ネイティブ Azure 証明書認証を使用した VNet へのポイント対サイト VPN 接続の構成:Azure portalConfigure a Point-to-Site VPN connection to a VNet using native Azure certificate authentication: Azure portal

この記事では、Windows、Linux、または Mac OS X が実行されている個々のクライアントを Azure VNet に対して安全に接続する方法を紹介します。This article helps you securely connect individual clients running Windows, Linux, or Mac OS X to an Azure VNet. ポイント対サイト VPN 接続は、自宅や会議室でのテレワークなど、リモートの場所から VNet に接続する場合に便利です。Point-to-Site VPN connections are useful when you want to connect to your VNet from a remote location, such when you are telecommuting from home or a conference. VNet への接続を必要とするクライアントがごく少ない場合は、サイト対サイト VPN の代わりに P2S を使用することもできます。You can also use P2S instead of a Site-to-Site VPN when you have only a few clients that need to connect to a VNet. ポイント対サイト接続に、VPN デバイスや公開 IP アドレスは必要ありません。Point-to-Site connections do not require a VPN device or a public-facing IP address. P2S により、SSTP (Secure Socket トンネリング プロトコル) または IKEv2 経由の VPN 接続が作成されます。P2S creates the VPN connection over either SSTP (Secure Socket Tunneling Protocol), or IKEv2. ポイント対サイト VPN について詳しくは、「ポイント対サイト VPN について」を参照してください。For more information about Point-to-Site VPN, see About Point-to-Site VPN.

コンピューターを Azure VNet に接続する - ポイント対サイト接続の図

ArchitectureArchitecture

ポイント対サイトのネイティブ Azure 証明書認証接続には、以下のものが必要となります。これらの要素をこの演習で構成していきます。Point-to-Site native Azure certificate authentication connections use the following items, which you configure in this exercise:

  • RouteBased VPN ゲートウェイ。A RouteBased VPN gateway.
  • Azure にアップロードされた、ルート証明書の公開キー (.cer ファイル)。The public key (.cer file) for a root certificate, which is uploaded to Azure. 証明書をアップロードすると、その証明書は信頼された証明書と見なされ、認証に使用されます。Once the certificate is uploaded, it is considered a trusted certificate and is used for authentication.
  • ルート証明書から生成されたクライアント証明書。A client certificate that is generated from the root certificate. VNet に接続する予定の各クライアント コンピューターにインストールされるクライアント証明書です。The client certificate installed on each client computer that will connect to the VNet. この証明書はクライアントの認証に使用されます。This certificate is used for client authentication.
  • VPN クライアント構成。A VPN client configuration. VPN クライアント構成ファイルには、クライアントが VNet に接続するために必要な情報が含まれています。The VPN client configuration files contain the necessary information for the client to connect to the VNet. このファイルを使用すると、オペレーティング システムにネイティブな既存の VPN クライアントが構成されます。The files configure the existing VPN client that is native to the operating system. 接続する各クライアントは、構成ファイルの設定を使って構成する必要があります。Each client that connects must be configured using the settings in the configuration files.

値の例Example values

次の値を使用して、テスト環境を作成できます。また、この値を参考にしながら、この記事の例を確認していくこともできます。You can use the following values to create a test environment, or refer to these values to better understand the examples in this article:

  • VNet 名: VNet1VNet Name: VNet1
  • [アドレス空間]: 10.1.0.0/16Address space: 10.1.0.0/16
    この例では、1 つのアドレス空間のみを使用します。For this example, we use only one address space. VNet には、複数のアドレス空間を使用することができます。You can have more than one address space for your VNet.
  • サブネット名: FrontEndSubnet name: FrontEnd
  • サブネットのアドレス範囲: 10.1.0.0/24Subnet address range: 10.1.0.0/24
  • サブスクリプション: サブスクリプションが複数ある場合は、適切なサブスクリプションを使用していることを確認します。Subscription: If you have more than one subscription, verify that you are using the correct one.
  • [リソース グループ]: TestRG1Resource Group: TestRG1
  • [場所]: 米国東部Location: East US
  • GatewaySubnet: 10.1.255.0/27GatewaySubnet: 10.1.255.0/27
  • 仮想ネットワーク ゲートウェイ名: VNet1GWVirtual network gateway name: VNet1GW
  • ゲートウェイの種類: VPNGateway type: VPN
  • VPN の種類: ルート ベースVPN type: Route-based
  • パブリック IP アドレス名: VNet1GWpipPublic IP address name: VNet1GWpip
  • [接続の種類] : ポイント対サイトConnection type: Point-to-site
  • クライアント アドレス プール: 172.16.201.0/24Client address pool: 172.16.201.0/24
    このポイント対サイト接続を利用して VNet に接続する VPN クライアントは、クライアント アドレス プールから IP アドレスを受け取ります。VPN clients that connect to the VNet using this Point-to-Site connection receive an IP address from the client address pool.

1.仮想ネットワークの作成1. Create a virtual network

最初に Azure サブスクリプションを持っていることを確認します。Before beginning, verify that you have an Azure subscription. Azure サブスクリプションをまだお持ちでない場合は、MSDN サブスクライバーの特典を有効にするか、無料アカウントにサインアップしてください。If you don't already have an Azure subscription, you can activate your MSDN subscriber benefits or sign up for a free account.

VNet は、Resource Manager デプロイ モデルと Azure portal を使用し、以下の手順に従って作成できます。You can create a VNet with the Resource Manager deployment model and the Azure portal by following these steps. 仮想ネットワークの詳細については、Virtual Network の概要に関するページを参照してください。For more information about virtual networks, see Virtual Network overview.

注意

クロスプレミス アーキテクチャの一部として仮想ネットワークを使用する場合は、必ずオンプレミスのネットワーク管理者と調整を行って、この仮想ネットワーク専用に使用できる IP アドレスの範囲を見つけます。When using a virtual network as part of a cross-premises architecture, be sure to coordinate with your on-premises network administrator to carve out an IP address range that you can use specifically for this virtual network. VPN 接続の両側に重複するアドレス範囲が存在する場合、予期しない方法でトラフィックがルーティングされます。If a duplicate address range exists on both sides of the VPN connection, traffic will route in an unexpected way. また、この仮想ネットワークを別の仮想ネットワークに接続する場合、アドレス空間を別の仮想ネットワークと重複させることはできません。Additionally, if you want to connect this virtual network to another virtual network, the address space cannot overlap with the other virtual network. この点を踏まえてネットワーク構成を計画してください。Plan your network configuration accordingly.

  1. Azure portal にサインインします。Sign in to the Azure portal.

  2. [Search resources, service, and docs (G+/)](リソース、サービス、ドキュメントを検索する (G+/)) に「virtual network」と入力します。In Search resources, service, and docs (G+/), type virtual network.

    仮想ネットワークのリソース ページを探すLocate Virtual Network resource page

  3. [Marketplace] 結果から [Virtual Network] を選択します。Select Virtual Network from the Marketplace results.

    仮想ネットワークを選択するSelect virtual network

  4. [仮想ネットワーク] ページで、 [作成] を選択します。On the Virtual Network page, select Create.

    仮想ネットワーク ページvirtual network page

  5. [作成] を選択すると、 [仮想ネットワークの作成] ページが開きます。Once you select Create, the Create virtual network page opens.

  6. [基本] タブで、 [プロジェクトの詳細] および [インスタンスの詳細] VNet 設定を構成します。On the Basics tab, configure Project details and Instance details VNet settings.

    [基本] タブ フィールドへの入力時、各フィールドに入力した文字の有効性が確認されると、緑色のチェック マークが表示されます。Basics tab When you fill in the fields, you see a green check mark when the characters you enter in the field are validated. いくつかの値は自動入力されます。実際の値に置き換えてください。Some values are autofilled, which you can replace with your own values:

    • サブスクリプション:一覧表示されているサブスクリプションが正しいことを確認します。Subscription: Verify that the subscription listed is the correct one. ドロップダウンを使用して、サブスクリプションを変更できます。You can change subscriptions by using the drop-down.
    • [リソース グループ] :既存のリソース グループを選択するか、 [新規作成] をクリックして新しく作成します。Resource group: Select an existing resource group, or click Create new to create a new one. リソース グループの詳細については、「Azure Resource Manager の概要」を参照してください。For more information about resource groups, see Azure Resource Manager overview.
    • Name:仮想ネットワークの名前を入力します。Name: Enter the name for your virtual network.
    • [リージョン] :VNet の場所を選択します。Region: Select the location for your VNet. この場所の設定によって、この VNet にデプロイしたリソースの配置先が決まります。The location determines where the resources that you deploy to this VNet will live.
  7. [IP アドレス] タブで、値を構成します。On the IP Addresses tab, configure the values. 次の例に示す値は、デモンストレーションを目的としています。The values shown in the examples below are for demonstration purposes. 必要な設定に応じて、これらの値を調整してください。Adjust these values according to the settings that you require.

    [IP アドレス] タブIP addresses tab

    • [IPv4 アドレス空間] : 既定では、アドレス空間が自動的に作成されます。IPv4 address space: By default, an address space is automatically created. アドレス空間をクリックして、独自の値が反映されるように調整できます。You can click the address space to adjust it to reflect your own values. また、新しいアドレス空間を追加することもできます。You can also add additional address spaces.
    • [IPv6] : 構成に IPv6 アドレス空間が必要な場合、 [IPv6 アドレス空間の追加] ボックスをオンにし、その情報を入力します。IPv6: If your configuration requires IPv6 address space, select the Add IPv6 address space box to enter that information.
    • サブネット:既定のアドレス空間を使用すると、既定のサブネットが自動的に作成されます。Subnet: If you use the default address space, a default subnet is created automatically. アドレス空間を変更する場合は、サブネットを追加する必要があります。If you change the address space, you need to add a subnet. [+ サブネットの追加] を選択して、 [サブネットの追加] ウィンドウを開きます。Select + Add subnet to open the Add subnet window. 次の設定を構成し、 [追加] を選択して値を追加します。Configure the following settings and then select Add to add the values:
      • [サブネット名] : この例では、サブネットに "FrontEnd" という名前が付いています。Subnet name: In this example, we named the subnet "FrontEnd".
      • [サブネットのアドレス範囲] : このサブネットのアドレス範囲です。Subnet address range: The address range for this subnet.
  8. 現時点では、 [セキュリティ] タブは既定値のままにします。On the Security tab, at this time, leave the default values:

    • DDos 防御:BasicDDos protection: Basic
    • ファイアウォール:無効Firewall: Disabled
  9. [確認と作成] を選択して、仮想ネットワークの設定を検証します。Select Review + create to validate the virtual network settings.

  10. 設定が検証されたら、 [作成] を選択します。After the settings have been validated, select Create.

2.仮想ネットワーク ゲートウェイの作成2. Create a virtual network gateway

この手順では、VNet の仮想ネットワーク ゲートウェイを作成します。In this step, you create the virtual network gateway for your VNet. 選択したゲートウェイ SKU によっては、ゲートウェイの作成に 45 分以上かかる場合も少なくありません。Creating a gateway can often take 45 minutes or more, depending on the selected gateway SKU.

注意

Basic ゲートウェイ SKU では、IKEv2 と RADIUS 認証はサポートされません。The Basic gateway SKU does not support IKEv2 or RADIUS authentication. Mac クライアントを仮想ネットワークに接続する予定がある場合は、Basic SKU を使用しないでください。If you plan on having Mac clients connect to your virtual network, do not use the Basic SKU.

仮想ネットワーク ゲートウェイは、"ゲートウェイ サブネット" と呼ばれる特定のサブネットを使用します。The virtual network gateway uses specific subnet called the gateway subnet. ゲートウェイ サブネットは、仮想ネットワークの構成時に指定した仮想ネットワーク IP アドレス範囲に含まれます。The gateway subnet is part of the virtual network IP address range that you specify when configuring your virtual network. そこには、仮想ネットワーク ゲートウェイのリソースやサービスによって使用される IP アドレスが含まれます。It contains the IP addresses that the virtual network gateway resources and services use.

ゲートウェイ サブネットを作成するときに、サブネットに含まれる IP アドレスの数を指定します。When you create the gateway subnet, you specify the number of IP addresses that the subnet contains. 必要な IP アドレスの数は、作成する VPN ゲートウェイの構成によって異なります。The number of IP addresses needed depends on the VPN gateway configuration that you want to create. 一部の構成では、他の構成よりも多くの IP アドレスを割り当てる必要があります。Some configurations require more IP addresses than others. 作成するゲートウェイ サブネットには /27 または /28 を使用することをお勧めします。We recommend that you create a gateway subnet that uses a /27 or /28.

アドレス空間がサブネットと重複していることを示すエラーや、ご使用の仮想ネットワークのアドレス空間内にサブネットが存在しないことを示すエラーが表示された場合は、VNet のアドレス範囲をチェックしてください。If you see an error that specifies that the address space overlaps with a subnet, or that the subnet is not contained within the address space for your virtual network, check your VNet address range. 仮想ネットワーク用に作成したアドレス範囲から、十分な IP アドレスを確保できない場合があります。You may not have enough IP addresses available in the address range you created for your virtual network. たとえば、既定のサブネットがアドレス範囲全体にわたる場合、新たに別のサブネットを作成するだけの IP アドレスは残っていません。For example, if your default subnet encompasses the entire address range, there are no IP addresses left to create additional subnets. 既存のアドレス空間内のサブネットを調整して IP アドレスを解放するか、または新たに別のアドレス範囲を指定して、そこにゲートウェイ サブネットを作成してください。You can either adjust your subnets within the existing address space to free up IP addresses, or specify an additional address range and create the gateway subnet there.

  1. Azure portal メニューから [リソースの作成] を選択します。From the Azure portal menu, select Create a resource.

    Azure portal でリソースを作成する

  2. [Marketplace を検索] フィールドに「仮想ネットワーク ゲートウェイ」と入力します。In the Search the Marketplace field, type 'Virtual Network Gateway'. 検索結果で仮想ネットワーク ゲートウェイを見つけて、そのエントリを選択します。Locate Virtual network gateway in the search return and select the entry. [仮想ネットワーク ゲートウェイ] のページで、 [作成] を選択します。On the Virtual network gateway page, select Create. [仮想ネットワーク ゲートウェイの作成] ページが開きます。This opens the Create virtual network gateway page.

  3. [基本] タブで、仮想ネットワーク ゲートウェイの値を入力します。On the Basics tab, fill in the values for your virtual network gateway.

    [仮想ネットワーク ゲートウェイの作成] ページのフィールドCreate virtual network gateway page fields

    [仮想ネットワーク ゲートウェイの作成] ページのフィールドCreate virtual network gateway page fields

    プロジェクトの詳細Project details

    • サブスクリプション:使用するサブスクリプションをドロップダウンから選択します。Subscription: Select the subscription you want to use from the dropdown.
    • リソース グループ:この設定は、このページで仮想ネットワークを選択すると自動入力されます。Resource Group: This setting is autofilled when you select your virtual network on this page.

    インスタンスの詳細Instance details

    • Name:ゲートウェイに名前を付けます。Name: Name your gateway. ゲートウェイの名前付けは、ゲートウェイ サブネットの名前付けと同じではありません。Naming your gateway not the same as naming a gateway subnet. 作成するゲートウェイ オブジェクトの名前です。It's the name of the gateway object you are creating.
    • [リージョン] :このリソースを作成するリージョンを選択します。Region: Select the region in which you want to create this resource. ゲートウェイのリージョンは、仮想ネットワークと同じである必要があります。The region for the gateway must be the same as the virtual network.
    • [ゲートウェイの種類] : [VPN] を選択します。Gateway type: Select VPN. VPN Gateway では、仮想ネットワーク ゲートウェイの種類として VPN を使用します。VPN gateways use the virtual network gateway type VPN.
    • VPN の種類:構成に指定されている VPN の種類を選択します。VPN type: Select the VPN type that is specified for your configuration. ほとんどの構成で [VPN の種類] は [ルート ベース] にする必要があります。Most configurations require a Route-based VPN type.
    • SKU:ゲートウェイの SKU をドロップダウンから選択します。SKU: Select the gateway SKU from the dropdown. ドロップダウン リストに表示される SKU は、選択した VPN の種類によって異なります。The SKUs listed in the dropdown depend on the VPN type you select. ゲートウェイの SKU の詳細については、「ゲートウェイの SKU」を参照してください。For more information about gateway SKUs, see Gateway SKUs.
    • 世代: VPN ゲートウェイの世代については、「ゲートウェイの SKU」を参照してください。Generation: For information about VPN Gateway Generation, see Gateway SKUs.
    • 仮想ネットワーク:ドロップダウンから、このゲートウェイの追加先の仮想ネットワークを選択します。Virtual network: From the dropdown, select the virtual network to which you want to add this gateway.
    • [ゲートウェイ サブネットのアドレス範囲] : このフィールドは、VNet にゲートウェイ サブネットがない場合にのみ表示されます。Gateway subnet address range: This field only appears if your VNet doesn't have a gateway subnet. 可能であれば、範囲を /27 以上 (/26、/25 など) に指定してください。If possible, make the range /27 or larger (/26,/25 etc.). /28 より小さい範囲を作成することはお勧めしません。We don't recommend creating a range any smaller than /28. 既にゲートウェイ サブネットがある場合は、仮想ネットワークから GatewaySubnet の詳細を表示できます。If you already have a gateway subnet, you can view GatewaySubnet details by navigating to your virtual network. 範囲を表示するには、 [サブネット] をクリックします。Click Subnets to view the range. 範囲を変更する場合は、GatewaySubnet を削除して再作成できます。If you want to change the range, you can delete and recreate the GatewaySubnet.

    [パブリック IP アドレス] : この設定は、VPN ゲートウェイに関連付けられるパブリック IP アドレス オブジェクトを指定します。Public IP address: This setting specifies the public IP address object that gets associated to the VPN gateway. パブリック IP アドレスは、VPN ゲートウェイの作成時に、このオブジェクトに対して動的に割り当てられます。The public IP address is dynamically assigned to this object when the VPN gateway is created. パブリック IP アドレスが変わるのは、ゲートウェイが削除され、再度作成されたときのみです。The only time the Public IP address changes is when the gateway is deleted and re-created. VPN ゲートウェイのサイズ変更、リセット、その他の内部メンテナンス/アップグレードでは、IP アドレスは変わりません。It doesn't change across resizing, resetting, or other internal maintenance/upgrades of your VPN gateway.

    • [パブリック IP アドレス] : [新規作成] を選択しておいてください。Public IP address: Leave Create new selected.
    • パブリック IP アドレス名:このテキスト ボックスに、パブリック IP アドレス インスタンスの名前を入力します。Public IP address name: In the text box, type a name for your public IP address instance.
    • 割り当て: VPN ゲートウェイでは動的のみがサポートされます。Assignment: VPN gateway supports only Dynamic.

    アクティブ/アクティブ モード: [アクティブ/アクティブ モードの有効化] を選択するのは、アクティブ/アクティブ ゲートウェイ構成を作成する場合だけです。Active-Active mode: Only select Enable active-active mode if you are creating an active-active gateway configuration. それ以外の場合、この設定はオフにしておいてください。Otherwise, leave this setting unselected.

    [BGP ASN の構成] の設定は、実際の構成で特に必要でない限り、オフにしておいてください。Leave Configure BGP ASN deselected, unless your configuration specifically requires this setting. この設定が必要である場合、既定の ASN は 65515 です。ただし、これは変わる場合があります。If you do require this setting, the default ASN is 65515, although this can be changed.

  4. [確認と作成] を選択して検証を実行します。Select Review + create to run validation. 検証に合格したら、 [作成] を選択して VPN ゲートウェイをデプロイします。Once validation passes, select Create to deploy the VPN gateway. ゲートウェイを完全に作成してデプロイするには最大で 45 分かかることがあります。A gateway can take up to 45 minutes to fully create and deploy. デプロイの状態は、ゲートウェイの [概要] ページで確認できます。You can see the deployment status on the Overview page for your gateway.

ゲートウェイの作成後は、ポータルの仮想ネットワークを調べることで、ゲートウェイに割り当てられている IP アドレスを確認できます。After the gateway is created, you can view the IP address that has been assigned to it by looking at the virtual network in the portal. ゲートウェイは、接続されたデバイスとして表示されます。The gateway appears as a connected device.

3.証明書の生成3. Generate certificates

証明書は、ポイント対サイト VPN 接続を介して VNet に接続するクライアントを認証するために、Azure によって使用されます。Certificates are used by Azure to authenticate clients connecting to a VNet over a Point-to-Site VPN connection. ルート証明書を取得したら、公開キー情報を Azure にアップロードします。Once you obtain a root certificate, you upload the public key information to Azure. ルート証明書は、Azure によって "信頼された" と見なされ、P2S 経由での仮想ネットワークへの接続に使用されます。The root certificate is then considered 'trusted' by Azure for connection over P2S to the virtual network. また、信頼されたルート証明書からクライアント証明書を生成し、それを各クライアント コンピューターにインストールします。You also generate client certificates from the trusted root certificate, and then install them on each client computer. クライアント証明書は、クライアントで VNet への接続を開始するときに、そのクライアントを認証するために使用されます。The client certificate is used to authenticate the client when it initiates a connection to the VNet.

1.ルート証明書の .cer ファイルの取得1. Obtain the .cer file for the root certificate

エンタープライズ ソリューションを使って生成されたルート証明書を使用する (推奨) か、または自己署名証明書を生成します。Use either a root certificate that was generated with an enterprise solution (recommended), or generate a self-signed certificate. ルート証明書の作成後、秘密キーではなく公開証明書データを、Base64 でエンコードされた X.509 .cer ファイルとしてエクスポートします。After you create the root certificate, export the public certificate data (not the private key) as a Base64 encoded X.509 .cer file. その後、公開証明書データを Azure サーバーにアップロードします。Then, upload the public certificate data to the Azure server.

  • エンタープライズ証明書: エンタープライズ ソリューションを使用している場合は、既存の証明書チェーンを使うことができます。Enterprise certificate: If you're using an enterprise solution, you can use your existing certificate chain. 使用するルート証明書の .cer ファイルを取得します。Acquire the .cer file for the root certificate that you want to use.

  • 自己署名ルート証明書: エンタープライズ証明書ソリューションを使用していない場合は、自己署名ルート証明書を作成します。Self-signed root certificate: If you aren't using an enterprise certificate solution, create a self-signed root certificate. そうしないと、作成する証明書と P2S 接続との互換性がなくなり、クライアントが接続しようとすると接続エラー メッセージを受信するようになります。Otherwise, the certificates you create won't be compatible with your P2S connections and clients will receive a connection error when they try to connect. Azure PowerShell、MakeCert、または OpenSSL を使用できます。You can use Azure PowerShell, MakeCert, or OpenSSL. 以下の記事の手順では、互換性のある自己署名ルート証明書を生成する方法が説明されています。The steps in the following articles describe how to generate a compatible self-signed root certificate:

    • Windows 10 PowerShell の手順: これらの手順で証明書を生成するには、Windows 10 および PowerShell が必要です。Windows 10 PowerShell instructions: These instructions require Windows 10 and PowerShell to generate certificates. ルート証明書から生成されるクライアント証明書は、サポートされている任意の P2S クライアントにインストールすることができます。Client certificates that are generated from the root certificate can be installed on any supported P2S client.
    • MakeCert の手順: 証明書を生成するために使用する Windows 10 コンピューターにアクセスできない場合は、MakeCert を使用します。MakeCert instructions: Use MakeCert if you don't have access to a Windows 10 computer to use to generate certificates. MakeCert は非推奨になりましたが、まだ証明書の生成に使用することができます。Although MakeCert is deprecated, you can still use it to generate certificates. ルート証明書から生成されるクライアント証明書は、サポートされている任意の P2S クライアントにインストールすることができます。Client certificates that you generate from the root certificate can be installed on any supported P2S client.
    • Linux の手順Linux instructions

2.クライアント証明書を生成2. Generate a client certificate

お客様がポイント対サイト接続を使用して VNet に接続する各クライアント コンピューターには、クライアント証明書がインストールされていなければなりません。Each client computer that you connect to a VNet with a Point-to-Site connection must have a client certificate installed. ルート証明書からそれを生成し、各クライアント コンピューターにインストールします。You generate it from the root certificate and install it on each client computer. 有効なクライアント証明書をインストールしないと、クライアントが VNet への接続を試行したときに認証が失敗します。If you don't install a valid client certificate, authentication will fail when the client tries to connect to the VNet.

クライアントごとに一意の証明書を生成することも、複数のクライアントに同じ証明書を使用することもできます。You can either generate a unique certificate for each client, or you can use the same certificate for multiple clients. 一意のクライアント証明書を生成する利点は、1 つの証明書を失効させることができる点です。The advantage to generating unique client certificates is the ability to revoke a single certificate. そうでなければ、複数のクライアントで同じクライアント証明書が認証に使用されていて、お客様がそれを失効させる場合に、その証明書が使用されているすべてのクライアントに対して新しい証明書を生成してインストールする必要があります。Otherwise, if multiple clients use the same client certificate to authenticate and you revoke it, you'll need to generate and install new certificates for every client that uses that certificate.

クライアント証明書は、次の方法を使用して生成できます。You can generate client certificates by using the following methods:

  • エンタープライズ証明書:Enterprise certificate:

    • エンタープライズ証明書ソリューションを使用している場合は、共通名の値の形式 name@yourdomain.com を使用してクライアント証明書を生成します。If you're using an enterprise certificate solution, generate a client certificate with the common name value format name@yourdomain.com. domain name\username 形式の代わりに、この形式を使用します。Use this format instead of the domain name\username format.
    • クライアント証明書が、ユーザー一覧の最初の項目が "クライアント認証" であるユーザー証明書テンプレートに基づいていることを確認します。Make sure the client certificate is based on a user certificate template that has Client Authentication listed as the first item in the user list. 証明書を確認するには、それをダブルクリックし、 [詳細] タブの [拡張キー使用法] を表示します。Check the certificate by double-clicking it and viewing Enhanced Key Usage in the Details tab.
  • 自己署名ルート証明書: お客様が作成するクライアント証明書が P2S 接続との互換性を備えるよう、P2S 証明書に関する以下のいずれかの記事の手順に従ってください。Self-signed root certificate: Follow the steps in one of the following P2S certificate articles so that the client certificates you create will be compatible with your P2S connections. これらの記事の手順では、互換性のあるクライアント証明書が生成されます。The steps in these articles generate a compatible client certificate:

    • Windows 10 PowerShell の手順: これらの手順で証明書を生成するには、Windows 10 および PowerShell が必要です。Windows 10 PowerShell instructions: These instructions require Windows 10 and PowerShell to generate certificates. 生成される証明書は、サポートされている任意の P2S クライアントにインストールできます。The generated certificates can be installed on any supported P2S client.
    • MakeCert の手順: 証明書を生成する Windows 10 コンピューターにアクセスできない場合は、MakeCert を使用します。MakeCert instructions: Use MakeCert if you don't have access to a Windows 10 computer for generating certificates. MakeCert は非推奨になりましたが、まだ証明書の生成に使用することができます。Although MakeCert is deprecated, you can still use it to generate certificates. 生成される証明書は、サポートされている任意の P2S クライアントにインストールできます。You can install the generated certificates on any supported P2S client.
    • Linux の手順Linux instructions

    自己署名ルート証明書からクライアント証明書を生成した場合、お客様が生成に使用したコンピューターにそれが自動的にインストールされます。When you generate a client certificate from a self-signed root certificate, it's automatically installed on the computer that you used to generate it. クライアント証明書を別のクライアント コンピューターにインストールしたい場合は、それを .pfx ファイルとして、証明書チェーン全体と共にエクスポートします。If you want to install a client certificate on another client computer, export it as a .pfx file, along with the entire certificate chain. そうすることで、クライアントの認証に必要なルート証明書情報が含まれている .pfx ファイルが作成されます。Doing so will create a .pfx file that contains the root certificate information required for the client to authenticate.

証明書をエクスポートするにはTo export the certificate

証明書をエクスポートする手順については、「PowerShell を使用したポイント対サイトの証明書の生成とエクスポート」を参照してください。For steps to export a certificate, see Generate and export certificates for Point-to-Site using PowerShell.

4.クライアント アドレス プールの追加4. Add the client address pool

クライアント アドレス プールとは、指定するプライベート IP アドレスの範囲です。The client address pool is a range of private IP addresses that you specify. ポイント対サイト VPN 経由で接続するクライアントは、この範囲内の IP アドレスを動的に受け取ります。The clients that connect over a Point-to-Site VPN dynamically receive an IP address from this range. 接続元であるオンプレミスの場所、または接続先とする VNet と重複しないプライベート IP アドレス範囲を使用してください。Use a private IP address range that does not overlap with the on-premises location that you connect from, or the VNet that you want to connect to. 複数のプロトコルを構成するとき、SSTP がプロトコルの 1 つの場合、構成後のアドレス プールは構成されるプロトコル間で均等に分割されます。If you configure multiple protocols and SSTP is one of the protocols, then the configured address pool is split between the configured protocols equally.

  1. 仮想ネットワーク ゲートウェイが作成されたら、[仮想ネットワーク ゲートウェイ] ページの [設定] セクションに移動します。Once the virtual network gateway has been created, navigate to the Settings section of the virtual network gateway page. [設定] セクションの [ポイント対サイトの構成] を選択します。In the Settings section, select Point-to-site configuration. [今すぐ構成] を選択して、構成ページを開きます。Select Configure now to open the configuration page.

    ポイント対サイトのページPoint-to-Site page

  2. [ポイント対サイトの構成] ページでは、さまざまな設定を構成できます。On the Point-to-site configuration page, you can configure a variety of settings. このページにトンネルの種類または認証の種類が表示されない場合、ゲートウェイでは Basic SKU が使用されています。If you don't see Tunnel type or Authentication type on this page, your gateway is using the Basic SKU. Basic SKU では、IKEv2 と RADIUS 認証はサポートされません。The Basic SKU does not support IKEv2 or RADIUS authentication. これらの設定を使用する場合は、ゲートウェイを削除し、別のゲートウェイ SKU を使って再作成する必要があります。If you want to use these settings, you need to delete and recreate the gateway using a different gateway SKU.

    [ポイント対サイトの構成] ページPoint-to-site configuration page

  3. [アドレス プール] ボックスに、使用するプライベート IP アドレス範囲を追加します。In the Address pool box, add the private IP address range that you want to use. VPN クライアントには、指定した範囲から動的に IP アドレスが割り当てられます。VPN clients dynamically receive an IP address from the range that you specify. 最小のサブネット マスクは、アクティブ/パッシブ構成の場合は 29 ビット、アクティブ/アクティブ構成の場合は 28 ビットです。The minimum subnet mask is 29 bit for active/passive and 28 bit for active/active configuration.

  4. 次のセクションに進み、トンネルの種類を構成します。Move to the next section to configure tunnel type.

5.トンネルの種類の構成5. Configure tunnel type

トンネルの種類を選択することができます。You can select the tunnel type. トンネルのオプションには、OpenVPN、SSTP、IKEv2 があります。The tunnel options are OpenVPN, SSTP and IKEv2.

  • Android と Linux の strongSwan クライアントおよび iOS と OSX のネイティブ IKEv2 VPN クライアントでは、接続に IKEv2 トンネルのみを使用します。The strongSwan client on Android and Linux and the native IKEv2 VPN client on iOS and OSX will use only IKEv2 tunnel to connect.
  • Windows クライアントでは最初に IKEv2 を試し、接続できなかった場合に SSTP にフォールバックします。Windows clients try IKEv2 first and if that doesn't connect, they fall back to SSTP.
  • OpenVPN クライアントを使用して、OpenVPN トンネルの種類に接続することができます。You can use the OpenVPN client to connect to the OpenVPN tunnel type.

トンネルの種類Tunnel type

6.認証の種類の構成6. Configure authentication type

[認証の種類][Azure 証明書] を選択します。For Authentication type, select Azure certificate.

認証の種類Authentication type

7.ルート証明書の公開証明書データのアップロード7. Upload the root certificate public certificate data

その後は、最大で合計 20 個まで、信頼されたルート証明書を追加でアップロードできます。You can upload additional trusted root certificates up to a total of 20. 公開証明書データがアップロードされたら、Azure でそれを使用し、信頼されたルート証明書から生成されたクライアント証明書がインストールされているクライアントを認証できます。Once the public certificate data is uploaded, Azure can use it to authenticate clients that have installed a client certificate generated from the trusted root certificate. ルート証明書の公開キー情報を Azure にアップロードします。Upload the public key information for the root certificate to Azure.

  1. 証明書は、 [ルート証明書] セクションの [ポイント対サイトの構成] ページで追加します。Certificates are added on the Point-to-site configuration page in the Root certificate section.

  2. ルート証明書を Base 64 でエンコードされた X.509 (.cer) ファイルとしてエクスポートしたことを確認してください。Make sure that you exported the root certificate as a Base-64 encoded X.509 (.cer) file. 証明書をテキスト エディターで開くことができるように、この形式でエクスポートする必要があります。You need to export the certificate in this format so you can open the certificate with text editor.

  3. 証明書をメモ帳などのテキスト エディターで開きます。Open the certificate with a text editor, such as Notepad. 証明書データをコピーするときはに、必ず、テキストを復帰や改行のない 1 つの連続した行としてコピーしてください。When copying the certificate data, make sure that you copy the text as one continuous line without carriage returns or line feeds. 復帰や改行を確認するには、テキスト エディターのビューを "記号を表示する/すべての文字を表示する" ように変更することが必要になる場合があります。You may need to modify your view in the text editor to 'Show Symbol/Show all characters' to see the carriage returns and line feeds. 次のセクションのみを 1 つの連続した行としてコピーします。Copy only the following section as one continuous line:

    証明書データCertificate data

  4. [公開証明書データ] フィールドに証明書データを貼り付けます。Paste the certificate data into the Public Certificate Data field. 証明書に名前を付けて[保存] を選択します。Name the certificate, and then select Save. 最大 20 個の信頼されたルート証明書を追加できます。You can add up to 20 trusted root certificates.

    証明書データを貼り付けるPaste certificate data

  5. ページの上部にある [保存] を選択して、構成設定をすべて保存します。Select Save at the top of the page to save all of the configuration settings.

    構成を保存するSave configuration

8.エクスポートしたクライアント証明書のインストール8. Install an exported client certificate

クライアント証明書の生成に使用したクライアント コンピューター以外から P2S 接続を作成する場合は、クライアント証明書をインストールする必要があります。If you want to create a P2S connection from a client computer other than the one you used to generate the client certificates, you need to install a client certificate. クライアント証明書をインストールするときに、クライアント証明書のエクスポート時に作成されたパスワードが必要になります。When installing a client certificate, you need the password that was created when the client certificate was exported.

クライアント証明書が証明書チェーン全体と一緒に .pfx としてエクスポートされている (既定値) ことを確認します。Make sure the client certificate was exported as a .pfx along with the entire certificate chain (which is the default). そうでないと、ルート証明書情報がクライアント コンピューターに存在せず、クライアントは正しく認証されません。Otherwise, the root certificate information isn't present on the client computer and the client won't be able to authenticate properly.

インストールの手順については、クライアント証明書のインストールに関するページを参照してください。For install steps, see Install a client certificate.

9.VPN クライアント構成パッケージの生成とインストール9. Generate and install the VPN client configuration package

VPN クライアント構成ファイルには、P2S 接続を使って VNet に接続できるようにデバイスを構成するための設定が含まれています。The VPN client configuration files contain settings to configure devices to connect to a VNet over a P2S connection. VPN クライアント構成ファイルの生成とインストールに関する手順については、「ネイティブ Azure 証明書認証の P2S 構成のための VPN クライアント構成ファイルを作成およびインストールする」を参照してください。For instructions to generate and install VPN client configuration files, see Create and install VPN client configuration files for native Azure certificate authentication P2S configurations.

10.Azure に接続する10. Connect to Azure

Windows VPN クライアントから接続するにはTo connect from a Windows VPN client

注意

接続元の Windows クライアント コンピューターの管理者権限が必要です。You must have Administrator rights on the Windows client computer from which you are connecting.

  1. VNet に接続するには、クライアント コンピューターで [VPN 接続] に移動し、作成した VPN 接続を見つけます。To connect to your VNet, on the client computer, navigate to VPN connections and locate the VPN connection that you created. 仮想ネットワークと同じ名前が付いています。It is named the same name as your virtual network. [接続] を選択します。Select Connect. 証明書を使用することを示すポップアップ メッセージが表示される場合があります。A pop-up message may appear that refers to using the certificate. [続行] を選択して、昇格された特権を使用します。Select Continue to use elevated privileges.

  2. [接続] 状態ページで、 [接続] を選択して接続を開始します。On the Connection status page, select Connect to start the connection. [証明書の選択] 画面が表示された場合は、表示されているクライアント証明書が接続に使用する証明書であることを確認します。If you see a Select Certificate screen, verify that the client certificate showing is the one that you want to use to connect. そうでない場合は、ドロップダウン矢印を使用して適切な証明書を選び、 [OK] を選択します。If it is not, use the drop-down arrow to select the correct certificate, and then select OK.

    VPN クライアントから Azure に接続するVPN client connects to Azure

  3. 接続が確立されました。Your connection is established.

    確立された接続Connection established

Windows の P2S 接続のトラブルシューティングTroubleshoot Windows P2S connections

接続に問題がある場合は、次の点を確認してください。If you have trouble connecting, check the following items:

  • 証明書のエクスポート ウィザードを使用してクライアント証明書をエクスポートした場合は、 [証明のパスにある証明書を可能であればすべて含む] を選択してクライアント証明書を .pfx ファイルとしてエクスポートしたことを確認してください。If you exported a client certificate with Certificate Export Wizard, make sure that you exported it as a .pfx file and selected Include all certificates in the certification path if possible. この値を使用してクライアント証明書をエクスポートすると、ルート証明書情報もエクスポートされます。When you export it with this value, the root certificate information is also exported. クライアント コンピューターに証明書をインストールした後、.pfx ファイルのルート証明書もインストールされます。After you install the certificate on the client computer, the root certificate in the .pfx file is also installed. ルート証明書がインストールされていることを確認するには、 [ユーザー証明書の管理] を開いて [Trusted Root Certification Authorities\Certificates] を選択します。To verify that the root certificate is installed, open Manage user certificates and select Trusted Root Certification Authorities\Certificates. ルート証明書が一覧にあることを確認します。認証が正しく機能するためには、ルート証明書が必要です。Verify that the root certificate is listed, which must be present for authentication to work.

  • エンタープライズ CA ソリューションによって発行された証明書を使用し、認証できない場合は、クライアント証明書の認証の順序を確認します。If you used a certificate that was issued by an Enterprise CA solution and you can't authenticate, verify the authentication order on the client certificate. 認証の一覧の順序を確認するには、クライアント証明書をダブルクリックし、 [詳細] タブ、 [拡張キー使用法] の順に選択します。Check the authentication list order by double-clicking the client certificate, selecting the Details tab, and then selecting Enhanced Key Usage. 一覧の最初の項目が "クライアント認証" であることを確認します。Make sure Client Authentication is the first item in the list. そうでない場合は、一覧の最初の項目が "クライアント認証" であるユーザー テンプレートに基づいたクライアント証明書を発行します。If it isn't, issue a client certificate based on the user template that has Client Authentication as the first item in the list.

  • P2S のトラブルシューティングの補足情報については、P2S 接続のトラブルシューティングに関するページを参照してください。For additional P2S troubleshooting information, see Troubleshoot P2S connections.

Mac の VPN クライアントから接続するにはTo connect from a Mac VPN client

[ネットワーク] ダイアログ ボックスで、使用するクライアント プロファイルを検索し、VpnSettings.xml の設定を指定して、 [接続] を選択します。From the Network dialog box, locate the client profile that you want to use, specify the settings from the VpnSettings.xml, and then select Connect.

手順の詳細については、Mac (OS X) のインストールに関するセクションを参照してください。Check Install - Mac (OS X) for detailed instructions. 接続に問題がある場合は、仮想ネットワーク ゲートウェイが Basic SKU を使用していないことを確認します。If you are having trouble connecting, verify that the virtual network gateway is not using a Basic SKU. Basic SKU は Mac クライアントではサポートされていません。Basic SKU is not supported for Mac clients.

Mac の接続Mac connection

接続を確認するにはTo verify your connection

ここで紹介する手順は、Windows クライアントに適用されます。These instructions apply to Windows clients.

  1. VPN 接続がアクティブであることを確認するには、管理者特権でのコマンド プロンプトを開いて、 ipconfig/allを実行します。To verify that your VPN connection is active, open an elevated command prompt, and run ipconfig/all.

  2. 結果を表示します。View the results. 受信した IP アドレスが、構成に指定したポイント対サイト VPN クライアント アドレス プール内のアドレスのいずれかであることに注意してください。Notice that the IP address you received is one of the addresses within the Point-to-Site VPN Client Address Pool that you specified in your configuration. 結果は次の例のようになります。The results are similar to this example:

    PPP adapter VNet1:
       Connection-specific DNS Suffix .:
       Description.....................: VNet1
       Physical Address................:
       DHCP Enabled....................: No
       Autoconfiguration Enabled.......: Yes
       IPv4 Address....................: 172.16.201.3(Preferred)
       Subnet Mask.....................: 255.255.255.255
       Default Gateway.................:
       NetBIOS over Tcpip..............: Enabled
    

仮想マシンに接続するにはTo connect to a virtual machine

ここで紹介する手順は、Windows クライアントに適用されます。These instructions apply to Windows clients.

リモート デスクトップ接続を作成すると、VNet にデプロイされている VM に接続できます。You can connect to a VM that is deployed to your VNet by creating a Remote Desktop Connection to your VM. VM に接続できるかどうかを初めて確認する際に最も良い方法は、その VM のコンピューター名ではなく、プライベート IP アドレスを使って接続してみることです。The best way to initially verify that you can connect to your VM is to connect by using its private IP address, rather than computer name. この方法であれば、名前の解決が適切に構成されているかではなく、VM に接続できるかどうかをテストすることができます。That way, you are testing to see if you can connect, not whether name resolution is configured properly.

  1. プライベート IP アドレスを特定します。Locate the private IP address. VM のプライベート IP アドレスは、Azure Portal で VM のプロパティを表示するか、PowerShell を使うと確認できます。You can find the private IP address of a VM by either looking at the properties for the VM in the Azure portal, or by using PowerShell.

    • Azure Portal を使用する場合: Azure Portal で仮想マシンを探します。Azure portal - Locate your virtual machine in the Azure portal. VM のプロパティを表示すると、View the properties for the VM. プライベート IP アドレスが表示されます。The private IP address is listed.

    • PowerShell を使用する場合: 以下の例に示したコマンドを使用すると、リソース グループに含まれる VM とプライベート IP アドレスの一覧が表示されます。PowerShell - Use the example to view a list of VMs and private IP addresses from your resource groups. このコマンドは、使用前に変更を加える必要はありません。You don't need to modify this example before using it.

      $VMs = Get-AzVM
      $Nics = Get-AzNetworkInterface | Where VirtualMachine -ne $null
      
      foreach($Nic in $Nics)
      {
      $VM = $VMs | Where-Object -Property Id -eq $Nic.VirtualMachine.Id
      $Prv = $Nic.IpConfigurations | Select-Object -ExpandProperty PrivateIpAddress
      $Alloc = $Nic.IpConfigurations | Select-Object -ExpandProperty PrivateIpAllocationMethod
      Write-Output "$($VM.Name): $Prv,$Alloc"
      }
      
  2. ポイント対サイト VPN 接続を使って VNet に接続していることを確認します。Verify that you are connected to your VNet using the Point-to-Site VPN connection.

  3. タスク バーの検索ボックスに「RDP」または「リモート デスクトップ接続」と入力してリモート デスクトップ接続を開き、リモート デスクトップ接続を選択します。Open Remote Desktop Connection by typing "RDP" or "Remote Desktop Connection" in the search box on the taskbar, then select Remote Desktop Connection. このほか、PowerShell で "mstsc" コマンドを使ってリモート デスクトップ接続を開くこともできます。You can also open Remote Desktop Connection using the 'mstsc' command in PowerShell.

  4. リモート デスクトップ接続で、VM のプライベート IP アドレスを入力します。In Remote Desktop Connection, enter the private IP address of the VM. 必要に応じて [オプションの表示] をクリックして追加の設定を済ませたら、接続します。You can click "Show Options" to adjust additional settings, then connect.

VM に対する RDP 接続をトラブルシューティングするにはTo troubleshoot an RDP connection to a VM

VPN 接続を使って仮想マシンに接続する際に問題が発生した場合には、次のことを確認してください。If you are having trouble connecting to a virtual machine over your VPN connection, check the following:

  • VPN 接続が成功したことを確認します。Verify that your VPN connection is successful.
  • VM のプライベート IP アドレスに接続できていることを確認します。Verify that you are connecting to the private IP address for the VM.
  • 接続元のコンピューターのイーサネット アダプターに割り当てられている IPv4 アドレスを "ipconfig" でチェックします。Use 'ipconfig' to check the IPv4 address assigned to the Ethernet adapter on the computer from which you are connecting. その IP アドレスが、接続先の VNet のアドレス範囲内または VPNClientAddressPool のアドレス範囲内にある場合、これを "アドレス空間の重複" といいます。If the IP address is within the address range of the VNet that you are connecting to, or within the address range of your VPNClientAddressPool, this is referred to as an overlapping address space. アドレス空間がこのように重複していると、ネットワーク トラフィックが Azure に到達せずローカル ネットワーク上に留まることになります。When your address space overlaps in this way, the network traffic doesn't reach Azure, it stays on the local network.
  • プライベート IP アドレスを使って VM に接続できるものの、コンピューター名では接続できない場合には、DNS が正しく構成されているかどうかを確認します。If you can connect to the VM using the private IP address, but not the computer name, verify that you have configured DNS properly. VM の名前解決の動作について詳しくは、VM の名前解決に関するページを参照してください。For more information about how name resolution works for VMs, see Name Resolution for VMs.
  • VNet に対して DNS サーバーの IP アドレスが指定された後に VPN クライアント構成パッケージが生成されたことを確認します。Verify that the VPN client configuration package was generated after the DNS server IP addresses were specified for the VNet. DNS サーバーの IP アドレスを更新した場合は、新しい VPN クライアント構成パッケージを生成してインストールしてください。If you updated the DNS server IP addresses, generate and install a new VPN client configuration package.
  • 詳細については、VM に対するリモート デスクトップ接続のトラブルシューティングに関するページを参照してください。For more information about RDP connections, see Troubleshoot Remote Desktop connections to a VM.

信頼されたルート証明書を追加または削除するにはTo add or remove trusted root certificates

信頼されたルート証明書を Azure に追加したり、Azure から削除したりできます。You can add and remove trusted root certificates from Azure. ルート証明書を削除すると、そのルートから証明書を生成したクライアントは認証が無効となり、接続できなくなります。When you remove a root certificate, clients that have a certificate generated from that root won't be able to authenticate, and thus will not be able to connect. クライアントの認証と接続を正常に実行できるようにするには、Azure に信頼されている (Azure にアップロードされている) ルート証明書から生成した新しいクライアント証明書をインストールする必要があります。If you want a client to authenticate and connect, you need to install a new client certificate generated from a root certificate that is trusted (uploaded) to Azure.

信頼されたルート証明書を追加するにはTo add a trusted root certificate

信頼されたルート証明書 .cer ファイルを最大 20 個まで Azure に追加できます。You can add up to 20 trusted root certificate .cer files to Azure. 手順については、この記事の信頼されたルート証明書のアップロードに関するセクションを参照してください。For instructions, see the section Upload a trusted root certificate in this article.

信頼されたルート証明書を削除するにはTo remove a trusted root certificate

  1. 信頼されたルート証明書を削除するには、仮想ネットワーク ゲートウェイの [ポイント対サイトの構成] ページに移動します。To remove a trusted root certificate, navigate to the Point-to-site configuration page for your virtual network gateway.
  2. ページの [ルート証明書] セクションで、削除する証明書を見つけます。In the Root certificate section of the page, locate the certificate that you want to remove.
  3. 証明書の横にある省略記号を選び、[削除] を選択します。Select the ellipsis next to the certificate, and then select 'Remove'.

クライアント証明書を失効させるにはTo revoke a client certificate

クライアント証明書は失効させることができます。You can revoke client certificates. 証明書失効リストを使用すると、個々のクライアント証明書に基づくポイント対サイト接続を選択して拒否することができます。The certificate revocation list allows you to selectively deny Point-to-Site connectivity based on individual client certificates. これは、信頼されたルート証明書を削除することとは異なります。This is different than removing a trusted root certificate. 信頼されたルート証明書 .cer を Azure から削除すると、失効したルート証明書によって生成または署名されたすべてのクライアント証明書のアクセス権が取り消されます。If you remove a trusted root certificate .cer from Azure, it revokes the access for all client certificates generated/signed by the revoked root certificate. ルート証明書ではなくクライアント証明書を失効させることで、ルート証明書から生成されたその他の証明書は、その後も認証に使用できます。Revoking a client certificate, rather than the root certificate, allows the other certificates that were generated from the root certificate to continue to be used for authentication.

一般的な方法としては、ルート証明書を使用してチームまたは組織レベルでアクセスを管理し、失効したクライアント証明書を使用して、個々のユーザーの細かいアクセス制御を構成します。The common practice is to use the root certificate to manage access at team or organization levels, while using revoked client certificates for fine-grained access control on individual users.

クライアント証明書の失効Revoke a client certificate

失効リストに拇印を追加することで、クライアント証明書を失効させることができます。You can revoke a client certificate by adding the thumbprint to the revocation list.

  1. クライアント証明書の拇印を取得します。Retrieve the client certificate thumbprint. 詳細については、「方法: 証明書のサムプリントを取得する」を参照してください。For more information, see How to retrieve the Thumbprint of a Certificate.
  2. 情報をテキスト エディターにコピーし、文字列が 1 つにつながるようにスペースをすべて削除します。Copy the information to a text editor and remove all spaces so that it is a continuous string.
  3. 仮想ネットワーク ゲートウェイの [ポイント対サイトの構成] ページに移動します。Navigate to the virtual network gateway Point-to-site-configuration page. このページは、信頼されたルート証明書のアップロードに使用したものです。This is the same page that you used to upload a trusted root certificate.
  4. [失効した証明書] セクションで、証明書のフレンドリ名を入力します (証明書 CN にする必要はありません)。In the Revoked certificates section, input a friendly name for the certificate (it doesn't have to be the certificate CN).
  5. 拇印の文字列をコピーして [拇印] フィールドに貼り付けます。Copy and paste the thumbprint string to the Thumbprint field.
  6. 拇印が検証され、自動的に失効リストに追加されます。The thumbprint validates and is automatically added to the revocation list. リストが更新されていることを示すメッセージが画面に表示されます。A message appears on the screen that the list is updating.
  7. 更新が完了した後は、証明書を接続に使用することができなくなります。After updating has completed, the certificate can no longer be used to connect. この証明書を使用して接続を試みたクライアントには、証明書が無効になっていることを示すメッセージが表示されます。Clients that try to connect using this certificate receive a message saying that the certificate is no longer valid.

ポイント対サイト接続に関してよく寄せられる質問Point-to-Site FAQ

ポイント対サイト構成で保持できる VPN クライアント エンドポイントの最大数を教えてください。How many VPN client endpoints can I have in my Point-to-Site configuration?

それは、ゲートウェイ SKU によって異なります。It depends on the gateway SKU. サポートされる接続の数の詳細については、「ゲートウェイの SKU」を参照してください。For more information on the number of connections supported, see Gateway SKUs.

ポイント対サイト接続で使用できるクライアント オペレーティング システムを教えてください。What client operating systems can I use with Point-to-Site?

次のクライアント オペレーティング システムがサポートされています。The following client operating systems are supported:

  • Windows 7 (32 ビットと 64 ビット)Windows 7 (32-bit and 64-bit)
  • Windows Server 2008 R2 (64 ビットのみ)Windows Server 2008 R2 (64-bit only)
  • Windows 8.1 (32 ビットと 64 ビット)Windows 8.1 (32-bit and 64-bit)
  • Windows Server 2012 (64 ビットのみ)Windows Server 2012 (64-bit only)
  • Windows Server 2012 R2 (64 ビットのみ)Windows Server 2012 R2 (64-bit only)
  • Windows Server 2016 (64 ビットのみ)Windows Server 2016 (64-bit only)
  • Windows Server 2019 (64 ビットのみ)Windows Server 2019 (64-bit only)
  • Windows 10Windows 10
  • Mac OS X バージョン 10.11 以降Mac OS X version 10.11 or above
  • Linux (StrongSwan)Linux (StrongSwan)
  • iOSiOS

注意

2018 年 7 月 1 日以降、Azure VPN Gateway では TLS 1.0 および 1.1 のサポートが終了します。Starting July 1, 2018, support is being removed for TLS 1.0 and 1.1 from Azure VPN Gateway. VPN Gateway では、TLS 1.2 のみがサポートされるようになります。VPN Gateway will support only TLS 1.2. サポートを維持するには、TLS1.2 のサポートを有効にする更新プログラムに関するページを参照してください。To maintain support, see the updates to enable support for TLS1.2.

さらに、次の TLS 用レガシ アルゴリズムも 2018 年 7 月 1 日に廃止される予定です。Additionally, the following legacy algorithms will also be deprecated for TLS on July 1, 2018:

  • RC4 (Rivest Cipher 4)RC4 (Rivest Cipher 4)
  • DES (データ暗号化アルゴリズム)DES (Data Encryption Algorithm)
  • 3DES (トリプル データ暗号化アルゴリズム)3DES (Triple Data Encryption Algorithm)
  • MD5 (Message Digest 5)MD5 (Message Digest 5)

Windows 7 および Windows 8.1 で TLS 1.2 のサポートを有効にするにはどうすればよいですか。How do I enable support for TLS 1.2 in Windows 7 and Windows 8.1?

  1. コマンド プロンプトを右クリックし管理者として実行を選択して、昇格した特権でコマンド プロンプトを開きます。Open a command prompt with elevated privileges by right-clicking on Command Prompt and selecting Run as administrator.

  2. コマンド プロンプトで次のコマンドを実行します。Run the following commands in the command prompt:

    reg add HKLM\SYSTEM\CurrentControlSet\Services\RasMan\PPP\EAP\13 /v TlsVersion /t REG_DWORD /d 0xfc0
    reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp" /v DefaultSecureProtocols /t REG_DWORD /d 0xaa0
    if %PROCESSOR_ARCHITECTURE% EQU AMD64 reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp" /v DefaultSecureProtocols /t REG_DWORD /d 0xaa0
    
  3. 次の更新プログラムをインストールします。Install the following updates:

  4. コンピューターを再起動します。Reboot the computer.

  5. VPN に接続します。Connect to the VPN.

注意

以前のバージョンの Windows 10 (10240) を実行している場合は、上記のレジストリ キーを設定する必要があります。You will have to set the above registry key if you are running an older version of Windows 10 (10240).

プロキシやファイアウォールを経由してポイント対サイト接続の機能を使用できますか。Can I traverse proxies and firewalls using Point-to-Site capability?

Azure では、次の 3 種類のポイント対サイト VPN オプションをサポートしています。Azure supports three types of Point-to-site VPN options:

  • Secure Socket Tunneling Protocol (SSTP)。Secure Socket Tunneling Protocol (SSTP). SSTP は、ほとんどのファイアウォールが 443 SSL で使用される送信 TCP ポートを開いているためにファイアウォールを通過できる、Microsoft 独自の SSL ベースのソリューションです。SSTP is a Microsoft proprietary SSL-based solution that can penetrate firewalls since most firewalls open the outbound TCP port that 443 SSL uses.

  • OpenVPN。OpenVPN. OpenVPN は、ほとんどのファイアウォールが 443 SSL で使用される送信 TCP ポートを開いているためにファイアウォールを通過できる、SSL ベースのソリューションです。OpenVPN is a SSL-based solution that can penetrate firewalls since most firewalls open the outbound TCP port that 443 SSL uses.

  • IKEv2 VPN。IKEv2 VPN. IKEv2 VPN は標準ベースの IPsec VPN ソリューションであり、送信 UDP ポート 500 と 4500 のほか、IP プロトコル番号IKEv2 VPN is a standards-based IPsec VPN solution that uses outbound UDP ports 500 and 4500 and IP protocol no. 50 を使用しています。50. ファイアウォールでここに挙げたポートが必ずしも開いているとは限りません。このため、IKEv2 VPN ではプロキシとファイアウォールを通過できないことがあります。Firewalls do not always open these ports, so there is a possibility of IKEv2 VPN not being able to traverse proxies and firewalls.

ポイント対サイト接続用に構成されたクライアント コンピューターを再起動した場合、VPN は自動的に再接続されますか。If I restart a client computer configured for Point-to-Site, will the VPN automatically reconnect?

既定では、クライアント コンピューターの再起動時には VPN の自動再接続は行われません。By default, the client computer will not reestablish the VPN connection automatically.

ポイント対サイトの自動再接続と VPN クライアントの DDNS はサポートされていますか。Does Point-to-Site support auto-reconnect and DDNS on the VPN clients?

ポイント対サイト VPN では、自動再接続と DDNS は現時点ではサポートされていません。Auto-reconnect and DDNS are currently not supported in Point-to-Site VPNs.

サイト間接続およびポイント対サイト接続の構成は、同一仮想ネットワークに共存させることはできますか。Can I have Site-to-Site and Point-to-Site configurations coexist for the same virtual network?

はい。Yes. Resource Manager デプロイ モデルの場合には、ゲートウェイにルートベースの VPN が必要になります。For the Resource Manager deployment model, you must have a RouteBased VPN type for your gateway. クラシック デプロイ モデルの場合は、動的ゲートウェイが必要です。For the classic deployment model, you need a dynamic gateway. 静的ルーティング VPN ゲートウェイと、ポリシーベースの VPN ゲートウェイでは、ポイント対サイト接続はサポートされません。We do not support Point-to-Site for static routing VPN gateways or PolicyBased VPN gateways.

ポイント対サイト接続のクライアントを同時に複数の仮想ネットワーク ゲートウェイに接続するように構成することはできますか。Can I configure a Point-to-Site client to connect to multiple virtual network gateways at the same time?

使用される VPN クライアント ソフトウェアによっては、接続先の仮想ネットワークにおいて、それらの間で、または接続元のクライアントのネットワークとの間で、競合するアドレス空間がない場合、複数の Virtual Network ゲートウェイに接続できることがあります。Depending on the VPN Client software used, you may be able to connect to multiple Virtual Network Gateways provided the virtual networks being connected to do not have conflicting address spaces between them or the network from with the client is connecting from. Azure VPN クライアントでは多くの VPN 接続がサポートされていますが、一度に接続できる接続は 1 つだけです。While the Azure VPN Client supports many VPN connections, only one connection can be Connected at any given time.

ポイント対サイト接続のクライアントを同時に複数の仮想ネットワークに接続するように構成することはできますか。Can I configure a Point-to-Site client to connect to multiple virtual networks at the same time?

はい。他の VNet とピアリングされている VNet にデプロイされている Virtual Network ゲートウェイへのポイント対サイト接続は、ピアリングされた他の VNet にアクセスできる可能性があります。Yes, Point-to-Site connections to a Virtual Network Gateway deployed in a VNet that is peered with other VNets may have access to other peered VNets. ピアリングされた VNet が UseRemoteGateway/AllowGatewayTransit 機能を使用している場合、ポイント対サイトクライアントは、ピアリングされた VNet に接続できます。Provided the peered VNets are using the UseRemoteGateway / AllowGatewayTransit features, the Point-to-Site client will be able to connect to those peered VNets. 詳しくは、こちらの記事を参照してください。For more information please reference this article.

サイト間接続またはポイント対サイト接続ではどの程度のスループットが得られますか。How much throughput can I expect through Site-to-Site or Point-to-Site connections?

VPN トンネルのスループットを正確に一定レベルに維持することは困難です。It's difficult to maintain the exact throughput of the VPN tunnels. IPsec と SSTP は、VPN プロトコルの中でも暗号化処理の負荷が高いものです。IPsec and SSTP are crypto-heavy VPN protocols. また、スループットはオンプレミスとインターネットの間の待機時間や帯域幅によっても制限されます。Throughput is also limited by the latency and bandwidth between your premises and the Internet. IKEv2 ポイント対サイト VPN 接続のみを使用する VPN ゲートウェイでは、期待できるスループットの総量がゲートウェイの SKU に応じて変わります。For a VPN Gateway with only IKEv2 Point-to-Site VPN connections, the total throughput that you can expect depends on the Gateway SKU. スループットの詳細については、「ゲートウェイの SKU」を参照してください。For more information on throughput, see Gateway SKUs.

SSTP や IKEv2 をサポートしているポイント対サイト接続では、ソフトウェア VPN クライアントを使用できますか。Can I use any software VPN client for Point-to-Site that supports SSTP and/or IKEv2?

いいえ。No. SSTP については Windows のネイティブ VPN クライアント、IKEv2 については Mac のネイティブ VPN クライアントのみ使用できます。You can only use the native VPN client on Windows for SSTP, and the native VPN client on Mac for IKEv2. ただし、すべてのプラットフォーム上で OpenVPN クライアントを使用して、OpenVPN プロトコル経由で接続できます。However, you can use the OpenVPN client on all platforms to connect over OpenVPN protocol. サポートされているクライアント オペレーティング システムの一覧を参照してください。Refer to the list of supported client operating systems.

Azure は、Windows で IKEv2 VPN をサポートしていますか。Does Azure support IKEv2 VPN with Windows?

IKEv2 は、Windows 10 および Windows Server 2016 でサポートされています。IKEv2 is supported on Windows 10 and Server 2016. ただし、IKEv2 を使用するには、更新プログラムをインストールして、ローカルでレジストリ キーの値を設定する必要があります。However, in order to use IKEv2, you must install updates and set a registry key value locally. Windows 10 以前の OS バージョンはサポートされておらず、それらのバージョンで使用できるのは SSTP または OpenVPN® プロトコルのみです。OS versions prior to Windows 10 are not supported and can only use SSTP or OpenVPN® Protocol.

Windows 10 または Windows Server 2016 を IKEv2 用に準備するには:To prepare Windows 10 or Server 2016 for IKEv2:

  1. 更新プログラムをインストールします。Install the update.

    OS バージョンOS version DateDate 数/リンクNumber/Link
    Windows Server 2016Windows Server 2016
    Windows 10 バージョン 1607Windows 10 Version 1607
    2018 年 1 月 17 日January 17, 2018 KB4057142KB4057142
    Windows 10 バージョン 1703Windows 10 Version 1703 2018 年 1 月 17 日January 17, 2018 KB4057144KB4057144
    Windows 10 バージョン 1709Windows 10 Version 1709 2018 年 3 月 22 日March 22, 2018 KB4089848KB4089848
  2. レジストリ キーの値を設定します。Set the registry key value. レジストリの "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\ IKEv2\DisableCertReqPayload" REG_DWORD キーを作成するか、または 1 に設定します。Create or set “HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\ IKEv2\DisableCertReqPayload” REG_DWORD key in the registry to 1.

P2S VPN 接続に対して SSTP と IKEv2 の両方を構成した場合、何が起こりますか。What happens when I configure both SSTP and IKEv2 for P2S VPN connections?

Windows デバイスと Mac デバイスが混在する環境で SSTP と IKEv2 の両方を構成すると、Windows VPN クライアントは必ず最初に IKEv2 トンネルを試行します。ただし、IKEv2 接続が成功しなかった場合 SSTP にフォールバックします。When you configure both SSTP and IKEv2 in a mixed environment (consisting of Windows and Mac devices), the Windows VPN client will always try IKEv2 tunnel first, but will fall back to SSTP if the IKEv2 connection is not successful. MacOSX は IKEv2 経由のみで接続します。MacOSX will only connect via IKEv2.

Windows と Mac 以外に、Azure が P2S VPN 向けにサポートしている他のプラットフォームはありますか。Other than Windows and Mac, which other platforms does Azure support for P2S VPN?

Azure では、P2S VPN 向けに Windows、Mac、および Linux をサポートしています。Azure supports Windows, Mac and Linux for P2S VPN.

Azure VPN Gateway を既にデプロイしています。I already have an Azure VPN Gateway deployed. ここで RADIUS または IKEv2 VPN または両方を有効にできますか。Can I enable RADIUS and/or IKEv2 VPN on it?

はい。Powershell または Azure Portal を使用して、既にデプロイされているゲートウェイでこれらの新機能を有効にできます。ただし、ご利用のゲートウェイ SKU が、RADIUS と IKEv2 のいずれかまたは両方をサポートしている必要があります。Yes, you can enable these new features on already deployed gateways using Powershell or the Azure portal, provided that the gateway SKU that you are using supports RADIUS and/or IKEv2. たとえば VPN Gateway Basic SKU は、RADIUS と IKEv2 のどちらもサポートしていません。For example, the VPN gateway Basic SKU does not support RADIUS or IKEv2.

P2S 接続の構成を削除するにはどうすればよいですか。How do I remove the configuration of a P2S connection?

P2S 構成は、次のコマンドを使って Azure CLI と PowerShell を使用して削除できます。A P2S configuration can be removed using Azure CLI and PowerShell using the following commands:

Azure PowerShellAzure PowerShell

$gw=Get-AzVirtualNetworkGateway -name <gateway-name>`  
$gw.VPNClientConfiguration = $null`  
Set-AzVirtualNetworkGateway -VirtualNetworkGateway $gw`

Azure CLIAzure CLI

az network vnet-gateway update --name <gateway-name> --resource-group <resource-group name> --remove "vpnClientConfiguration"

証明書認証を使用した接続時、証明書が一致しないと表示された場合、どうすればよいでしょうか。What should I do if I'm getting a certificate mismatch when connecting using certificate authentication?

手動でプロファイルを作成するとき、 [証明書を検証してサーバーの ID を検証する] チェック ボックスをオフにするか、証明書と共にサーバーの FQDN を追加します。Uncheck "Verify the server's identity by validating the certificate" or add the server FQDN along with the certificate when creating a profile manually. これを行うには、コマンド プロンプトから rasphone を実行し、ドロップ ダウン リストからプロファイルを選択します。You can do this by running rasphone from a command prompt and picking the profile from the drop-down list.

一般に、サーバー ID の検証は回避しないようお勧めします。ただし、Azure 証明書認証では、VPN トンネリング プロトコル (IKEv2 または SSTP) と EAP プロトコルとで同じ証明書がサーバー検証に使用されます。Bypassing server identity validation is not recommended in general, but with Azure certificate authentication, the same certificate is being used for server validation in the VPN tunneling protocol (IKEv2/SSTP) and the EAP protocol. サーバー証明書と FQDN は VPN トンネリング プロトコルによって既に検証済みであるため、EAP で再度検証する必要はありません。Since the server certificate and FQDN is already validated by the VPN tunneling protocol, it is redundant to validate the same again in EAP.

ポイント対サイトpoint-to-site

内部 PKI ルート CA を使用して、ポイント対サイト接続用に証明書を生成できますか?Can I use my own internal PKI root CA to generate certificates for Point-to-Site connectivity?

はい。Yes. 以前は、自己署名ルート証明書のみを使用できました。Previously, only self-signed root certificates could be used. 現在も 20 ルート証明書までアップロードできます。You can still upload 20 root certificates.

Azure Key Vault の証明書を使用できますか?Can I use certificates from Azure Key Vault?

いいえ。No.

証明書の作成にどのようなツールを使用できますか。What tools can I use to create certificates?

エンタープライズ PKI ソリューション (内部 PKI)、Azure PowerShell、MakeCert、OpenSSL を使用できます。You can use your Enterprise PKI solution (your internal PKI), Azure PowerShell, MakeCert, and OpenSSL.

証明書の設定およびパラメーターに関する指示はありますか。Are there instructions for certificate settings and parameters?

  • 内部 PKI/エンタープライズ PKI ソリューション: 証明書を生成する手順を参照してください。Internal PKI/Enterprise PKI solution: See the steps to Generate certificates.

  • Azure PowerShell: 手順については、Azure PowerShell の記事を参照してください。Azure PowerShell: See the Azure PowerShell article for steps.

  • MakeCert: 手順については、MakeCert の記事を参照してください。MakeCert: See the MakeCert article for steps.

  • OpenSSL:OpenSSL:

    • 証明書をエクスポートするときは、ルート証明書を Base64 に変換してください。When exporting certificates, be sure to convert the root certificate to Base64.

    • クライアント証明書の場合:For the client certificate:

      • 秘密キーを作成する際は、長さを 4096 として指定します。When creating the private key, specify the length as 4096.
      • 証明書を作成する際は、 -extensions パラメーターに usr_cert を指定します。When creating the certificate, for the -extensions parameter, specify usr_cert.

次のステップNext steps

接続が完成したら、仮想ネットワークに仮想マシンを追加することができます。Once your connection is complete, you can add virtual machines to your virtual networks. 詳細については、Virtual Machines に関するページを参照してください。For more information, see Virtual Machines. ネットワークと仮想マシンの詳細については、「Azure と Linux の VM ネットワークの概要」を参照してください。To understand more about networking and virtual machines, see Azure and Linux VM network overview.

P2S のトラブルシューティング情報については、Azure ポイント対サイト接続のトラブルシューティングに関するページを参照してください。For P2S troubleshooting information, Troubleshooting Azure point-to-site connections.