • 詳細については、VM に対するリモート デスクトップ接続のトラブルシューティングに関するページを参照してください。

  • VNet に対して DNS サーバーの IP アドレスが指定された後に VPN クライアント構成パッケージが生成されたことを確認します。 DNS サーバーの IP アドレスを更新した場合は、新しい VPN クライアント構成パッケージを生成してインストールしてください。

  • 接続元のコンピューターのイーサネット アダプターに割り当てられている IPv4 アドレスを "ipconfig" でチェックします。 その IP アドレスが、接続先の VNet のアドレス範囲内または VPNClientAddressPool のアドレス範囲内にある場合、これを "アドレス空間の重複" といいます。 アドレス空間がこのように重複していると、ネットワーク トラフィックが Azure に到達せずローカル ネットワーク上に留まることになります。

信頼されたルート証明書を追加または削除するには

信頼されたルート証明書を Azure に追加したり、Azure から削除したりできます。 ルート証明書を削除すると、そのルートから証明書を生成したクライアントは認証が無効となり、接続できなくなります。 クライアントの認証と接続を正常に実行できるようにするには、Azure に信頼されている (Azure にアップロードされている) ルート証明書から生成した新しいクライアント証明書をインストールする必要があります。

信頼されたルート証明書 .cer ファイルを最大 20 個まで Azure に追加できます。 手順については、信頼されたルート証明書のアップロードに関するセクションを参照してください。

信頼されたルート証明書を削除するには

  1. ご利用の仮想ネットワーク ゲートウェイの [ポイント対サイトの構成] ページに移動します。
  2. ページの [ルート証明書] セクションで、削除する証明書を見つけます。
  3. 証明書の横にある省略記号を選んでから、 [削除] を選択します。

クライアント証明書を失効させるには

クライアント証明書は失効させることができます。 証明書失効リストを使用すると、個々のクライアント証明書に基づくポイント対サイト接続を選択して拒否することができます。 これは、信頼されたルート証明書を削除することとは異なります。 信頼されたルート証明書 .cer を Azure から削除すると、失効したルート証明書によって生成または署名されたすべてのクライアント証明書のアクセス権が取り消されます。 ルート証明書ではなくクライアント証明書を失効させることで、ルート証明書から生成されたその他の証明書は、その後も認証に使用できます。

一般的な方法としては、ルート証明書を使用してチームまたは組織レベルでアクセスを管理し、失効したクライアント証明書を使用して、個々のユーザーの細かいアクセス制御を構成します。

失効リストに拇印を追加することで、クライアント証明書を失効させることができます。

  1. クライアント証明書の拇印を取得します。 詳細については、「方法: 証明書のサムプリントを取得する」を参照してください。
  2. 情報をテキスト エディターにコピーし、文字列が 1 つにつながるようにスペースをすべて削除します。
  3. 仮想ネットワーク ゲートウェイの [ポイント対サイトの構成] ページに移動します。 このページは、信頼されたルート証明書のアップロードに使用したものです。
  4. [失効した証明書] セクションで、証明書のフレンドリ名を入力します (証明書 CN にする必要はありません)。
  5. 拇印の文字列をコピーして [拇印] フィールドに貼り付けます。
  6. 拇印が検証され、自動的に失効リストに追加されます。 リストが更新されていることを示すメッセージが画面に表示されます。
  7. 更新が完了した後は、証明書を接続に使用することができなくなります。 この証明書を使用して接続を試みたクライアントには、証明書が無効になっていることを示すメッセージが表示されます。

ポイント対サイトに関する FAQ

よくあるご質問については、FAQ を参照してください。

次のステップ

接続が完成したら、仮想ネットワークに仮想マシンを追加することができます。 詳細については、Virtual Machines に関するページを参照してください。 ネットワークと仮想マシンの詳細については、「Azure と Linux の VM ネットワークの概要」を参照してください。

P2S のトラブルシューティング情報については、Azure ポイント対サイト接続のトラブルシューティングに関するページを参照してください。