ネイティブ Azure 証明書認証を使用した VNet へのポイント対サイト接続の構成: Azure PortalConfigure a Point-to-Site connection to a VNet using native Azure certificate authentication: Azure portal

この記事では、Azure Portal を使用して、ポイント対サイト接続を備えた VNet を Resource Manager デプロイメント モデルで作成する手順を説明します。This article shows you how to create a VNet with a Point-to-Site connection in the Resource Manager deployment model using Azure portal. この構成では、認証に証明書を使用します。This configuration uses certificates for authentication. この構成では、RADIUS サーバーではなく Azure VPN ゲートウェイが証明書の検証を担当します。In this configuration, the Azure VPN gateway performs validation of the certificate, rather than a RADIUS server. また、この構成の作成には、次のリストから別のオプションを選択して、別のデプロイ ツールまたはデプロイ モデルを使用することもできます。You can also create this configuration using a different deployment tool or deployment model by selecting a different option from the following list:

ポイント対サイト (P2S) VPN ゲートウェイでは、個々のクライアント コンピューターから仮想ネットワークへの、セキュリティで保護された接続を作成することができます。A Point-to-Site (P2S) VPN gateway lets you create a secure connection to your virtual network from an individual client computer. ポイント対サイト VPN 接続は、自宅や会議室でのテレワークなど、リモートの場所から VNet に接続する場合に便利です。Point-to-Site VPN connections are useful when you want to connect to your VNet from a remote location, such when you are telecommuting from home or a conference. P2S VPN は、VNet への接続が必要なクライアントがごく少ない場合に、サイト対サイト VPN の代わりに使用するソリューションとしても便利です。A P2S VPN is also a useful solution to use instead of a Site-to-Site VPN when you have only a few clients that need to connect to a VNet. P2S VPN 接続は、Windows デバイスと Mac デバイスから開始されます。A P2S VPN connection is started from Windows and Mac devices.

接続するクライアントでは、次の認証方法を使用できます。Connecting clients can use the following authentication methods:

  • RADIUS サーバーRADIUS server
  • VPN Gateway のネイティブ Azure 証明書認証VPN Gateway native Azure certificate authentication

この記事は、P2S 構成にネイティブ Azure 証明書認証を使った認証を構成する際に役立ちます。This article helps you configure a P2S configuration with authentication using the native Azure certificate authentication. 接続するユーザーを RADIUS を使って認証する場合には、RADIUS 認証を使った P2S に関するページを参照してください。If you want to use RADIUS to authenticate connecting users, see P2S using RADIUS authentication.

コンピューターを Azure VNet に接続する - ポイント対サイト接続の図

ポイント対サイト接続に、VPN デバイスや公開 IP アドレスは必要ありません。Point-to-Site connections do not require a VPN device or a public-facing IP address. P2S により、SSTP (Secure Socket トンネリング プロトコル) または IKEv2 経由の VPN 接続が作成されます。P2S creates the VPN connection over either SSTP (Secure Socket Tunneling Protocol), or IKEv2.

  • SSTP は、Windows クライアント プラットフォームでのみサポートされる SSL ベースの VPN トンネルです。SSTP is an SSL-based VPN tunnel that is supported only on Windows client platforms. ファイアウォールを通過できるため、接続元の場所を問わず Azure に接続する際の理想的なオプションとなっています。It can penetrate firewalls, which makes it an ideal option to connect to Azure from anywhere. サーバー側でのサポート対象の SSTP バージョンは、1.0、1.1、1.2 です。On the server side, we support SSTP versions 1.0, 1.1, and 1.2. 使用するバージョンはクライアントによって決まります。The client decides which version to use. Windows 8.1 以降の場合、SSTP では既定で 1.2 が使用されます。For Windows 8.1 and above, SSTP uses 1.2 by default.

  • IKEv2 VPN。これは、標準ベースの IPsec VPN ソリューションです。IKEv2 VPN, a standards-based IPsec VPN solution. IKEv2 VPN は、Mac デバイス (OSX バージョン 10.11 以上) から接続する際に使用できます。IKEv2 VPN can be used to connect from Mac devices (OSX versions 10.11 and above).

ポイント対サイトのネイティブ Azure 証明書認証接続には、以下のものが必要です。Point-to-Site native Azure certificate authentication connections require the following:

  • RouteBased VPN ゲートウェイ。A RouteBased VPN gateway.
  • Azure にアップロードされた、ルート証明書の公開キー (.cer ファイル)。The public key (.cer file) for a root certificate, which is uploaded to Azure. 証明書をアップロードすると、その証明書は信頼された証明書と見なされ、認証に使用されます。Once the certificate is uploaded, it is considered a trusted certificate and is used for authentication.
  • ルート証明書から生成され、VNet に接続する各クライアント コンピューターにインストールされたクライアント証明書。A client certificate that is generated from the root certificate and installed on each client computer that will connect to the VNet. この証明書はクライアントの認証に使用されます。This certificate is used for client authentication.
  • VPN クライアント構成。A VPN client configuration. VPN クライアント構成ファイルには、クライアントが VNet に接続するために必要な情報が含まれています。The VPN client configuration files contain the necessary information for the client to connect to the VNet. このファイルを使用すると、オペレーティング システムにネイティブな既存の VPN クライアントが構成されます。The files configure the existing VPN client that is native to the operating system. 接続する各クライアントは、構成ファイルの設定を使って構成する必要があります。Each client that connects must be configured using the settings in the configuration files.

ポイント対サイト接続について詳しくは、ポイント対サイト接続に関するページを参照してください。For more information about Point-to-Site connections, see About Point-to-Site connections.

値の例Example values

次の値を使用して、テスト環境を作成できます。また、この値を参考にしながら、この記事の例を確認していくこともできます。You can use the following values to create a test environment, or refer to these values to better understand the examples in this article:

  • VNet 名: VNet1VNet Name: VNet1
  • アドレス空間: 192.168.0.0/16Address space: 192.168.0.0/16
    この例では、1 つのアドレス空間のみを使用します。For this example, we use only one address space. VNet には、複数のアドレス空間を使用することができます。You can have more than one address space for your VNet.
  • サブネット名: FrontEndSubnet name: FrontEnd
  • サブネットのアドレス範囲: 192.168.1.0/24Subnet address range: 192.168.1.0/24
  • サブスクリプション: サブスクリプションが複数ある場合は、適切なサブスクリプションを使用していることを確認します。Subscription: If you have more than one subscription, verify that you are using the correct one.
  • リソース グループ: TestRGResource Group: TestRG
  • 場所: 米国東部Location: East US
  • GatewaySubnet: 192.168.200.0/24GatewaySubnet: 192.168.200.0/24
  • DNS サーバー: (オプション) 名前解決に利用する DNS サーバーの IP アドレス。DNS Server: (optional) IP address of the DNS server that you want to use for name resolution.
  • 仮想ネットワーク ゲートウェイ名: VNet1GWVirtual network gateway name: VNet1GW
  • ゲートウェイの種類: VPNGateway type: VPN
  • VPN の種類: ルート ベースVPN type: Route-based
  • パブリック IP アドレス名: VNet1GWpipPublic IP address name: VNet1GWpip
  • 接続の種類: ポイント対サイトConnection type: Point-to-site
  • クライアント アドレス プール: 172.16.201.0/24Client address pool: 172.16.201.0/24
    このポイント対サイト接続を利用して VNet に接続する VPN クライアントは、クライアント アドレス プールから IP アドレスを受け取ります。VPN clients that connect to the VNet using this Point-to-Site connection receive an IP address from the client address pool.

1.仮想ネットワークの作成1. Create a virtual network

最初に Azure サブスクリプションを持っていることを確認します。Before beginning, verify that you have an Azure subscription. Azure サブスクリプションをまだお持ちでない場合は、MSDN サブスクライバーの特典を有効にするか、無料アカウントにサインアップしてください。If you don't already have an Azure subscription, you can activate your MSDN subscriber benefits or sign up for a free account.

Azure Portal を使用して Resource Manager デプロイメント モデルで VNet を作成するには、次の手順に従います。To create a VNet in the Resource Manager deployment model by using the Azure portal, follow the steps below. スクリーンショットは例として示されています。The screenshots are provided as examples. サンプルの値は必ず実際の値に変更してください。Be sure to replace the values with your own. 仮想ネットワークの操作の詳細については、「 仮想ネットワークの概要」を参照してください。For more information about working with virtual networks, see the Virtual Network Overview.

注意

P2S 構成を作成するだけでなく、この VNet をオンプレミスの場所に接続するには、オンプレミスのネットワーク管理者と調整を行って、この仮想ネットワーク専用に使用できる IP アドレスの範囲を見つけ出す必要があります。If you want this VNet to connect to an on-premises location (in addition to creating a P2S configuration), you need to coordinate with your on-premises network administrator to carve out an IP address range that you can use specifically for this virtual network. VPN 接続の両側に重複するアドレス範囲が存在する場合、トラフィックが期待どおりにルーティングされない可能性があります。If a duplicate address range exists on both sides of the VPN connection, traffic does not route the way you may expect it to. また、この VNet を別の VNet に接続する場合、アドレス空間を他の VNet と重複させることはできません。Additionally, if you want to connect this VNet to another VNet, the address space cannot overlap with other VNet. したがって、慎重にネットワーク構成を計画してください。Take care to plan your network configuration accordingly.

  1. ブラウザーから Azure Portal に移動します。必要であれば Azure アカウントでサインインします。From a browser, navigate to the Azure portal and, if necessary, sign in with your Azure account.
  2. ページの下部にある +」の説明に従って、アプリケーションにシングル サインオンできるようになります。Click +. [Marketplace を検索] フィールドに「仮想ネットワーク」と入力します。In the Search the marketplace field, type "Virtual Network". 検索結果の一覧から [仮想ネットワーク] を探してクリックし、[仮想ネットワーク] ページを開きます。Locate Virtual Network from the returned list and click to open the Virtual Network page.

    仮想ネットワーク リソース ページの検索Locate Virtual Network resource page

  3. [仮想ネットワーク] ページの下の方にある [デプロイ モデルの選択] の一覧で、[リソース マネージャー] を選択し、[作成] をクリックします。Near the bottom of the Virtual Network page, from the Select a deployment model list, select Resource Manager, and then click Create.

    [リソース マネージャー] を選択Select Resource Manager

  4. [仮想ネットワークの作成] ページで、VNet の設定を構成します。On the Create virtual network page, configure the VNet settings. フィールドへの入力時、入力された文字が有効であれば、赤色の感嘆符が緑色のチェック マークに変わります。When you fill in the fields, the red exclamation mark becomes a green check mark when the characters entered in the field are valid. 自動的に入力される値もあります。There may be values that are auto-filled. そのような値については、実際の値に変更してください。If so, replace the values with your own. [仮想ネットワークの作成] ページは、次のようになっています。The Create virtual network page looks similar to the following example:

    フィールドの検証Field validation

  5. [名前]: 仮想ネットワークの名前を入力します。Name: Enter the name for your Virtual Network.
  6. [アドレス空間]: アドレス空間を入力します。Address space: Enter the address space. 追加するアドレス空間が複数ある場合は、1 つ目のアドレス空間を追加してください。If you have multiple address spaces to add, add your first address space. その他のアドレス空間は後で、VNet を作成した後に追加できます。You can add additional address spaces later, after creating the VNet.
  7. [サブスクリプション]: 一覧表示されているサブスクリプションが正しいことを確認します。Subscription: Verify that the Subscription listed is the correct one. ドロップダウンを使用して、サブスクリプションを変更できます。You can change subscriptions by using the drop-down.
  8. [リソース グループ]: 既存のリソース グループを選択するか、新しいリソース グループの名前を入力して新しく作成します。Resource group: Select an existing resource group, or create a new one by typing a name for your new resource group. 新しいグループを作成する場合は、計画した構成値に基づいて、リソース グループに名前を付けます。If you are creating a new group, name the resource group according to your planned configuration values. リソース グループの詳細については、「 Azure リソース マネージャーの概要」を参照してください。For more information about resource groups, visit Azure Resource Manager Overview.
  9. [場所]: VNet の場所を選択します。Location: Select the location for your VNet. この場所の設定によって、この VNet にデプロイしたリソースの配置先が決まります。The location determines where the resources that you deploy to this VNet will reside.
  10. [サブネット]: サブネットの名前とアドレス範囲を追加します。Subnet: Add the subnet name and subnet address range. その他のサブネットは後で、VNet を作成した後に追加できます。You can add additional subnets later, after creating the VNet.
  11. ダッシュボードで VNet を簡単に検索できるようにするには、[ダッシュボードにピン留めする] を選択します。その後、[作成] をクリックします。Select Pin to dashboard if you want to be able to find your VNet easily on the dashboard, and then click Create.

    ダッシュボードにピン留めするPin to dashboard

  12. [作成] をクリックした後で、VNet の進捗状況を反映するタイルがダッシュボードに表示されます。After clicking Create, you will see a tile on your dashboard that will reflect the progress of your VNet. タイルは、VNet の作成が進むに従って変化します。The tile changes as the VNet is being created.

    仮想ネットワークの作成タイルCreating virtual network tile

2.ゲートウェイ サブネットの追加2. Add a gateway subnet

仮想ネットワークをゲートウェイに接続する前に、まず、接続先の仮想ネットワークのゲートウェイ サブネットを作成する必要があります。Before connecting your virtual network to a gateway, you first need to create the gateway subnet for the virtual network to which you want to connect. ゲートウェイ サービスでは、ゲートウェイ サブネット内に指定された IP アドレスを使用します。The gateway services use the IP addresses specified in the gateway subnet. 将来的な構成要件も見越して十分な IP アドレスを確保するために、可能であれば、/28 または /27 の CIDR ブロックを使用してゲートウェイ サブネットを作成します。If possible, create a gateway subnet using a CIDR block of /28 or /27 to provide enough IP addresses to accommodate additional future configuration requirements.

  1. ポータルで、仮想ネットワーク ゲートウェイを作成する Resource Manager 仮想ネットワークに移動します。In the portal, navigate to the Resource Manager virtual network for which you want to create a virtual network gateway.
  2. VNet のページの [設定] セクションで、[サブネット] をクリックして [サブネット] ページを展開します。In the Settings section of your VNet page, click Subnets to expand the Subnets page.
  3. [サブネット] ページで [+ゲートウェイ サブネット] をクリックして、[サブネットの追加] ページを開きます。On the Subnets page, click +Gateway subnet to open the Add subnet page.

    ゲートウェイ サブネットの追加Add the gateway subnet

  4. サブネットの [名前] には、"GatewaySubnet" という値が自動的に入力されます。The Name for your subnet is automatically filled in with the value 'GatewaySubnet'. この値は、Azure がゲートウェイ サブネットとしてこのサブネットを認識するために必要になります。This value is required in order for Azure to recognize the subnet as the gateway subnet. 自動入力される [アドレス範囲] の値を実際の構成要件に合わせて調整し、ページの下部にある [OK] をクリックしてサブネットを作成します。Adjust the auto-filled Address range values to match your configuration requirements, then click OK at the bottom of the page to create the subnet.

    サブネットの追加Adding the subnet

3.DNS サーバーの指定 (省略可能)3. Specify a DNS server (optional)

仮想ネットワークを作成した後は、名前解決を処理するために、DNS サーバーの IP アドレスを追加できます。After you create your virtual network, you can add the IP address of a DNS server to handle name resolution. DNS サーバーはこの構成ではオプションですが、名前解決が必要な場合は必須になります。The DNS server is optional for this configuration, but required if you want name resolution. 値を指定しても新しい DNS サーバーは作成されません。Specifying a value does not create a new DNS server. 指定する DNS サーバーの IP アドレスは、接続先のリソースの名前を解決できる DNS サーバーの IP アドレスである必要があります。The DNS server IP address that you specify should be a DNS server that can resolve the names for the resources you are connecting to. この例ではプライベート IP アドレスを使用していますが、これはおそらく実際の DNS サーバーの IP アドレスと一致しません。For this example, we used a private IP address, but it is likely that this is not the IP address of your DNS server. 実際には独自の値を使用してください。Be sure to use your own values. 指定された値は、P2S 接続や VPN のクライアントではなく、VNet にデプロイするリソースが使用します。The value you specify is used by the resources that you deploy to the VNet, not by the P2S connection or the VPN client.

  1. 仮想ネットワークの [設定] ページで、[DNS サーバー] に移動し、クリックして [DNS サーバー] ブレードを開きます。On the Settings page for your virtual network, navigate to DNS Servers and click to open the DNS servers blade.

    DNS サーバーの追加Add DNS server

    • DNS サーバー: [カスタム] を選択します。DNS Servers: Select select Custom.
    • DNS サーバーの追加: 名前解決に利用する DNS サーバーの IP アドレスを入力します。Add DNS server: Enter the IP address of the DNS server that you want to use for name resolution.
  2. DNS サーバーを追加し終わったら、ブレードの上部の [保存] をクリックします。When you are done adding DNS servers, click Save at the top of the blade.

4.仮想ネットワーク ゲートウェイの作成4. Create a virtual network gateway

  1. ポータルで、左側の [+] をクリックし、検索ボックスに「Virtual Network ゲートウェイ」と入力します。In the portal, on the left side, click + and type 'Virtual Network Gateway' in search. 検索結果で "仮想ネットワーク ゲートウェイ" を探してその項目をクリックします。Locate Virtual network gateway in the search return and click the entry. [仮想ネットワーク ゲートウェイ] ページで、ページ下部の [作成] をクリックして [仮想ネットワーク ゲートウェイの作成] ページを開きます。On the Virtual network gateway page, click Create at the bottom of the page to open the Create virtual network gateway page.
  2. [仮想ネットワーク ゲートウェイの作成] ページで、仮想ネットワーク ゲートウェイの値を入力します。On the Create virtual network gateway page, fill in the values for your virtual network gateway.

    [仮想ネットワーク ゲートウェイの作成] ページのフィールドCreate virtual network gateway page fields

  3. [仮想ネットワーク ゲートウェイの作成] ページで、仮想ネットワーク ゲートウェイの値を指定します。On the Create virtual network gateway page, specify the values for your virtual network gateway.

    • [名前]: ゲートウェイに名前を付けます。Name: Name your gateway. これは、ゲートウェイ サブネットの名前付けと同じではありません。This is not the same as naming a gateway subnet. 作成するゲートウェイ オブジェクトの名前です。It's the name of the gateway object you are creating.
    • [ゲートウェイの種類]: [VPN] を選択します。Gateway type: Select VPN. VPN Gateway では、仮想ネットワーク ゲートウェイの種類として VPN を使用します。VPN gateways use the virtual network gateway type VPN.
    • [VPN の種類]: 構成に指定されている VPN の種類を選択します。VPN type: Select the VPN type that is specified for your configuration. ほとんどの構成で [VPN の種類] は [ルート ベース] にする必要があります。Most configurations require a Route-based VPN type.
    • [SKU]: ゲートウェイの SKU をドロップダウン リストから選択します。SKU: Select the gateway SKU from the dropdown. ドロップダウン リストに表示される SKU は、選択した VPN の種類によって異なります。The SKUs listed in the dropdown depend on the VPN type you select. ゲートウェイの SKU の詳細については、「ゲートウェイの SKU」を参照してください。For more information about gateway SKUs, see Gateway SKUs.
    • [場所]: [場所] が見えない場合はスクロールしてください。Location: You may need to scroll to see Location. 仮想ネットワークの場所を指すように、 [場所] フィールドを調整します。Adjust the Location field to point to the location where your virtual network is located. 対象の仮想ネットワークが存在するリージョンをこの場所が指していない場合、次の手順で仮想ネットワークを選択するときに、ドロップダウン リストに仮想ネットワークが表示されません。If the location is not pointing to the region where your virtual network resides, when you select a virtual network in the next step, it will not appear in the drop-down list.
    • [仮想ネットワーク]: このゲートウェイの追加先の仮想ネットワークを選択します。Virtual network: Choose the virtual network to which you want to add this gateway. [仮想ネットワーク] をクリックして [仮想ネットワークの選択] ページを開きます。Click Virtual network to open the 'Choose a virtual network' page. VNet を選択します。Select the VNet. VNet が表示されない場合は、実際の仮想ネットワークがあるリージョンが [場所] フィールドに指定されていることを確認してください。If you don't see your VNet, make sure the Location field is pointing to the region in which your virtual network is located.
    • [ゲートウェイ サブネットのアドレス範囲]: この設定は、仮想ネットワーク用のゲートウェイ サブネットを事前に作成しなかった場合のみ表示されます。Gateway subnet address range: You will only see this setting if you did not previously create a gateway subnet for your virtual network. 有効なゲートウェイ サブネットを事前に作成した場合、この設定は表示されません。If you previously created a valid gateway subnet, this setting will not appear.
    • [最初の IP 構成]: VPN ゲートウェイに関連付けられるパブリック IP アドレス オブジェクトを [パブリック IP アドレスの選択] ページで作成します。First IP configuration: The 'Choose public IP address' page creates a public IP address object that gets associated to the VPN gateway. パブリック IP アドレスは、VPN ゲートウェイの作成時に、このオブジェクトに対して動的に割り当てられます。The public IP address is dynamically assigned to this object when the VPN gateway is created. VPN Gateway では現在、パブリック IP アドレスの "動的" 割り当てのみサポートしています。VPN Gateway currently only supports Dynamic Public IP address allocation. もっとも、VPN ゲートウェイに割り当てられた IP アドレスが後から変わることは基本的にありません。However, this does not mean that the IP address changes after it has been assigned to your VPN gateway. パブリック IP アドレスが変わるのは、ゲートウェイが削除され、再度作成されたときのみです。The only time the Public IP address changes is when the gateway is deleted and re-created. VPN ゲートウェイのサイズ変更、リセット、その他の内部メンテナンス/アップグレードでは、IP アドレスは変わりません。It doesn't change across resizing, resetting, or other internal maintenance/upgrades of your VPN gateway.

      • 最初に、[ゲートウェイ IP 構成の作成] をクリックして [パブリック IP アドレスの選択] ページを開き、次に、[+ 新規作成] をクリックして [パブリック IP アドレスの作成] ページを開きます。First, click Create gateway IP configuration to open the 'Choose public IP address' page, then click +Create new to open the 'Create public IP address' page.
      • 次に、パブリック IP アドレスの名前を入力します。Next, input a Name for your public IP address. [SKU] は、特に変更する理由がなければ [Basic] のままにしておいてください。その後、このページの下部にある [OK] をクリックして変更を保存します。Leave the SKU as Basic unless there is a specific reason to change it to something else, then click OK at the bottom of this page to save your changes.

        パブリック IP の作成Create public IP

  4. 設定を確認します。Verify the settings. ゲートウェイをダッシュボードに表示する場合は、ページの下部にある [ダッシュボードにピン留めする] を選択します。You can select Pin to dashboard at the bottom of the page if you want your gateway to appear on the dashboard.

  5. [作成] をクリックして、VPN ゲートウェイの作成を開始します。Click Create to begin creating the VPN gateway. 設定が検証され、ダッシュボードに [Deploying Virtual network gateway](仮想ネットワーク ゲートウェイのデプロイ) タイルが表示されます。The settings are validated and you'll see the "Deploying Virtual network gateway" tile on the dashboard. ゲートウェイの作成には、最大で 45 分かかる場合があります。Creating a gateway can take up to 45 minutes. 完了状態を確認するために、ポータル ページの更新が必要な場合があります。You may need to refresh your portal page to see the completed status.

ゲートウェイの作成後、ポータルの仮想ネットワークを調べることで、ゲートウェイに割り当てられている IP アドレスを確認します。After the gateway is created, view the IP address that has been assigned to it by looking at the virtual network in the portal. ゲートウェイは、接続されたデバイスとして表示されます。The gateway appears as a connected device. 詳細を表示するには、接続したデバイス (仮想ネットワーク ゲートウェイ) をクリックします。You can click the connected device (your virtual network gateway) to view more information.

5.証明書の生成5. Generate certificates

証明書は、ポイント対サイト VPN 接続を介して VNet に接続するクライアントを認証するために、Azure によって使用されます。Certificates are used by Azure to authenticate clients connecting to a VNet over a Point-to-Site VPN connection. ルート証明書を取得したら、公開キー情報を Azure にアップロードします。Once you obtain a root certificate, you upload the public key information to Azure. ルート証明書は、Azure によって "信頼された" と見なされ、P2S 経由での仮想ネットワークへの接続に使用されます。The root certificate is then considered 'trusted' by Azure for connection over P2S to the virtual network. また、信頼されたルート証明書からクライアント証明書を生成し、それを各クライアント コンピューターにインストールします。You also generate client certificates from the trusted root certificate, and then install them on each client computer. クライアント証明書は、クライアントで VNet への接続を開始するときに、そのクライアントを認証するために使用されます。The client certificate is used to authenticate the client when it initiates a connection to the VNet.

1.ルート証明書の .cer ファイルの取得1. Obtain the .cer file for the root certificate

エンタープライズ ソリューション (推奨) を使って生成されたルート証明書を使用するか、または自己署名証明書を生成してください。You can use either a root certificate that was generated using an enterprise solution (recommended), or you can generate a self-signed certificate. ルート証明書の作成後、(秘密キーではなく) 公開証明書データを、Base-64 でエンコードされた X.509 .cer ファイルとしてエクスポートし、公開証明書データを Azure にアップロードします。After creating the root certificate, export the public certificate data (not the private key) as a Base-64 encoded X.509 .cer file and upload the public certificate data to Azure.

  • エンタープライズ証明書: エンタープライズ ソリューションを使用している場合、既存の証明書チェーンを使うことができます。Enterprise certificate: If you are using an enterprise solution, you can use your existing certificate chain. 使用するルート証明書の .cer ファイルを取得します。Obtain the .cer file for the root certificate that you want to use.
  • 自己署名ルート証明書: エンタープライズ証明書ソリューションを使用していない場合は、自己署名ルート証明書を作成する必要があります。Self-signed root certificate: If you aren't using an enterprise certificate solution, you need to create a self-signed root certificate. P2S 証明書に関する以下のいずれかの記事の手順に従うことが重要です。It's important that you follow the steps in one of the P2S certificate articles below. そうしないと、作成する証明書と P2S 接続との互換性がなくなり、クライアントが接続しようとすると接続エラー メッセージを受信します。Otherwise, the certificates you create won't be compatible with P2S connections and clients receive a connection error when trying to connect. Azure PowerShell、MakeCert、または OpenSSL を使用できます。You can use Azure PowerShell, MakeCert, or OpenSSL. 以下の各記事の手順で、互換性のある証明書が生成されます。The steps in the provided articles generate a compatible certificate:

    • Windows 10 PowerShell の手順: これらの手順で証明書を生成するには、Windows 10 および PowerShell が必要です。Windows 10 PowerShell instructions: These instructions require Windows 10 and PowerShell to generate certificates. ルート証明書から生成されるクライアント証明書は、サポートされている任意の P2S クライアントにインストールすることができます。Client certificates that are generated from the root certificate can be installed on any supported P2S client.
    • MakeCert の手順: 証明書を生成するために使用する Windows 10 コンピューターにアクセスできない場合は、MakeCert を使用します。MakeCert instructions: Use MakeCert if you don't have access to a Windows 10 computer to use to generate certificates. MakeCert は非推奨になりましたが、まだ MakeCert を使用して証明書を生成することができます。MakeCert deprecated, but you can still use MakeCert to generate certificates. ルート証明書から生成されるクライアント証明書は、サポートされている任意の P2S クライアントにインストールすることができます。Client certificates that are generated from the root certificate can be installed on any supported P2S client.

2.クライアント証明書を生成2. Generate a client certificate

ポイント対サイトで VNet に接続するすべてのクライアント コンピューターには、クライアント証明書がインストールされている必要があります。Each client computer that connects to a VNet using Point-to-Site must have a client certificate installed. クライアント証明書はルート証明書から生成され、各クライアント コンピューターにインストールされます。The client certificate is generated from the root certificate and installed on each client computer. 有効なクライアント証明書がインストールされていない状態でクライアントが VNet に接続した場合、認証に失敗します。If a valid client certificate is not installed and the client tries to connect to the VNet, authentication fails.

クライアントごとに一意の証明書を生成することも、複数のクライアントに同じ証明書を使用することもできます。You can either generate a unique certificate for each client, or you can use the same certificate for multiple clients. 一意のクライアント証明書を生成する利点は、1 つの証明書を失効させることができる点です。The advantage to generating unique client certificates is the ability to revoke a single certificate. そうでなければ、複数のクライアントが同じクライアント証明書を使用していて、その証明書を失効させる必要がある場合は、認証にその証明書を使用するすべてのクライアントに新しい証明書を生成してインストールする必要があります。Otherwise, if multiple clients are using the same client certificate and you need to revoke it, you have to generate and install new certificates for all the clients that use that certificate to authenticate.

クライアント証明書は、次の方法で生成できます。You can generate client certificates using the following methods:

  • エンタープライズ証明書:Enterprise certificate:

    • エンタープライズ証明書ソリューションを使用している場合は、"domain name\username" 形式ではなく、共通名の値の形式 "name@yourdomain.com" を使用してクライアント証明書を生成します。If you are using an enterprise certificate solution, generate a client certificate with the common name value format 'name@yourdomain.com', rather than the 'domain name\username' format.
    • クライアント証明書が、使用リストの最初の項目としてスマート カード ログオンなどではなく "クライアント認証" が指定されている "ユーザー" 証明書テンプレートに基づいていることを確認します。証明書を確認するには、クライアント証明書をダブルクリックし、[詳細]、[拡張キー使用法] の順に選択して表示します。Make sure the client certificate is based on the 'User' certificate template that has 'Client Authentication' as the first item in the use list, rather than Smart Card Logon, etc. You can check the certificate by double-clicking the client certificate and viewing Details > Enhanced Key Usage.
  • 自己署名ルート証明書: P2S 証明書に関する以下のいずれかの記事の手順に従うことが重要です。Self-signed root certificate: It's important that you follow the steps in one of the P2S certificate articles below. そうしないと、作成するクライアント証明書と P2S 接続との互換性がなくなり、クライアントが接続しようとするとエラー メッセージを受信します。Otherwise, the client certificates you create won't be compatible with P2S connections and clients receive an error when trying to connect. 以下のどの記事の手順でも、互換性のあるクライアント証明書が生成されます。The steps in either of the following articles generate a compatible client certificate:

    • Windows 10 PowerShell の手順: これらの手順で証明書を生成するには、Windows 10 および PowerShell が必要です。Windows 10 PowerShell instructions: These instructions require Windows 10 and PowerShell to generate certificates. 生成される証明書は、サポートされている任意の P2S クライアントにインストールすることができます。The certificates that are generated can be installed on any supported P2S client.
    • MakeCert の手順: 証明書を生成するために使用する Windows 10 コンピューターにアクセスできない場合は、MakeCert を使用します。MakeCert instructions: Use MakeCert if you don't have access to a Windows 10 computer to use to generate certificates. MakeCert は非推奨になりましたが、まだ MakeCert を使用して証明書を生成することができます。MakeCert deprecated, but you can still use MakeCert to generate certificates. 生成される証明書は、サポートされている任意の P2S クライアントにインストールすることができます。The certificates that are generated can be installed on any supported P2S client.

    上記の手順で自己署名ルート証明書からクライアント証明書を生成した場合、その作業に使用したコンピューターに自動的にクライアント証明書がインストールされます。When you generate a client certificate from a self-signed root certificate using the preceding instructions, it's automatically installed on the computer that you used to generate it. クライアント証明書を別のクライアント コンピューターにインストールする場合は、その証明書を .pfx として、証明書チェーン全体と共にエクスポートする必要があります。If you want to install a client certificate on another client computer, you need to export it as a .pfx, along with the entire certificate chain. そうすることで、クライアントが正常に認証されるために必要なルート証明書情報が含まれている .pfx ファイルが作成されます。This creates a .pfx file that contains the root certificate information that is required for the client to successfully authenticate. 証明書をエクスポートする手順については、クライアント証明書のエクスポートに関するページを参照してください。For steps to export a certificate, see Certificates - export a client certificate.

6.クライアント アドレス プールの追加6. Add the client address pool

クライアント アドレス プールとは、指定するプライベート IP アドレスの範囲です。The client address pool is a range of private IP addresses that you specify. ポイント対サイト VPN 経由で接続するクライアントは、この範囲内の IP アドレスを受け取ります。The clients that connect over a Point-to-Site VPN receive an IP address from this range. 接続元であるオンプレミスの場所、または接続先とする VNet と重複しないプライベート IP アドレス範囲を使用してください。Use a private IP address range that does not overlap with the on-premises location that you connect from, or the VNet that you want to connect to.

  1. 仮想ネットワーク ゲートウェイが作成されたら、[仮想ネットワーク ゲートウェイ] ページの [設定] セクションに移動します。Once the virtual network gateway has been created, navigate to the Settings section of the virtual network gateway page. [設定] セクションで [ポイント対サイトの構成] をクリックして、[ポイント対サイトの構成] ページを開きます。In the Settings section, click Point-to-site configuration to open the Point-to-Site-Configuration page.

    ポイント対サイトのページ

  2. [ポイント対サイトの構成] ページでは、自動入力される範囲を削除し、使用するプライベート IP アドレス範囲を追加することができます。On the Point-to-Site-Configuration page, you can delete the auto-filled range, then add the private IP address range that you want to use. 設定を確認して保存するには、[保存] をクリックします。Click Save to validate and save the setting.

    クライアント アドレス プール

7.ルート証明書の公開証明書データのアップロード7. Upload the root certificate public certificate data

ゲートウェイが作成された後で、ルート証明書の公開キー情報を Azure にアップロードします。After the gateway has been created, you upload the public key information for the root certificate to Azure. 公開証明書データがアップロードされたら、Azure でそれを使用し、信頼されたルート証明書から生成されたクライアント証明書がインストールされているクライアントを認証できます。Once the public certificate data is uploaded, Azure can use it to authenticate clients that have installed a client certificate generated from the trusted root certificate. その後は、最大で合計 20 個まで、信頼されたルート証明書を追加でアップロードできます。You can upload additional trusted root certificates up to a total of 20.

  1. 証明書は、[ルート証明書] セクションの [ポイント対サイトの構成] ページで追加します。Certificates are added on the Point-to-site configuration page in the Root certificate section.
  2. ルート証明書を Base 64 でエンコードされた X.509 (.cer) ファイルとしてエクスポートしたことを確認してください。Make sure that you exported the root certificate as a Base-64 encoded X.509 (.cer) file. 証明書をテキスト エディターで開くことができるように、この形式でエクスポートする必要があります。You need to export the certificate in this format so you can open the certificate with text editor.
  3. 証明書をメモ帳などのテキスト エディターで開きます。Open the certificate with a text editor, such as Notepad. 証明書データをコピーするときはに、必ず、テキストを復帰や改行のない 1 つの連続した行としてコピーしてください。When copying the certificate data, make sure that you copy the text as one continuous line without carriage returns or line feeds. 復帰や改行を確認するには、テキスト エディターのビューを "記号を表示する/すべての文字を表示する" ように変更することが必要になる場合があります。You may need to modify your view in the text editor to 'Show Symbol/Show all characters' to see the carriage returns and line feeds. 次のセクションのみを 1 つの連続した行としてコピーします。Copy only the following section as one continuous line:

    証明書データ

  4. [公開証明書データ] フィールドに証明書データを貼り付けます。Paste the certificate data into the Public Certificate Data field. 証明書に名前を付けて、[保存] をクリックします。Name the certificate, and then click Save. 最大 20 個の信頼されたルート証明書を追加できます。You can add up to 20 trusted root certificates.

    証明書のアップロード

8.エクスポートしたクライアント証明書のインストール8. Install an exported client certificate

クライアント証明書の生成に使用したクライアント コンピューター以外から P2S 接続を作成する場合は、クライアント証明書をインストールする必要があります。If you want to create a P2S connection from a client computer other than the one you used to generate the client certificates, you need to install a client certificate. クライアント証明書をインストールするときに、クライアント証明書のエクスポート時に作成されたパスワードが必要になります。When installing a client certificate, you need the password that was created when the client certificate was exported.

クライアント証明書が証明書チェーン全体と一緒に .pfx としてエクスポートされている (既定値) ことを確認します。Make sure the client certificate was exported as a .pfx along with the entire certificate chain (which is the default). そうでないと、ルート証明書情報がクライアント コンピューターに存在せず、クライアントは正しく認証されません。Otherwise, the root certificate information isn't present on the client computer and the client won't be able to authenticate properly.

インストールの手順については、クライアント証明書のインストールに関するページを参照してください。For install steps, see Install a client certificate.

9.VPN クライアント構成パッケージの生成とインストール9. Generate and install the VPN client configuration package

VPN クライアント構成ファイルには、P2S 接続を使って VNet に接続できるようにデバイスを構成するための設定が含まれています。The VPN client configuration files contain settings to configure devices to connect to a VNet over a P2S connection. VPN クライアント構成ファイルの生成とインストールに関する手順については、「ネイティブ Azure 証明書認証の P2S 構成のための VPN クライアント構成ファイルを作成およびインストールする」を参照してください。For instructions to generate and install VPN client configuration files, see Create and install VPN client configuration files for native Azure certificate authentication P2S configurations.

10.Azure への接続10. Connect to Azure

Windows VPN クライアントから接続するにはTo connect from a Windows VPN client

  1. VNet に接続するには、クライアント コンピューターで [VPN 接続] に移動し、作成した VPN 接続を見つけます。To connect to your VNet, on the client computer, navigate to VPN connections and locate the VPN connection that you created. 仮想ネットワークと同じ名前が付いています。It is named the same name as your virtual network. [接続]をクリックします。Click Connect. 証明書を使用することを示すポップアップ メッセージが表示される場合があります。A pop-up message may appear that refers to using the certificate. [続行] をクリックして、昇格された特権を使用します。Click Continue to use elevated privileges.

  2. 接続の状態ページで、[接続] をクリックして接続を開始します。On the Connection status page, click Connect to start the connection. [証明書の選択] 画面が表示された場合は、表示されているクライアント証明書が接続に使用する証明書であることを確認します。If you see a Select Certificate screen, verify that the client certificate showing is the one that you want to use to connect. そうでない場合は、ドロップダウン矢印を使用して適切な証明書を選択し、 [OK]をクリックします。If it is not, use the drop-down arrow to select the correct certificate, and then click OK.

    Azure への VPN クライアントの接続

  3. 接続が確立されました。Your connection is established.

    確立された接続

Windows の P2S 接続のトラブルシューティングTroubleshoot Windows P2S connections

接続に問題がある場合は、次の点を確認してください。If you are having trouble connecting, check the following items:

  • クライアント証明書をエクスポートしている場合は、既定値の [証明のパスにある証明書を可能であればすべて含む] を使用してクライアント証明書を .pfx ファイルとしてエクスポートしていることを確認してください。If you exported a client certificate, make sure that you exported it as a .pfx file using the default value 'Include all certificates in the certification path if possible'. この値を使用してクライアント証明書をエクスポートすると、ルート証明書情報もエクスポートされます。When you export it using this value, the root certificate information is also exported. 証明書がクライアント コンピューターにインストールされると、.pfx ファイルに含まれているルート証明書もクライアント コンピューターにインストールされます。When the certificate is installed on the client computer, the root certificate which is contained in the .pfx file is then also installed on the client computer. クライアント コンピューターには、ルート証明書情報がインストールされている必要があります。The client computer must have the root certificate information installed. これを調べるには、[ユーザー証明書の管理] を開き、[信頼されたルート証明機関] の [証明書] に移動します。To check, go to Manage user certificates and navigate to Trusted Root Certification Authorities\Certificates. ルート証明書が表示されていることを確認します。Verify that the root certificate is listed. 認証が正しく機能するためには、ルート証明書が存在している必要があります。The root certificate must be present in order for authentication to work.

  • エンタープライズ CA ソリューションを使用して発行した証明書を使用している場合に認証の問題が発生したときは、クライアント証明書の認証の順序を確認します。If you are using a certificate that was issued using an Enterprise CA solution and are having trouble authenticating, check the authentication order on the client certificate. 認証の一覧の順序を確認するには、クライアント証明書をダブルクリックし、[詳細]、[拡張キー使用法] の順に選択します。You can check the authentication list order by double-clicking the client certificate, and going to Details > Enhanced Key Usage. 一覧の最初の項目として "クライアント認証" が表示されていることを確認します。Make sure the list shows 'Client Authentication' as the first item. 表示されていない場合は、一覧の最初の項目が "クライアント認証" であるユーザー テンプレートに基づいたクライアント証明書を発行する必要があります。If not, you need to issue a client certificate based on the User template that has Client Authentication as the first item in the list.

  • P2S のトラブルシューティングの補足情報については、P2S 接続のトラブルシューティングに関するページを参照してください。For additional P2S troubleshooting information, see Troubleshoot P2S connections.

Mac の VPN クライアントから接続するにはTo connect from a Mac VPN client

[ネットワーク] ダイアログ ボックスで使用するクライアント プロファイルを探し、[接続] をクリックします。From the Network dialog box, locate the client profile that you want to use, then click Connect.

Mac の接続

接続を確認するにはTo verify your connection

ここで紹介する手順は、Windows クライアントに適用されます。These instructions apply to Windows clients.

  1. VPN 接続がアクティブであることを確認するには、管理者特権でのコマンド プロンプトを開いて、 ipconfig/allを実行します。To verify that your VPN connection is active, open an elevated command prompt, and run ipconfig/all.
  2. 結果を表示します。View the results. 受信した IP アドレスが、構成に指定したポイント対サイト VPN クライアント アドレス プール内のアドレスのいずれかであることに注意してください。Notice that the IP address you received is one of the addresses within the Point-to-Site VPN Client Address Pool that you specified in your configuration. 結果は次の例のようになります。The results are similar to this example:

    PPP adapter VNet1:
       Connection-specific DNS Suffix .:
       Description.....................: VNet1
       Physical Address................:
       DHCP Enabled....................: No
       Autoconfiguration Enabled.......: Yes
       IPv4 Address....................: 172.16.201.3(Preferred)
       Subnet Mask.....................: 255.255.255.255
       Default Gateway.................:
       NetBIOS over Tcpip..............: Enabled
    

仮想マシンに接続するにはTo connect to a virtual machine

ここで紹介する手順は、Windows クライアントに適用されます。These instructions apply to Windows clients.

リモート デスクトップ接続を作成すると、VNet にデプロイされている VM に接続できます。You can connect to a VM that is deployed to your VNet by creating a Remote Desktop Connection to your VM. VM に接続できるかどうかを初めて確認する際に最も良い方法は、その VM のコンピューター名ではなく、プライベート IP アドレスを使って接続してみることです。The best way to initially verify that you can connect to your VM is to connect by using its private IP address, rather than computer name. この方法であれば、名前の解決が適切に構成されているかではなく、VM に接続できるかどうかをテストすることができます。That way, you are testing to see if you can connect, not whether name resolution is configured properly.

  1. プライベート IP アドレスを特定します。Locate the private IP address. VM のプライベート IP アドレスは、Azure Portal で VM のプロパティを表示するか、PowerShell を使うと確認できます。You can find the private IP address of a VM by either looking at the properties for the VM in the Azure portal, or by using PowerShell.

    • Azure Portal を使用する場合: Azure Portal で仮想マシンを探します。Azure portal - Locate your virtual machine in the Azure portal. VM のプロパティを表示すると、View the properties for the VM. プライベート IP アドレスが表示されます。The private IP address is listed.

    • PowerShell を使用する場合: 以下の例に示したコマンドを使用すると、リソース グループに含まれる VM とプライベート IP アドレスの一覧が表示されます。PowerShell - Use the example to view a list of VMs and private IP addresses from your resource groups. このコマンドは、使用前に変更を加える必要はありません。You don't need to modify this example before using it.

      $VMs = Get-AzureRmVM
      $Nics = Get-AzureRmNetworkInterface | Where VirtualMachine -ne $null
      
      foreach($Nic in $Nics)
      {
       $VM = $VMs | Where-Object -Property Id -eq $Nic.VirtualMachine.Id
       $Prv = $Nic.IpConfigurations | Select-Object -ExpandProperty PrivateIpAddress
       $Alloc = $Nic.IpConfigurations | Select-Object -ExpandProperty PrivateIpAllocationMethod
       Write-Output "$($VM.Name): $Prv,$Alloc"
      }
      
  2. ポイント対サイト VPN 接続を使って VNet に接続していることを確認します。Verify that you are connected to your VNet using the Point-to-Site VPN connection.

  3. タスク バーの検索ボックスに「RDP」または「リモート デスクトップ接続」と入力してリモート デスクトップ接続を開き、リモート デスクトップ接続を選択します。Open Remote Desktop Connection by typing "RDP" or "Remote Desktop Connection" in the search box on the taskbar, then select Remote Desktop Connection. このほか、PowerShell で "mstsc" コマンドを使ってリモート デスクトップ接続を開くこともできます。You can also open Remote Desktop Connection using the 'mstsc' command in PowerShell.
  4. リモート デスクトップ接続で、VM のプライベート IP アドレスを入力します。In Remote Desktop Connection, enter the private IP address of the VM. 必要に応じて [オプションの表示] をクリックして追加の設定を済ませたら、接続します。You can click "Show Options" to adjust additional settings, then connect.

VM に対する RDP 接続をトラブルシューティングするにはTo troubleshoot an RDP connection to a VM

VPN 接続を使って仮想マシンに接続する際に問題が発生した場合には、次のことを確認してください。If you are having trouble connecting to a virtual machine over your VPN connection, check the following:

  • VPN 接続が成功したことを確認します。Verify that your VPN connection is successful.
  • VM のプライベート IP アドレスに接続できていることを確認します。Verify that you are connecting to the private IP address for the VM.
  • 接続元のコンピューターのイーサネット アダプターに割り当てられている IPv4 アドレスを "ipconfig" でチェックします。Use 'ipconfig' to check the IPv4 address assigned to the Ethernet adapter on the computer from which you are connecting. その IP アドレスが、接続先の VNet のアドレス範囲内または VPNClientAddressPool のアドレス範囲内にある場合、これを "アドレス空間の重複" といいます。If the IP address is within the address range of the VNet that you are connecting to, or within the address range of your VPNClientAddressPool, this is referred to as an overlapping address space. アドレス空間がこのように重複していると、ネットワーク トラフィックが Azure に到達せずローカル ネットワーク上に留まることになります。When your address space overlaps in this way, the network traffic doesn't reach Azure, it stays on the local network.
  • プライベート IP アドレスを使って VM に接続できるものの、コンピューター名では接続できない場合には、DNS が正しく構成されているかどうかを確認します。If you can connect to the VM using the private IP address, but not the computer name, verify that you have configured DNS properly. VM の名前解決の動作について詳しくは、VM の名前解決に関するページを参照してください。For more information about how name resolution works for VMs, see Name Resolution for VMs.
  • VNet に対して DNS サーバーの IP アドレスが指定された後に VPN クライアント構成パッケージが生成されたことを確認します。Verify that the VPN client configuration package was generated after the DNS server IP addresses were specified for the VNet. DNS サーバーの IP アドレスを更新した場合は、新しい VPN クライアント構成パッケージを生成してインストールしてください。If you updated the DNS server IP addresses, generate and install a new VPN client configuration package.
  • 詳細については、VM に対するリモート デスクトップ接続のトラブルシューティングに関するページを参照してください。For more information about RDP connections, see Troubleshoot Remote Desktop connections to a VM.

信頼されたルート証明書を追加または削除するにはTo add or remove trusted root certificates

信頼されたルート証明書を Azure に追加したり、Azure から削除したりできます。You can add and remove trusted root certificates from Azure. ルート証明書を削除すると、そのルートから証明書を生成したクライアントは認証が無効となり、接続できなくなります。When you remove a root certificate, clients that have a certificate generated from that root won't be able to authenticate, and thus will not be able to connect. クライアントの認証と接続を正常に実行できるようにするには、Azure に信頼されている (Azure にアップロードされている) ルート証明書から生成した新しいクライアント証明書をインストールする必要があります。If you want a client to authenticate and connect, you need to install a new client certificate generated from a root certificate that is trusted (uploaded) to Azure.

信頼されたルート証明書を追加するにはTo add a trusted root certificate

信頼されたルート証明書 .cer ファイルを最大 20 個まで Azure に追加できます。You can add up to 20 trusted root certificate .cer files to Azure. 手順については、この記事の信頼されたルート証明書のアップロードに関するセクションを参照してください。For instructions, see the section Upload a trusted root certificate in this article.

信頼されたルート証明書を削除するにはTo remove a trusted root certificate

  1. 信頼されたルート証明書を削除するには、仮想ネットワーク ゲートウェイの [ポイント対サイトの構成] ページに移動します。To remove a trusted root certificate, navigate to the Point-to-site configuration page for your virtual network gateway.
  2. ページの [ルート証明書] セクションで、削除する証明書を見つけます。In the Root certificate section of the page, locate the certificate that you want to remove.
  3. 証明書の横にある省略記号をクリックし、[削除] をクリックします。Click the ellipsis next to the certificate, and then click 'Remove'.

クライアント証明書を失効させるにはTo Revoke a client certificate

クライアント証明書は失効させることができます。You can revoke client certificates. 証明書失効リストを使用すると、個々のクライアント証明書に基づくポイント対サイト接続を選択して拒否することができます。The certificate revocation list allows you to selectively deny Point-to-Site connectivity based on individual client certificates. これは、信頼されたルート証明書を削除することとは異なります。This is different than removing a trusted root certificate. 信頼されたルート証明書 .cer を Azure から削除すると、失効したルート証明書によって生成または署名されたすべてのクライアント証明書のアクセス権が取り消されます。If you remove a trusted root certificate .cer from Azure, it revokes the access for all client certificates generated/signed by the revoked root certificate. ルート証明書ではなくクライアント証明書を失効させることで、ルート証明書から生成されたその他の証明書は、その後も認証に使用できます。Revoking a client certificate, rather than the root certificate, allows the other certificates that were generated from the root certificate to continue to be used for authentication.

一般的な方法としては、ルート証明書を使用してチームまたは組織レベルでアクセスを管理し、失効したクライアント証明書を使用して、個々のユーザーの細かいアクセス制御を構成します。The common practice is to use the root certificate to manage access at team or organization levels, while using revoked client certificates for fine-grained access control on individual users.

クライアント証明書の失効Revoke a client certificate

失効リストに拇印を追加することで、クライアント証明書を失効させることができます。You can revoke a client certificate by adding the thumbprint to the revocation list.

  1. クライアント証明書の拇印を取得します。Retrieve the client certificate thumbprint. 詳細については、「方法: 証明書のサムプリントを取得する」を参照してください。For more information, see How to retrieve the Thumbprint of a Certificate.
  2. 情報をテキスト エディターにコピーし、文字列が 1 つにつながるようにスペースをすべて削除します。Copy the information to a text editor and remove all spaces so that it is a continuous string.
  3. 仮想ネットワーク ゲートウェイの [ポイント対サイトの構成] ページに移動します。Navigate to the virtual network gateway Point-to-site-configuration page. このページは、信頼されたルート証明書のアップロードに使用したものです。This is the same page that you used to upload a trusted root certificate.
  4. [失効した証明書] セクションで、証明書のフレンドリ名を入力します (証明書 CN にする必要はありません)。In the Revoked certificates section, input a friendly name for the certificate (it doesn't have to be the certificate CN).
  5. 拇印の文字列をコピーして [拇印] フィールドに貼り付けます。Copy and paste the thumbprint string to the Thumbprint field.
  6. 拇印が検証され、自動的に失効リストに追加されます。The thumbprint validates and is automatically added to the revocation list. リストが更新されていることを示すメッセージが画面に表示されます。A message appears on the screen that the list is updating.
  7. 更新が完了した後は、証明書を接続に使用することができなくなります。After updating has completed, the certificate can no longer be used to connect. この証明書を使用して接続を試みたクライアントには、証明書が無効になっていることを示すメッセージが表示されます。Clients that try to connect using this certificate receive a message saying that the certificate is no longer valid.

ポイント対サイト接続に関してよく寄せられる質問Point-to-Site FAQ

ポイント対サイト接続で使用できるクライアント オペレーティング システムを教えてください。What client operating systems can I use with Point-to-Site?

次のクライアント オペレーティング システムがサポートされています。The following client operating systems are supported:

  • Windows 7 (32 ビットと 64 ビット)Windows 7 (32-bit and 64-bit)
  • Windows Server 2008 R2 (64 ビットのみ)Windows Server 2008 R2 (64-bit only)
  • Windows 8 (32 ビットと 64 ビット)Windows 8 (32-bit and 64-bit)
  • Windows 8.1 (32 ビットと 64 ビット)Windows 8.1 (32-bit and 64-bit)
  • Windows Server 2012 (64 ビットのみ)Windows Server 2012 (64-bit only)
  • Windows Server 2012 R2 (64 ビットのみ)Windows Server 2012 R2 (64-bit only)
  • Windows Server 2016 (64 ビットのみ)Windows Server 2016 (64-bit only)
  • Windows 10Windows 10
  • Mac 用 OSX バージョン 10.11 (El Capitan)OSX version 10.11 for Mac (El Capitan)
  • Mac 用 macOS バージョン 10.12 (Sierra)macOS version 10.12 for Mac (Sierra)

ポイント対サイト構成で保持できる VPN クライアント エンドポイントの最大数を教えてください。How many VPN client endpoints can I have in my Point-to-Site configuration?

仮想ネットワークに同時に接続できる VPN クライアント数は、最大で 128 個です。We support up to 128 VPN clients to be able to connect to a virtual network at the same time.

プロキシやファイアウォールを経由してポイント対サイト接続の機能を使用できますか。Can I traverse proxies and firewalls using Point-to-Site capability?

Azure では、ポイント対サイト VPN のオプションを 2 種類サポートしています:Azure supports two types of Point-to-site VPN options:

  • Secure Socket Tunneling Protocol (SSTP)。Secure Socket Tunneling Protocol (SSTP). SSTP は Microsoft 独自の SSL ベースのソリューションです。このソリューションは、ほとんどのファイアウォールが 443 SSL で使用する TCP ポートを開いていることを利用し、ファイアウォールを通過することができるようになっています。SSTP is a Microsoft proprietary SSL-based solution that can penetrate firewalls since most firewalls open the TCP port that 443 SSL uses.

  • IKEv2 VPN。IKEv2 VPN. IKEv2 VPN は、標準ベースの IPsec VPN ソリューションであり、UDP ポート 500 と 4500 のほか、IP プロトコル番号 IKEv2 VPN is a standards-based IPsec VPN solution that uses UDP port 500 and 4500 and IP protocol no. 50 を使用しています。50. ファイアウォールでここに挙げたポートが必ずしも開いているとは限りません。このため、IKEv2 VPN ではプロキシとファイアウォールを通過できないことがあります。Firewalls do not always open these ports, so there is a possibility of IKEv2 VPN not being able to traverse proxies and firewalls.

ポイント対サイト接続用に構成されたクライアント コンピューターを再起動した場合、VPN は自動的に再接続されますか。If I restart a client computer configured for Point-to-Site, will the VPN automatically reconnect?

既定では、クライアント コンピューターの再起動時には VPN の自動再接続は行われません。By default, the client computer will not reestablish the VPN connection automatically.

ポイント対サイトの自動再接続と VPN クライアントの DDNS はサポートされていますか。Does Point-to-Site support auto-reconnect and DDNS on the VPN clients?

ポイント対サイト VPN では、自動再接続と DDNS は現時点ではサポートされていません。Auto-reconnect and DDNS are currently not supported in Point-to-Site VPNs.

サイト間接続およびポイント対サイト接続の構成は、同一仮想ネットワークに共存させることはできますか。Can I have Site-to-Site and Point-to-Site configurations coexist for the same virtual network?

はい。Yes. Resource Manager デプロイメント モデルの場合には、ゲートウェイにルートベースの VPN が必要になります。For the Resource Manager deployment model, you must have a RouteBased VPN type for your gateway. クラシック デプロイメント モデルの場合は、動的ゲートウェイが必要です。For the classic deployment model, you need a dynamic gateway. 静的ルーティング VPN ゲートウェイと、ポリシーベースの VPN ゲートウェイでは、ポイント対サイト接続はサポートされません。We do not support Point-to-Site for static routing VPN gateways or PolicyBased VPN gateways.

ポイント対サイト接続のクライアントを同時に複数の仮想ネットワークに接続するように構成することはできますか。Can I configure a Point-to-Site client to connect to multiple virtual networks at the same time?

いいえ。No. ポイント対サイト接続のクライアントは、仮想ネットワーク ゲートウェイが存在する VNet にあるリソースに接続できるにとどまります。A Point-to-Site client can only connect to resources in the VNet in which the virtual network gateway resides.

サイト間接続またはポイント対サイト接続ではどの程度のスループットが得られますか。How much throughput can I expect through Site-to-Site or Point-to-Site connections?

VPN トンネルのスループットを正確に一定レベルに維持することは困難です。It's difficult to maintain the exact throughput of the VPN tunnels. IPsec と SSTP は、VPN プロトコルの中でも暗号化処理の負荷が高いものです。IPsec and SSTP are crypto-heavy VPN protocols. また、スループットはオンプレミスとインターネットの間の待機時間や帯域幅によっても制限されます。Throughput is also limited by the latency and bandwidth between your premises and the Internet. IKEv2 ポイント対サイト VPN 接続のみを使用する VPN ゲートウェイでは、期待できるスループットの総量がゲートウェイの SKU に応じて変わります。For a VPN Gateway with only IKEv2 Point-to-Site VPN connections, the total throughput that you can expect depends on the Gateway SKU. スループットの詳細については、「ゲートウェイの SKU」を参照してください。For more information on throughput, see Gateway SKUs.

SSTP や IKEv2 をサポートしているポイント対サイト接続では、ソフトウェア VPN クライアントを使用できますか。Can I use any software VPN client for Point-to-Site that supports SSTP and/or IKEv2?

いいえ。No. SSTP については Windows のネイティブ VPN クライアント、IKEv2 については Mac のネイティブ VPN クライアントのみ使用できます。You can only use the native VPN client on Windows for SSTP, and the native VPN client on Mac for IKEv2. サポートされているクライアント オペレーティング システムの一覧を参照してください。Refer to the list of supported client operating systems.

Azure は、Windows で IKEv2 VPN をサポートしていますか。Does Azure support IKEv2 VPN with Windows?

ユーザーは、IKEv2 をサポートしている組み込みの Windows VPN クライアントを使用して Azure に接続できます。Users can connect to Azure using the built-in Windows VPN client, which does support IKEv2. ただし、次のシナリオでは、Windows デバイスからの IKEv2 接続は機能しません。But, IKEv2 connections from a Windows device won't work in the following scenario:

ユーザーのデバイスに多くの信頼されたルート証明書が含まれていると、インターネット キー交換中のメッセージ ペイロードのサイズが大きくなり、IP レイヤーの断片化が発生します。When the user's device contains a large number of trusted root certificates, the message payload size during IKE exchange is large and causes IP layer fragmentation. フラグメントは Azure エンドで拒否されるため、接続の失敗につながります。The fragments are rejected at the Azure end, which results in the connection failing. この問題を引き起こす証明書の正確な数は、予測が困難です。The exact certificate count at which this problem occurs is difficult to estimate. その結果、Windows デバイスからの IKEv2 接続が機能するかは保証されません。As a result, IKEv2 connections from Windows devices are not guaranteed to work. Windows デバイスと Mac デバイスが混在する環境で SSTP と IKEv2 の両方を構成すると、Windows VPN プロファイルは必ず最初に IKEv2 トンネルを試行します。When you configure both SSTP and IKEv2 in a mixed environment (consisting of Windows and Mac devices), the Windows VPN profile always tries IKEv2 tunnel first. これがここで説明した問題が原因で失敗すると、SSTP にフォールバックします。If it fails due to the issue described here, it falls back to SSTP.

Windows と Mac 以外に、Azure が P2S VPN 向けにサポートしている他のプラットフォームはありますか。Other than Windows and Mac, which other platforms does Azure support for P2S VPN?

Azure P2S VPN 向けにサポートしているのは、Windows と Mac だけです。Azure supports only Windows and Mac for P2S VPN.

Azure VPN Gateway を既にデプロイしています。I already have an Azure VPN Gateway deployed. ここで RADIUS または IKEv2 VPN または両方を有効にできますか。Can I enable RADIUS and/or IKEv2 VPN on it?

はい。Powershell または Azure Portal を使用して、既にデプロイされているゲートウェイでこれらの新機能を有効にできます。ただし、ご利用のゲートウェイ SKU が、RADIUS と IKEv2 のいずれかまたは両方をサポートしている必要があります。Yes, you can enable these new features on already deployed gateways using Powershell or the Azure portal, provided that the gateway SKU that you are using supports RADIUS and/or IKEv2. たとえば VPN Gateway Basic SKU は、RADIUS と IKEv2 のどちらもサポートしていません。For example, the VPN gateway Basic SKU does not support RADIUS or IKEv2.

ポイント対サイト接続で自社の内部 PKI ルート CA を使用できますか。Can I use my own internal PKI root CA for Point-to-Site connectivity?

はい。Yes. 以前は、自己署名ルート証明書のみを使用できました。Previously, only self-signed root certificates could be used. 現在も 20 ルート証明書までアップロードできます。You can still upload 20 root certificates.

証明書の作成にどのようなツールを使用できますか。What tools can I use to create certificates?

エンタープライズ PKI ソリューション (内部 PKI)、Azure PowerShell、MakeCert、OpenSSL を使用できます。You can use your Enterprise PKI solution (your internal PKI), Azure PowerShell, MakeCert, and OpenSSL.

証明書の設定およびパラメーターに関する指示はありますか。Are there instructions for certificate settings and parameters?

  • 内部 PKI/エンタープライズ PKI ソリューション: 証明書を生成する手順を参照してください。Internal PKI/Enterprise PKI solution: See the steps to Generate certificates.

  • Azure PowerShell: 手順については、Azure PowerShell の記事を参照してください。Azure PowerShell: See the Azure PowerShell article for steps.

  • MakeCert: 手順については、MakeCert の記事を参照してください。MakeCert: See the MakeCert article for steps.

  • OpenSSL:OpenSSL:

    • 証明書をエクスポートするときは、ルート証明書を Base64 に変換してください。When exporting certificates, be sure to convert the root certificate to Base64.

    • クライアント証明書の場合:For the client certificate:

      • 秘密キーを作成する際は、長さを 4096 として指定します。When creating the private key, specify the length as 4096.
      • 証明書を作成する際は、-extensions パラメーターに usr_cert を指定します。When creating the certificate, for the -extensions parameter, specify usr_cert.

次の手順Next steps

接続が完成したら、仮想ネットワークに仮想マシンを追加することができます。Once your connection is complete, you can add virtual machines to your virtual networks. 詳細については、Virtual Machines に関するページを参照してください。For more information, see Virtual Machines. ネットワークと仮想マシンの詳細については、「Azure と Linux の VM ネットワークの概要」を参照してください。To understand more about networking and virtual machines, see Azure and Linux VM network overview.