Настройка VPN-подключения типа "точка — сеть" к виртуальной сети с помощью собственной проверки подлинности на основе сертификата Azure. портала AzureConfigure a Point-to-Site VPN connection to a VNet using native Azure certificate authentication: Azure portal

Эта статья поможет вам установить безопасное подключение отдельных клиентов под управлением Windows, Mac OS X или Linux к виртуальной сети Azure.This article helps you securely connect individual clients running Windows, Linux, or Mac OS X to an Azure VNet. VPN-подключения типа "точка — сеть" (P2S) эффективны для подключения к виртуальной сети из удаленного расположения, например, если вы дома или на конференции.Point-to-Site VPN connections are useful when you want to connect to your VNet from a remote location, such when you are telecommuting from home or a conference. Вы также можете использовать подключение "точка — сеть" вместо VPN-подключения "сеть — сеть" при наличии небольшого количества клиентов, которым требуется подключение к виртуальной сети.You can also use P2S instead of a Site-to-Site VPN when you have only a few clients that need to connect to a VNet. Для подключения типа "точка — сеть" не требуется VPN-устройство или общедоступный IP-адрес.Point-to-Site connections do not require a VPN device or a public-facing IP address. Подключение "точка — сеть" — это VPN-подключение по протоколу SSTP (Secure Socket Tunneling Protocol) или IKEv2.P2S creates the VPN connection over either SSTP (Secure Socket Tunneling Protocol), or IKEv2. См. дополнительные сведения о VPN-подключениях "точка — сеть".For more information about Point-to-Site VPN, see About Point-to-Site VPN.

Схема соединения компьютера с виртуальной сетью Azure через подключение типа "точка — сеть"

АрхитектураArchitecture

Для собственной аутентификации Azure на основе сертификата при подключениях "точка — сеть" необходимы следующие компоненты, которые можно настроить в этом руководстве:Point-to-Site native Azure certificate authentication connections use the following items, which you configure in this exercise:

  • VPN-шлюз с маршрутизацией на основе маршрутов.A RouteBased VPN gateway.
  • Открытый ключ (CER-файл) для корневого сертификата, импортированный в Azure.The public key (.cer file) for a root certificate, which is uploaded to Azure. Сразу после передачи сертификат считается доверенным сертификатом и используется для проверки подлинности.Once the certificate is uploaded, it is considered a trusted certificate and is used for authentication.
  • Сертификат клиента, созданный на основе корневого сертификата.A client certificate that is generated from the root certificate. Сертификат клиента, установленный на каждом клиентском компьютере, который будет подключен к виртуальной сети.The client certificate installed on each client computer that will connect to the VNet. Этот сертификат используется для проверки подлинности клиента.This certificate is used for client authentication.
  • Конфигурация VPN-клиента.A VPN client configuration. Файлы конфигурации VPN-клиента содержат информацию, необходимую для подключения клиента к виртуальной сети.The VPN client configuration files contain the necessary information for the client to connect to the VNet. Эти файлы позволяют настроить существующий VPN-клиент, предоставляемый в операционной системе.The files configure the existing VPN client that is native to the operating system. Перед подключением каждый клиент нужно настроить, используя параметры в файлах конфигурации.Each client that connects must be configured using the settings in the configuration files.

Примеры значенийExample values

Следующие значения можно использовать для создания тестовой среды или для лучшего понимания примеров в этой статье.You can use the following values to create a test environment, or refer to these values to better understand the examples in this article:

  • Имя виртуальной сети: Виртуальная сеть 1VNet Name: VNet1
  • Адресное пространство. 192.168.0.0/16Address space: 192.168.0.0/16
    В этом примере мы используем только одно адресное пространство,For this example, we use only one address space. но для виртуальной сети можно настроить несколько.You can have more than one address space for your VNet.
  • Имя подсети: ИнтерфейсныйSubnet name: FrontEnd
  • Диапазон адресов подсети: 192.168.1.0/24Subnet address range: 192.168.1.0/24
  • Подписка: Если у вас есть несколько подписок, убедитесь, что используется правильная.Subscription: If you have more than one subscription, verify that you are using the correct one.
  • Группа ресурсов. TestRG.Resource Group: TestRG
  • Расположение: East USLocation: East US
  • Подсеть шлюза: 192.168.200.0/24GatewaySubnet: 192.168.200.0/24
  • DNS-сервер: (необязательный) IP-адрес DNS-сервера, который нужно использовать для разрешения имен.DNS Server: (optional) IP address of the DNS server that you want to use for name resolution.
  • Имя шлюза виртуальной сети: VNet1GWVirtual network gateway name: VNet1GW
  • Тип шлюза: VPNGateway type: VPN
  • Тип VPN: на основе маршрутаVPN type: Route-based
  • Имя общедоступного IP-адреса: VNet1GWpip.Public IP address name: VNet1GWpip
  • Тип подключения. "точка — сеть";Connection type: Point-to-site
  • Пул адресов клиента: 172.16.201.0/24.Client address pool: 172.16.201.0/24
    VPN-клиенты, подключающиеся к виртуальной сети с помощью этого подключения типа "точка — сеть", получают IP-адреса из пула адресов клиента.VPN clients that connect to the VNet using this Point-to-Site connection receive an IP address from the client address pool.

1. Создать виртуальную сеть1. Create a virtual network

Прежде чем начать, убедитесь в том, что у вас есть подписка Azure.Before beginning, verify that you have an Azure subscription. Если у вас нет подписки Azure, вы можете активировать преимущества для подписчиков MSDN или зарегистрировать бесплатную учетную запись.If you don't already have an Azure subscription, you can activate your MSDN subscriber benefits or sign up for a free account.

Чтобы создать виртуальную сеть на основе модели развертывания Resource Manager, используя портал Azure, следуйте инструкциям ниже.To create a VNet in the Resource Manager deployment model by using the Azure portal, follow the steps below. Снимки экрана приведены в качестве примеров.The screenshots are provided as examples. Обязательно подставьте собственные значения.Be sure to replace the values with your own. Дополнительные сведения о работе с виртуальными сетями см. в статье Обзор виртуальной сети.For more information about working with virtual networks, see the Virtual Network Overview.

Примечание

При подключении этой виртуальной сети к локальному расположению (в ходе создания конфигурации P2S) вам необходимо обратиться к администратору локальной сети, чтобы выделить диапазон IP-адресов, который будет использоваться специально для этой виртуальной сети.If you want this VNet to connect to an on-premises location (in addition to creating a P2S configuration), you need to coordinate with your on-premises network administrator to carve out an IP address range that you can use specifically for this virtual network. Если повторяющийся диапазон адресов существует на обеих сторонах VPN-подключения, трафик не будет маршрутизироваться должным образом.If a duplicate address range exists on both sides of the VPN connection, traffic does not route the way you may expect it to. Кроме того, если вы хотите подключить виртуальную сеть к другой виртуальной сети, адресное пространство не должно пересекаться с другой виртуальной сетью.Additionally, if you want to connect this VNet to another VNet, the address space cannot overlap with other VNet. Спланируйте конфигурацию сети соответствующим образом.Take care to plan your network configuration accordingly.

  1. В браузере откройте портал Azure и при необходимости войдите с помощью учетной записи Azure.From a browser, navigate to the Azure portal and, if necessary, sign in with your Azure account.

  2. В нижней части страницы нажмите кнопку + .Click +. В поле Поиск по Marketplace введите "Виртуальная сеть".In the Search the marketplace field, type "Virtual Network". Найдите Виртуальная сеть в результатах поиска и щелкните ее, чтобы открыть страницу Виртуальная сеть.Locate Virtual Network from the returned list and click to open the Virtual Network page.

    Поиск страницы ресурса виртуальной сетиLocate Virtual Network resource page

  3. В нижней части страницы "Виртуальная сеть" из списка Выберите модель развертывания выберите Resource Manager и щелкните Создать.Near the bottom of the Virtual Network page, from the Select a deployment model list, select Resource Manager, and then click Create.

    Выбор диспетчера ресурсовSelect Resource Manager

  4. На странице Создание виртуальной сети настройте параметры виртуальной сети.On the Create virtual network page, configure the VNet settings. Если введенные в полях значения допустимы, красный восклицательный знак сменится зеленой галочкой.When you fill in the fields, the red exclamation mark becomes a green check mark when the characters entered in the field are valid. Некоторые значения могут быть заполнены автоматически.There may be values that are auto-filled. В таком случае подставьте собственные значения.If so, replace the values with your own. Страница Создать виртуальную сеть выглядит, как на рисунке ниже:The Create virtual network page looks similar to the following example:

    Проверка поляField validation

  5. Имя. Введите имя виртуальной сети.Name: Enter the name for your Virtual Network.

  6. Диапазон адресов: Введите адресное пространство.Address space: Enter the address space. Если их несколько, добавьте первое адресное пространство.If you have multiple address spaces to add, add your first address space. Дополнительные адресные пространства можно добавить позже, после создания виртуальной сети.You can add additional address spaces later, after creating the VNet.

  7. Подписка: Убедитесь, что указана правильная подписка.Subscription: Verify that the Subscription listed is the correct one. Подписки можно менять с помощью раскрывающегося списка.You can change subscriptions by using the drop-down.

  8. Группа ресурсов. Выберите существующую группу ресурсов или создайте новую, введя ее имя.Resource group: Select an existing resource group, or create a new one by typing a name for your new resource group. Если вы создаете группу ресурсов, укажите для нее имя, которое будет использоваться в вашей конфигурации.If you are creating a new group, name the resource group according to your planned configuration values. Дополнительные сведения о группах ресурсов см. в разделе "Группы ресурсов" обзора Azure Resource Manager.For more information about resource groups, visit Azure Resource Manager Overview.

  9. Расположение. Выберите расположение для виртуальной сети.Location: Select the location for your VNet. Расположение определяет, где будут находиться ресурсы, развертываемые в этой виртуальной сети.The location determines where the resources that you deploy to this VNet will reside.

  10. Подсеть. Добавьте имя подсети и диапазон адресов подсети.Subnet: Add the subnet name and subnet address range. Дополнительные подсети можно добавить позже, после создания виртуальной сети.You can add additional subnets later, after creating the VNet.

  11. Установите флажок Закрепить на панели мониторинга для быстрого перехода к виртуальной сети с панели мониторинга, а затем нажмите кнопку Создать.Select Pin to dashboard if you want to be able to find your VNet easily on the dashboard, and then click Create.

    Закрепить на панели мониторингаPin to dashboard

  12. После нажатия кнопки Создать вы увидите плитку на панели мониторинга, на которой отображается ход создания виртуальной сети.After clicking Create, you will see a tile on your dashboard that will reflect the progress of your VNet. Когда виртуальная сеть будет создана, плитка изменится.The tile changes as the VNet is being created.

    Плитка создания виртуальной сетиCreating virtual network tile

2. Добавление подсети шлюза2. Add a gateway subnet

Прежде чем подключать шлюз к виртуальной сети, нужно создать подсеть шлюза для виртуальной сети, к которой необходимо подключиться.Before connecting your virtual network to a gateway, you first need to create the gateway subnet for the virtual network to which you want to connect. Службы шлюза используют IP-адреса, указанные в подсети шлюза.The gateway services use the IP addresses specified in the gateway subnet. По возможности создайте подсеть шлюза с использованием блока CIDR с маской /28 или /27, чтобы обеспечить достаточно IP-адресов для удовлетворения будущих дополнительных требований к конфигурации.If possible, create a gateway subnet using a CIDR block of /28 or /27 to provide enough IP addresses to accommodate additional future configuration requirements.

  1. На портале перейдите к виртуальной сети Resource Manager, для которой необходимо создать шлюз.In the portal, navigate to the Resource Manager virtual network for which you want to create a virtual network gateway.

  2. На странице виртуальной сети в разделе Параметры щелкните Подсети, чтобы открыть страницу Подсети.In the Settings section of your VNet page, click Subnets to expand the Subnets page.

  3. На странице Подсети щелкните +Подсеть шлюза. Откроется страница Добавление подсети.On the Subnets page, click +Gateway subnet to open the Add subnet page.

    Добавить подсеть шлюзаAdd the gateway subnet

  4. В поле Имя автоматически добавляется значение GatewaySubnet.The Name for your subnet is automatically filled in with the value 'GatewaySubnet'. По этому имени Azure идентифицирует подсеть как подсеть шлюза.This value is required in order for Azure to recognize the subnet as the gateway subnet. Замените автоматически заполненное значение диапазона адресов в соответствии с требованиями к конфигурации.Adjust the auto-filled Address range values to match your configuration requirements. Не настраивайте таблицу маршрутов или конечные точки службы.Don't configure Route table or Service endpoints.

    Добавление подсетиAdding the subnet

  5. Чтобы создать подсеть, в нижней части страницы нажмите кнопку ОК.Click OK at the bottom of the page to create the subnet.

3. Выбор DNS-сервера (необязательно)3. Specify a DNS server (optional)

После создания виртуальной сети можно добавить IP-адрес DNS-сервера для обработки разрешения имен.After you create your virtual network, you can add the IP address of a DNS server to handle name resolution. DNS-сервер не является обязательным для этой конфигурации, но он потребуется при разрешении имен.The DNS server is optional for this configuration, but required if you want name resolution. Если указать значение, DNS-сервер не создается.Specifying a value does not create a new DNS server. Необходимо указать IP-адрес DNS-сервера, который может разрешать имена для ресурсов, к которым вы подключаетесь.The DNS server IP address that you specify should be a DNS server that can resolve the names for the resources you are connecting to. В этом примере мы использовали частный IP-адрес, но, скорее всего, это не IP-адрес DNS-сервера.For this example, we used a private IP address, but it is likely that this is not the IP address of your DNS server. Подставьте собственные значения.Be sure to use your own values. Указанное значение используется для ресурсов, развертываемых в виртуальной сети, а не для подключений типа "точка — сеть" или VPN-клиентов.The value you specify is used by the resources that you deploy to the VNet, not by the P2S connection or the VPN client.

  1. На странице Параметры виртуальной сети перейдите к разделу DNS-серверы и щелкните, чтобы открыть страницу DNS-серверы .On the Settings page for your virtual network, navigate to DNS servers and click to open the DNS servers page.

    Указание DNS-сервераSpecify a DNS server

    • DNS-серверы. Выберите Пользовательский.DNS Servers: Select Custom.
    • Добавить DNS-сервер. Введите IP-адрес DNS-сервера, который нужно использовать для разрешения имен.Add DNS server: Enter the IP address of the DNS server that you want to use for name resolution.
  2. Добавив DNS-серверы, нажмите кнопку Сохранить в верхней части страницы.When you are done adding DNS servers, click Save at the top of the page.

4. Создание шлюза виртуальной сети4. Create a virtual network gateway

  1. На портале слева щелкните +Создать ресурс и выполните поиск по запросу "Шлюз виртуальной сети".In the portal, on the left side, click + Create a resource and type 'Virtual Network Gateway' in search. Найдите шлюз виртуальной сети в списке результатов и щелкните соответствующую запись.Locate Virtual network gateway in the search return and click the entry. На странице шлюз виртуальной сети нажмите кнопку создать.On the Virtual network gateway page, click Create. Откроется страница Создание шлюза виртуальной сети.This opens the Create virtual network gateway page.

    Поля страницы Create virtual network gateway (Создание шлюза виртуальной сети)Create virtual network gateway page fields

    Поля страницы Create virtual network gateway (Создание шлюза виртуальной сети)Create virtual network gateway page fields

  2. На странице Create virtual network gateway (Создание шлюза виртуальной сети) укажите необходимые значения параметров.On the Create virtual network gateway page, fill in the values for your virtual network gateway.

    Сведения о проектеProject details

    • Подписка: Выберите подписку, которую вы хотите использовать, из раскрывающегося списка.Subscription: Select the subscription you want to use from the dropdown.
    • Группа ресурсов. Этот параметр автоматически заполняется при выборе виртуальной сети на этой странице.Resource Group: This setting is autofilled when you select your virtual network on this page.

    Сведения об экземпляреInstance details

    • Имя. Назовите свой шлюз.Name: Name your gateway. Имя шлюза не совпадает с именем подсети шлюза.Naming your gateway not the same as naming a gateway subnet. Это имя объекта шлюза, который создается.It's the name of the gateway object you are creating.

    • Регион. Выберите регион, в котором вы хотите создать этот ресурс.Region: Select the region in which you want to create this resource. Регион для шлюза должен быть таким же, как и виртуальная сеть.The region for the gateway must be the same as the virtual network.

    • Тип шлюза. Выберите VPN.Gateway type: Select VPN. VPN-шлюзы используют тип шлюза виртуальной сети VPN.VPN gateways use the virtual network gateway type VPN.

    • Тип VPN. Выберите тип VPN, который указан для конфигурации.VPN type: Select the VPN type that is specified for your configuration. Для большинства конфигураций требуется тип VPN на основе маршрута.Most configurations require a Route-based VPN type.

    • SKU. Выберите номер SKU шлюза из раскрывающегося списка.SKU: Select the gateway SKU from the dropdown. Номера SKU, перечисленные в раскрывающемся списке, зависят от выбранного типа VPN.The SKUs listed in the dropdown depend on the VPN type you select. Дополнительные сведения о номерах SKU шлюзов см. в разделе SKU шлюзов.For more information about gateway SKUs, see Gateway SKUs.

      Виртуальная сеть. Выберите виртуальную сеть, в которую нужно добавить этот шлюз.Virtual network: Choose the virtual network to which you want to add this gateway.

      Диапазон адресов подсети шлюза. Это поле отображается только в том случае, если выбранная виртуальная сеть не имеет подсети шлюза.Gateway subnet address range: This field only appears if the virtual network you selected does not have a gateway subnet. Заполните диапазон, если у вас еще нет подсети шлюза.Fill in the range if you don't already have a gateway subnet. Если возможно, сделайте диапазон/27 или больше (/26,/25 и т. д.).If possible, make the range /27 or larger (/26,/25 etc.)

    Общедоступный IP-адрес. Этот параметр задает объект общедоступного IP-адреса, который связывается с VPN-шлюзом.Public IP address: This setting specifies the public IP address object that gets associated to the VPN gateway. Общедоступный IP-адрес динамически назначается этому объекту при создании VPN-шлюза.The public IP address is dynamically assigned to this object when the VPN gateway is created. В настоящее время VPN-шлюз поддерживает только динамическое выделение общедоступных IP-адресов.VPN Gateway currently only supports Dynamic Public IP address allocation. Однако это не означает, что IP-адрес изменяется после назначения VPN-шлюзу.However, this does not mean that the IP address changes after it has been assigned to your VPN gateway. Общедоступный IP-адрес изменяется только после удаления и повторного создания шлюза.The only time the Public IP address changes is when the gateway is deleted and re-created. При изменении размера, сбросе или других внутренних операциях обслуживания или обновления IP-адрес VPN-шлюза не изменяется.It doesn't change across resizing, resetting, or other internal maintenance/upgrades of your VPN gateway.

    • Общедоступный IP-адрес. Оставьте параметр Создать выбранным.Public IP address: Leave Create new selected.
    • Имя общедоступного IP-адреса. В текстовом поле введите имя для экземпляра общедоступного IP-адреса.Public IP address name: In the text box, type a name for your public IP address instance.
    • Назначение: VPN-шлюз поддерживает только динамические.Assignment: VPN gateway supports only Dynamic.

    Режим "активный — активный": Параметр Включить режим " активный — активный" следует использовать только в том случае, если вы настраиваете конфигурацию шлюза в режиме "активный — активный".Active-Active mode: Only select Enable active-active mode if you are creating an active-active gateway configuration. В противном случае не выбирайте этот параметр.Otherwise, leave this setting unselected.

    Не выбирайте параметр Настроить ASN BGP, кроме случаев, когда его выбор обусловлен используемой конфигурацией.Leave Configure BGP ASN deselected, unless your configuration specifically requires this setting. Если этот параметр необходим, по умолчанию для ASN устанавливается значение 65515, которое при необходимости можно изменить.If you do require this setting, the default ASN is 65515, although this can be changed.

  3. Щелкните проверить + создать , чтобы запустить проверку.Click Review + Create to run validation. Когда проверка будет пройдена, щелкните создать , чтобы развернуть VPN-шлюз.Once validation passes, click Create to deploy the VPN gateway. Для полного создания и развертывания шлюза может потребоваться до 45 минут.A gateway can take up to 45 minutes to fully create and deploy. Состояние развертывания можно просмотреть на странице Обзор шлюза.You can see the deployment status on the Overview page for your gateway.

После создания шлюза вы можете просмотреть назначенный ему IP-адрес в разделе сведений о виртуальной сети на портале.After the gateway is created, you can view the IP address that has been assigned to it by looking at the virtual network in the portal. Шлюз будет отображаться как подключенное устройство.The gateway appears as a connected device.

Примечание

Базовый номер SKU шлюза не поддерживает проверку подлинности IKEv2 или RADIUS.The Basic gateway SKU does not support IKEv2 or RADIUS authentication. Если вы планируете подключение клиентов Mac к виртуальной сети, не используйте SKU "базовый".If you plan on having Mac clients connect to your virtual network, do not use the Basic SKU.

5. Создайте сертификаты.5. Generate certificates

Сертификаты используются в Azure для проверки подлинности клиентов, подключающихся к виртуальной сети с помощью подключения "точка — сеть".Certificates are used by Azure to authenticate clients connecting to a VNet over a Point-to-Site VPN connection. После получения корневого сертификата необходимо отправить сведения об открытом ключе в Azure.Once you obtain a root certificate, you upload the public key information to Azure. После этого действия корневой сертификат считается "доверенным" в Azure для подключения к виртуальной сети через подключение типа "точка — сеть".The root certificate is then considered 'trusted' by Azure for connection over P2S to the virtual network. Необходимо также создать сертификат клиента на основе доверенного корневого сертификата, а затем установить их на каждом клиентском компьютере.You also generate client certificates from the trusted root certificate, and then install them on each client computer. Сертификат клиента используется для проверки подлинности клиента, когда он инициирует подключение к виртуальной сети.The client certificate is used to authenticate the client when it initiates a connection to the VNet.

1. Получение CER-файла для корневого сертификата1. Obtain the .cer file for the root certificate

Используйте либо корневой сертификат, созданный с помощью корпоративного решения (рекомендуется), либо создайте самозаверяющий сертификат.Use either a root certificate that was generated with an enterprise solution (recommended), or generate a self-signed certificate. После создания корневого сертификата данные общедоступного сертификата (а не закрытый ключ) экспортируйте в виде CER-файла X.509 в кодировке Base64.After you create the root certificate, export the public certificate data (not the private key) as a Base64 encoded X.509 .cer file. Затем передайте данные общедоступного сертификата на сервер Azure.Then, upload the public certificate data to the Azure server.

  • Корпоративный сертификат. Если вы пользуетесь корпоративным решением центра сертификации, можно использовать существующую цепочку сертификатов.Enterprise certificate: If you're using an enterprise solution, you can use your existing certificate chain. Получите CER-файл для корневого сертификата, который нужно использовать.Acquire the .cer file for the root certificate that you want to use.

  • Самозаверяющийся корневой сертификат. Если вы не планируете использовать корпоративное решение для создания сертификатов, создайте самозаверяющий корневой сертификат.Self-signed root certificate: If you aren't using an enterprise certificate solution, create a self-signed root certificate. В противном случае создаваемые сертификаты не будут совместимы с вашими подключениями типа "точка — сеть", и при попытке подключения клиенты будут получать сообщение об ошибке подключения.Otherwise, the certificates you create won't be compatible with your P2S connections and clients will receive a connection error when they try to connect. Можно использовать Azure PowerShell, MakeCert или OpenSSL.You can use Azure PowerShell, MakeCert, or OpenSSL. На шагах, приведенных по следующим ссылкам, описывается, как создать совместимый самозаверяющий корневой сертификат:The steps in the following articles describe how to generate a compatible self-signed root certificate:

    • Инструкции по использованию PowerShell в Windows 10. Для создания сертификатов с помощью этих инструкций требуется Windows 10 и PowerShell.Windows 10 PowerShell instructions: These instructions require Windows 10 and PowerShell to generate certificates. Сертификаты клиентов, которые создаются из корневого сертификата, можно установить на любом поддерживаемом клиенте P2S.Client certificates that are generated from the root certificate can be installed on any supported P2S client.
    • Инструкции по MakeCert. Если у вас нет компьютера с Windows 10, создайте сертификаты с помощью MakeCert.MakeCert instructions: Use MakeCert if you don't have access to a Windows 10 computer to use to generate certificates. Хотя это нерекомендуемое средство, его все же можно использовать для создания сертификатов.Although MakeCert is deprecated, you can still use it to generate certificates. Сертификаты клиентов, которые вы создаете из корневого сертификата, можно установить на любом поддерживаемом клиенте P2S.Client certificates that you generate from the root certificate can be installed on any supported P2S client.
    • Инструкции для LinuxLinux instructions

2. Создание сертификата клиента2. Generate a client certificate

На каждом клиентском компьютере, который вы подключаете к виртуальной сети с помощью подключения типа "точка — сеть", должен быть установлен сертификат клиента.Each client computer that you connect to a VNet with a Point-to-Site connection must have a client certificate installed. Его нужно создать из корневого сертификата и установить на каждый клиентский компьютер.You generate it from the root certificate and install it on each client computer. Если вы не установите допустимый сертификат клиента, проверка подлинности завершится со сбоем, когда клиент попытается подключиться к виртуальной сети.If you don't install a valid client certificate, authentication will fail when the client tries to connect to the VNet.

Можно создать уникальный сертификат для каждого клиента или использовать один сертификат для нескольких клиентов.You can either generate a unique certificate for each client, or you can use the same certificate for multiple clients. Преимущество уникальных клиентских сертификатов заключается в том, что при необходимости можно отозвать один сертификат.The advantage to generating unique client certificates is the ability to revoke a single certificate. В противном случае, если потребуется отозвать сертификат для проверки подлинности, который используют несколько клиентов, вам придется создать и установить новые сертификаты для всех клиентов, которые используют этот сертификат.Otherwise, if multiple clients use the same client certificate to authenticate and you revoke it, you'll need to generate and install new certificates for every client that uses that certificate.

Сертификаты клиентов можно создать, используя следующие методы:You can generate client certificates by using the following methods:

  • Корпоративный сертификат.Enterprise certificate:

    • При использовании корпоративного решения, создать сертификат клиента с общим именем в формате имя@yourdomain.com.If you're using an enterprise certificate solution, generate a client certificate with the common name value format name@yourdomain.com. Используйте этот формат вместо формата доменное_имя\имя_пользователя.Use this format instead of the domain name\username format.
    • Убедитесь, что сертификат клиента основан на шаблоне сертификата пользователя, в котором первым указан пункт Проверка подлинности клиента.Make sure the client certificate is based on a user certificate template that has Client Authentication listed as the first item in the user list. Проверить сертификат можно, дважды щелкнув его и выбрав на вкладке Сведения Улучшенный ключ.Check the certificate by double-clicking it and viewing Enhanced Key Usage in the Details tab.
  • Самозаверяющийся корневой сертификат. Выполните действия, описанные в следующих статьях о сертификате P2S, чтобы создаваемые сертификаты клиента были совместимы с подключениями P2S.Self-signed root certificate: Follow the steps in one of the following P2S certificate articles so that the client certificates you create will be compatible with your P2S connections. Действия, описанные в следующих статьях, помогут создать совместимый сертификат клиента:The steps in these articles generate a compatible client certificate:

    • Инструкции по использованию PowerShell в Windows 10. Для создания сертификатов с помощью этих инструкций требуется Windows 10 и PowerShell.Windows 10 PowerShell instructions: These instructions require Windows 10 and PowerShell to generate certificates. Созданные сертификаты можно установить на любой поддерживаемый клиент P2S.The generated certificates can be installed on any supported P2S client.
    • Инструкции по MakeCert. Если у вас нет компьютера с Windows 10, создайте сертификаты с помощью MakeCert.MakeCert instructions: Use MakeCert if you don't have access to a Windows 10 computer for generating certificates. Хотя это нерекомендуемое средство, его все же можно использовать для создания сертификатов.Although MakeCert is deprecated, you can still use it to generate certificates. Созданные сертификаты можно установить на любом поддерживаемом клиенте P2S.You can install the generated certificates on any supported P2S client.
    • Инструкции для LinuxLinux instructions

    Если вы создаете сертификат клиента из самозаверяющего корневого сертификата, он автоматически устанавливается на компьютере, используемом для его создания.When you generate a client certificate from a self-signed root certificate, it's automatically installed on the computer that you used to generate it. Если вы хотите установить сертификат клиента на другом клиентском компьютере, экспортируйте его как PFX-файл вместе со всей цепочкой сертификатов.If you want to install a client certificate on another client computer, export it as a .pfx file, along with the entire certificate chain. После экспорта будет создан PFX-файл, содержащий сведения корневого сертификата, необходимые для проверки подлинности клиента.Doing so will create a .pfx file that contains the root certificate information required for the client to authenticate.

Экспорт сертификатаTo export the certificate

Сведения об экспорте сертификатов см. в этом разделе.For steps to export a certificate, see Generate and export certificates for Point-to-Site using PowerShell.

6. Добавление пула адресов клиента6. Add the client address pool

Пул адресов клиента представляет собой диапазон частных IP-адресов, указанных вами.The client address pool is a range of private IP addresses that you specify. Клиенты, которые подключаются через подключение типа "точка — сеть", динамически получают IP-адреса из этого диапазона.The clients that connect over a Point-to-Site VPN dynamically receive an IP address from this range. Используйте диапазон частных IP-адресов, не пересекающихся с локальным расположением, из которого будет выполняться подключение, или виртуальной сетью, к которой вы хотите подключиться.Use a private IP address range that does not overlap with the on-premises location that you connect from, or the VNet that you want to connect to.

  1. После создания шлюза виртуальной сети перейдите к разделу Параметры на странице шлюза виртуальной сети.Once the virtual network gateway has been created, navigate to the Settings section of the virtual network gateway page. В разделе Параметры щелкните Конфигурация "точка — сеть" .In the Settings section, click Point-to-site configuration.

    Страница "Конфигурация типа "точка — сеть"

  2. Щелкните Настроить, чтобы открыть страницу настройки.Click Configure now to open the configuration page.

    Элемент "Настроить"

  3. На странице Конфигурация "точка — сеть" в поле Пул адресов можно добавить диапазон частных IP-адресов, который вы хотите использовать.On the Point-to-site configuration page, in the Address pool box, add the private IP address range that you want to use. VPN-клиенты динамически получают IP-адрес из указанного вами диапазона.VPN clients dynamically receive an IP address from the range that you specify. Минимальная маска подсети — 29 бит для активных и пассивных и 28-битных конфигураций для активной/активной конфигурации.The minimum subnet mask is 29 bit for active/passive and 28 bit for active/active configuration. Щелкните Сохранить, чтобы проверить и сохранить настройки.Click Save to validate and save the setting.

    Пул адресов клиента

    Примечание

    Если на этой странице портала не отображаются тип туннеля или аутентификации, для шлюза используется номер SKU уровня "Базовый".If you don't see Tunnel type or Authentication type in the portal on this page, your gateway is using the Basic SKU. SKU "Базовый" не поддерживает проверку подлинности IKEv2 и RADIUS.The Basic SKU does not support IKEv2 or RADIUS authentication.

7. Настройка типа туннеля7. Configure tunnel type

Вы можете выбрать тип туннеля.You can select the tunnel type. Параметры туннеля: Опенвпн, SSTP и IKEv2.The tunnel options are OpenVPN, SSTP and IKEv2. Для подключения клиент strongSwan в Android и Linux и собственный VPN-клиент IKEv2 в iOS и OSX используют только туннель IKEv2.The strongSwan client on Android and Linux and the native IKEv2 VPN client on iOS and OSX will use only IKEv2 tunnel to connect. Клиенты Windows сначала пытаются подключиться через IKEv2, и если им это не удается, возвращаются к SSTP.Windows clients try IKEv2 first and if that doesn’t connect, they fall back to SSTP. Клиент Опенвпн можно использовать для подключения к типу туннеля Опенвпн.You can use the OpenVPN client to connect to the OpenVPN tunnel type.

Тип туннеля

8. Настройка типа аутентификации8. Configure authentication type

Выберите сертификат Azure.Select Azure certificate.

Тип туннеля

9. Отправка данных об открытом ключе корневого сертификата9. Upload the root certificate public certificate data

Всего вы можете отправить до 20 дополнительных доверенных корневых сертификатов.You can upload additional trusted root certificates up to a total of 20. После отправки общедоступных данных сертификата Azure сможет использовать их для проверки подлинности клиентов, на которых установлен клиентский сертификат, созданный из доверенного корневого сертификата.Once the public certificate data is uploaded, Azure can use it to authenticate clients that have installed a client certificate generated from the trusted root certificate. Отправьте сведения об открытом ключе корневого сертификата в Azure.Upload the public key information for the root certificate to Azure.

  1. Сертификаты добавляются на страницу Point-to-site configuration (Конфигурация "точка — сеть") в колонку Корневой сертификат.Certificates are added on the Point-to-site configuration page in the Root certificate section.

  2. Корневой сертификат необходимо экспортировать в виде CER-файла X.509 в кодировке Base64.Make sure that you exported the root certificate as a Base-64 encoded X.509 (.cer) file. Это позволит открыть сертификат в текстовом редакторе.You need to export the certificate in this format so you can open the certificate with text editor.

  3. Откройте сертификат в текстовом редакторе, например в блокноте.Open the certificate with a text editor, such as Notepad. При копировании данных сертификата обязательно скопируйте текст как одну непрерывную строку без символов возврата каретки и перевода строки.When copying the certificate data, make sure that you copy the text as one continuous line without carriage returns or line feeds. Может потребоваться изменить параметры представления в текстовом редакторе, чтобы показать символы или показать все знаки и просмотреть символы возврата каретки и перевода строки.You may need to modify your view in the text editor to 'Show Symbol/Show all characters' to see the carriage returns and line feeds. Скопируйте только указанный ниже раздел как одну непрерывную строку.Copy only the following section as one continuous line:

    Данные сертификата

  4. Вставьте данные сертификата в поле Данные общедоступного сертификата.Paste the certificate data into the Public Certificate Data field. Введите имя сертификата в поле Имя, затем нажмите кнопку Сохранить.Name the certificate, and then click Save. Вы можете добавить до 20 доверенных корневых сертификатов.You can add up to 20 trusted root certificates.

    Отправка сертификата

  5. В верхней части страницы щелкните Сохранить, чтобы сохранить все параметры конфигурации.Click Save at the top of the page to save all of the configuration settings.

    Сохранить

10. Установка экспортированного сертификата клиента10. Install an exported client certificate

Если вы хотите создать подключение типа "точка — сеть" на клиентском компьютере, отличном от того, который использовался для создания сертификатов клиентов, необходимо установить сертификат клиента.If you want to create a P2S connection from a client computer other than the one you used to generate the client certificates, you need to install a client certificate. При установке сертификата клиента потребуется пароль, созданный при экспорте сертификата клиента.When installing a client certificate, you need the password that was created when the client certificate was exported.

Убедитесь, что сертификат клиента был экспортирован как PFX-файл вместе со всей цепочкой сертификатов (это значение по умолчанию).Make sure the client certificate was exported as a .pfx along with the entire certificate chain (which is the default). В противном случае данные корневого сертификата будут отсутствовать на клиентском компьютере и клиент не сможет пройти проверку должным образом.Otherwise, the root certificate information isn't present on the client computer and the client won't be able to authenticate properly.

Дополнительные сведения см. в руководстве по установке сертификата клиента.For install steps, see Install a client certificate.

11. Создание и установка пакета конфигурации VPN-клиента11. Generate and install the VPN client configuration package

Файлы конфигурации VPN-клиента содержат параметры для настройки устройств, которые подключаются к виртуальной сети с использованием подключения типа "точка — сеть".The VPN client configuration files contain settings to configure devices to connect to a VNet over a P2S connection. Дополнительные сведения см. в инструкциях по созданию и установке файлов конфигурации VPN-клиента для собственной аутентификации Azure на основе сертификата при подключениях "точка — сеть".For instructions to generate and install VPN client configuration files, see Create and install VPN client configuration files for native Azure certificate authentication P2S configurations.

12. Подключение к Azure12. Connect to Azure

Подключение из VPN-клиента для WindowsTo connect from a Windows VPN client

Примечание

Вам потребуются права администратора для клиентского компьютера Windows, с которого устанавливается подключение.You must have Administrator rights on the Windows client computer from which you are connecting.

  1. Чтобы подключиться к виртуальной сети, откройте VPN-подключения на клиентском компьютере и найдите созданное VPN-подключение.To connect to your VNet, on the client computer, navigate to VPN connections and locate the VPN connection that you created. Его имя совпадает с названием вашей виртуальной сети.It is named the same name as your virtual network. Щелкните Подключить.Click Connect. Может появиться всплывающее сообщение об использовании сертификата.A pop-up message may appear that refers to using the certificate. В таком случае щелкните Продолжить, чтобы использовать более высокий уровень привилегий.Click Continue to use elevated privileges.

  2. На странице состояния подключения щелкните Подключить.On the Connection status page, click Connect to start the connection. Если появится окно Выбор сертификата, убедитесь в том, что отображается сертификат клиента, с помощью которого вы хотите подключиться к сети.If you see a Select Certificate screen, verify that the client certificate showing is the one that you want to use to connect. Если окно не появится, выберите нужный сертификат в раскрывающемся списке и нажмите кнопку ОК.If it is not, use the drop-down arrow to select the correct certificate, and then click OK.

    Подключение VPN-клиента к Azure

  3. Теперь подключение установлено.Your connection is established.

    Подключение установлено

Устранение неполадок с подключением Windows типа "точка — сеть"Troubleshoot Windows P2S connections

Если возникают проблемы с подключением, проверьте следующее.If you have trouble connecting, check the following items:

  • Если вы экспортировали сертификат клиента с помощью мастера экспорта сертификатов, убедитесь, что он был экспортирован как PFX-файл с использованием значения Включить по возможности все сертификаты в путь сертификации.If you exported a client certificate with Certificate Export Wizard, make sure that you exported it as a .pfx file and selected Include all certificates in the certification path if possible. При экспорте с использованием этого значения также экспортируются сведения о корневом сертификате.When you export it with this value, the root certificate information is also exported. Корневой сертификат в PFX-файле устанавливается вместе с установкой сертификата на компьютер клиента.After you install the certificate on the client computer, the root certificate in the .pfx file is also installed. Чтобы проверить установку корневого сертификата, откройте Управление сертификатами пользователей и выберите Доверенные корневые центры сертификации\Сертификаты.To verify that the root certificate is installed, open Manage user certificates and select Trusted Root Certification Authorities\Certificates. Убедитесь, что корневой сертификат отображается в списке, иначе проверка подлинности не будет выполнена.Verify that the root certificate is listed, which must be present for authentication to work.

  • Если используется сертификат, который был выдан корпоративным ЦС, и при аутентификации возникают проблемы, проверьте порядок прохождения аутентификации в сертификате клиента.If you used a certificate that was issued by an Enterprise CA solution and you can't authenticate, verify the authentication order on the client certificate. Проверьте список этапов аутентификации, дважды щелкнув сертификат клиента, выбрав Сведения, а затем Улучшенный ключ.Check the authentication list order by double-clicking the client certificate, selecting the Details tab, and then selecting Enhanced Key Usage. Убедитесь, что первым в списке отображается пункт Проверка подлинности клиента.Make sure Client Authentication is the first item in the list. В противном случае выдайте сертификат клиента на основе пользовательского шаблона, в котором пункт Проверка подлинности клиента указан первым в списке.If it isn't, issue a client certificate based on the user template that has Client Authentication as the first item in the list.

  • Дополнительные сведения см. в статье Устранение неполадок подключения типа "точка — сеть" Azure.For additional P2S troubleshooting information, see Troubleshoot P2S connections.

Подключение из VPN-клиента для MacTo connect from a Mac VPN client

В диалоговом окне сети найдите профиль клиента, который нужно использовать, укажите параметры из файла VpnSettings.xml, а затем нажмите кнопку Подключить.From the Network dialog box, locate the client profile that you want to use, specify the settings from the VpnSettings.xml, and then click Connect.

Ознакомьтесь с подробными инструкциями в разделе Установка Mac (OS X).Check Install - Mac (OS X) for detailed instructions. Если у вас возникают неполадки подключения, убедитесь, что шлюз виртуальной сети не использует SKU "Базовый".If you are having trouble connecting, verify that the virtual network gateway is not using a Basic SKU. SKU "Базовый" не поддерживается для клиентов Mac.Basic SKU is not supported for Mac clients.

Подключение для Mac

Проверка подключенияTo verify your connection

Эти инструкции применимы к клиентам Windows.These instructions apply to Windows clients.

  1. Чтобы проверить, активно ли VPN-подключение, откройте окно командной строки от имени администратора и выполните команду ipconfig/all.To verify that your VPN connection is active, open an elevated command prompt, and run ipconfig/all.

  2. Просмотрите результаты.View the results. Обратите внимание, что полученный вами IP-адрес — это один из адресов в пуле адресов VPN-клиента подключения "точка–cеть", указанном в конфигурации.Notice that the IP address you received is one of the addresses within the Point-to-Site VPN Client Address Pool that you specified in your configuration. Вы должны увидеть результат, аналогичный приведенному ниже.The results are similar to this example:

    PPP adapter VNet1:
       Connection-specific DNS Suffix .:
       Description.....................: VNet1
       Physical Address................:
       DHCP Enabled....................: No
       Autoconfiguration Enabled.......: Yes
       IPv4 Address....................: 172.16.201.3(Preferred)
       Subnet Mask.....................: 255.255.255.255
       Default Gateway.................:
       NetBIOS over Tcpip..............: Enabled
    

Подключение к виртуальной машинеTo connect to a virtual machine

Эти инструкции применимы к клиентам Windows.These instructions apply to Windows clients.

Вы можете подключиться к виртуальной машине, которая развернута в вашей виртуальной сети, создав подключение к удаленному рабочему столу.You can connect to a VM that is deployed to your VNet by creating a Remote Desktop Connection to your VM. Лучший способ проверить, можете ли вы подключиться к своей виртуальной машине, — подключиться, используя частный IP-адрес, а не имя компьютера.The best way to initially verify that you can connect to your VM is to connect by using its private IP address, rather than computer name. Таким образом, вы проверяете, можете ли вы подключиться, а не правильно ли настроено разрешение имен.That way, you are testing to see if you can connect, not whether name resolution is configured properly.

  1. Найдите частный IP-адрес.Locate the private IP address. Вы можете найти частный IP-адрес виртуальной машины, просмотрев ее свойства на портале Azure или используя PowerShell.You can find the private IP address of a VM by either looking at the properties for the VM in the Azure portal, or by using PowerShell.

    • Портал Azure. Найдите свою виртуальную машину на портале Azure.Azure portal - Locate your virtual machine in the Azure portal. Просмотрите свойства виртуальной машины.View the properties for the VM. Там будет указан частный IP-адрес.The private IP address is listed.

    • PowerShell. Воспользуйтесь примером ниже, чтобы просмотреть список виртуальных машин и частных IP-адресов из ваших групп ресурсов.PowerShell - Use the example to view a list of VMs and private IP addresses from your resource groups. Вам не нужно изменять этот пример перед использованием.You don't need to modify this example before using it.

      $VMs = Get-AzVM
      $Nics = Get-AzNetworkInterface | Where VirtualMachine -ne $null
      
      foreach($Nic in $Nics)
      {
      $VM = $VMs | Where-Object -Property Id -eq $Nic.VirtualMachine.Id
      $Prv = $Nic.IpConfigurations | Select-Object -ExpandProperty PrivateIpAddress
      $Alloc = $Nic.IpConfigurations | Select-Object -ExpandProperty PrivateIpAllocationMethod
      Write-Output "$($VM.Name): $Prv,$Alloc"
      }
      
  2. Убедитесь, что вы подключены к виртуальной сети с помощью VPN-подключения "точка — сеть".Verify that you are connected to your VNet using the Point-to-Site VPN connection.

  3. Откройте подключение к удаленному рабочему столу. Для этого введите "RDP" или "подключение к удаленному рабочему столу" в поле поиска на панели задач, а затем выберите подключение к удаленному рабочему столу.Open Remote Desktop Connection by typing "RDP" or "Remote Desktop Connection" in the search box on the taskbar, then select Remote Desktop Connection. Вы также можете открыть подключение к удаленному рабочему столу с помощью команды mstsc в PowerShell.You can also open Remote Desktop Connection using the 'mstsc' command in PowerShell.

  4. В сеансе подключения к удаленному рабочему столу введите частный IP-адрес виртуальной машины.In Remote Desktop Connection, enter the private IP address of the VM. Щелкните "Показать параметры", чтобы настроить дополнительные параметры, а затем подключитесь.You can click "Show Options" to adjust additional settings, then connect.

Устранение неполадок подключения к виртуальной машине через удаленный рабочий столTo troubleshoot an RDP connection to a VM

Если возникают проблемы при подключении к виртуальной машине через VPN-подключение, проверьте следующее.If you are having trouble connecting to a virtual machine over your VPN connection, check the following:

  • Убедитесь, что вы используете активное VPN-подключение.Verify that your VPN connection is successful.
  • Убедитесь, что подключаетесь к частному IP-адресу виртуальной машины.Verify that you are connecting to the private IP address for the VM.
  • Используйте ipconfig, чтобы проверить IPv4-адрес, назначенный Ethernet-адаптеру на компьютере, с которого выполняется подключение.Use 'ipconfig' to check the IPv4 address assigned to the Ethernet adapter on the computer from which you are connecting. Если IP-адрес находится в диапазоне адресов виртуальной сети, к которой выполняется подключение, или в диапазоне адресов VPNClientAddressPool, адресное пространство перекрывается.If the IP address is within the address range of the VNet that you are connecting to, or within the address range of your VPNClientAddressPool, this is referred to as an overlapping address space. В таком случае сетевой трафик не достигает Azure и остается в локальной сети.When your address space overlaps in this way, the network traffic doesn't reach Azure, it stays on the local network.
  • Если вы можете подключиться к виртуальной машине с помощью частного IP-адреса, но не имени компьютера, проверьте, правильно ли настроено имя DNS.If you can connect to the VM using the private IP address, but not the computer name, verify that you have configured DNS properly. Дополнительные сведения о том, как работает разрешение имен для виртуальных машин, см. в статье Разрешение имен для ВМ и экземпляров ролей.For more information about how name resolution works for VMs, see Name Resolution for VMs.
  • Убедитесь, что пакет конфигурации VPN-клиента был создан после IP-адресов DNS-сервера, заданных для виртуальной сети.Verify that the VPN client configuration package was generated after the DNS server IP addresses were specified for the VNet. Если вы обновили IP-адреса DNS-сервера, создайте и установите новый пакет конфигурации VPN-клиента.If you updated the DNS server IP addresses, generate and install a new VPN client configuration package.
  • Дополнительные сведения о подключениях RDP см. в статье Устранение неполадок с подключением к виртуальной машине Azure через удаленный рабочий стол.For more information about RDP connections, see Troubleshoot Remote Desktop connections to a VM.

Добавление и удаление доверенного корневого сертификатаTo add or remove trusted root certificates

Вы можете добавлять доверенные корневые сертификаты в Azure, а также удалять их из Azure.You can add and remove trusted root certificates from Azure. При удалении корневого сертификата клиенты, использующие сертификат, созданный из этого корневого сертификата, не смогут пройти проверку подлинности и поэтому не смогут подключиться.When you remove a root certificate, clients that have a certificate generated from that root won't be able to authenticate, and thus will not be able to connect. Чтобы клиенты могли проходить аутентификацию и подключаться, необходимо установить новый сертификат клиента, созданный на основе корневого сертификата, который является доверенным для Azure (то есть он передан в Azure).If you want a client to authenticate and connect, you need to install a new client certificate generated from a root certificate that is trusted (uploaded) to Azure.

Добавление доверенного корневого сертификатаTo add a trusted root certificate

В Azure можно добавить до 20 CER-файлов доверенных корневых сертификатов.You can add up to 20 trusted root certificate .cer files to Azure. Дополнительные сведения см. в разделе Отправка доверенного корневого сертификата в этой статье.For instructions, see the section Upload a trusted root certificate in this article.

Удаление доверенного корневого сертификатаTo remove a trusted root certificate

  1. Чтобы удалить доверенный корневой сертификат, перейдите на страницу Point-to-site configuration (Конфигурация "точка — сеть") вашего шлюза виртуальной сети.To remove a trusted root certificate, navigate to the Point-to-site configuration page for your virtual network gateway.
  2. В разделе страницыRoot certificate (Корневой сертификат) найдите сертификат, который требуется удалить.In the Root certificate section of the page, locate the certificate that you want to remove.
  3. Нажмите кнопку с многоточием рядом с сертификатом, а затем щелкните "Удалить".Click the ellipsis next to the certificate, and then click 'Remove'.

Отзыв сертификата клиентаTo revoke a client certificate

Можно отозвать сертификаты клиента.You can revoke client certificates. Список отзыва сертификатов позволяет выборочно запрещать подключение типа "точка-сеть" на основе отдельных сертификатов клиента.The certificate revocation list allows you to selectively deny Point-to-Site connectivity based on individual client certificates. Эта процедура отличается от удаления доверенного корневого сертификата.This is different than removing a trusted root certificate. При удалении доверенного корневого сертификата (CER-файл) из Azure будет запрещен доступ для всех сертификатов клиента, созданных на основе отозванного корневого сертификата или подписанных им.If you remove a trusted root certificate .cer from Azure, it revokes the access for all client certificates generated/signed by the revoked root certificate. Отзыв сертификата клиента, а не корневого сертификата, позволяет по-прежнему использовать другие сертификаты, созданные на основе корневого сертификата, для проверки подлинности.Revoking a client certificate, rather than the root certificate, allows the other certificates that were generated from the root certificate to continue to be used for authentication.

Обычно корневой сертификат используется для управления доступом на уровнях группы или организации, а отозванный сертификат клиента — для точного контроля доступа для отдельных пользователей.The common practice is to use the root certificate to manage access at team or organization levels, while using revoked client certificates for fine-grained access control on individual users.

Отзыв сертификата клиентаRevoke a client certificate

Вы можете отозвать сертификат клиента, добавив отпечаток в список отзыва.You can revoke a client certificate by adding the thumbprint to the revocation list.

  1. Получите отпечаток сертификата клиента.Retrieve the client certificate thumbprint. Дополнительные сведения см. в статье Практическое руководство. Извлечение отпечатка сертификата.For more information, see How to retrieve the Thumbprint of a Certificate.
  2. Скопируйте данные в текстовый редактор и удалите все пробелы, чтобы предоставить отпечаток в виде непрерывной строки.Copy the information to a text editor and remove all spaces so that it is a continuous string.
  3. Перейдите к странице шлюза виртуальной сети Point-to-site-configuration (Конфигурация "точка — сеть").Navigate to the virtual network gateway Point-to-site-configuration page. Это та же колонка, которая использовалась для отправки доверенного корневого сертификата.This is the same page that you used to upload a trusted root certificate.
  4. В разделе Отозванные сертификаты введите понятное имя сертификата (это не должно быть общее имя).In the Revoked certificates section, input a friendly name for the certificate (it doesn't have to be the certificate CN).
  5. Скопируйте и вставьте строку отпечатка в поле Отпечаток.Copy and paste the thumbprint string to the Thumbprint field.
  6. Отпечаток будет проверен и автоматически добавлен в список отзыва.The thumbprint validates and is automatically added to the revocation list. На экране появится сообщение о том, что список обновляется.A message appears on the screen that the list is updating.
  7. После применения изменений сертификат больше не будет использоваться для подключения.After updating has completed, the certificate can no longer be used to connect. Клиенты, пытающиеся подключиться с помощью этого сертификата, получат сообщение, что он недействителен.Clients that try to connect using this certificate receive a message saying that the certificate is no longer valid.

Часто задаваемые вопросы о подключениях типа "точка — сеть"Point-to-Site FAQ

Сколько конечных точек VPN-клиента можно настроить в конфигурации "точка — сеть"?How many VPN client endpoints can I have in my Point-to-Site configuration?

Это зависит от SKU шлюза.It depends on the gateway SKU. Дополнительные сведения о количестве поддерживаемых подключений см. в разделе SKU шлюзов.For more information on the number of connections supported, see Gateway SKUs.

Какие клиентские операционные системы можно использовать для подключения типа "точка — сеть"?What client operating systems can I use with Point-to-Site?

Поддерживаются следующие клиентские операционные системы:The following client operating systems are supported:

  • Windows 7 (32-разрядная и 64-разрядная версии)Windows 7 (32-bit and 64-bit)
  • Windows Server 2008 R2 (только 64-разрядная версия)Windows Server 2008 R2 (64-bit only)
  • Windows 8.1 (32-разрядная и 64-разрядная версии)Windows 8.1 (32-bit and 64-bit)
  • Windows Server 2012 (только 64-разрядная версия)Windows Server 2012 (64-bit only)
  • Windows Server 2012 R2 (только 64-разрядная версия)Windows Server 2012 R2 (64-bit only)
  • Windows Server 2016 (только 64-разрядная версия)Windows Server 2016 (64-bit only)
  • Windows 10Windows 10
  • Mac OS X версии 10.11 или более позднейMac OS X version 10.11 or above
  • Linux (StrongSwan)Linux (StrongSwan)
  • iOSiOS

Примечание

Начиная с 1 июля 2018 года прекращается поддержка TLS 1.0 и TLS 1.1 в VPN-шлюзе Azure.Starting July 1, 2018, support is being removed for TLS 1.0 and 1.1 from Azure VPN Gateway. VPN-шлюз будет поддерживать только TLS 1.2.VPN Gateway will support only TLS 1.2. Дополнительные сведения см. в разделе об обновлении для поддержки TLS 1.2.To maintain support, see the updates to enable support for TLS1.2.

Кроме того, с 1 июля 2018 года объявляются нерекомендуемыми для TLS приведенные ниже устаревшие алгоритмы:Additionally, the following legacy algorithms will also be deprecated for TLS on July 1, 2018:

  • RC4 (Rivest Cipher 4);RC4 (Rivest Cipher 4)
  • DES (Data Encryption Algorithm);DES (Data Encryption Algorithm)
  • 3DES (Triple Data Encryption Algorithm);3DES (Triple Data Encryption Algorithm)
  • MD5 (Message Digest 5);MD5 (Message Digest 5)

Как включить поддержку TLS 1.2 в Windows 7 и Windows 8.1?How do I enable support for TLS 1.2 in Windows 7 and Windows 8.1?

  1. Откройте командную строку с более высоким уровнем привилегий. Для этого щелкните правой кнопкой мыши Командная строка и выберите Запуск от имени администратора.Open a command prompt with elevated privileges by right-clicking on Command Prompt and selecting Run as administrator.

  2. В командной строке выполните следующие команды.Run the following commands in the command prompt:

    reg add HKLM\SYSTEM\CurrentControlSet\Services\RasMan\PPP\EAP\13 /v TlsVersion /t REG_DWORD /d 0xfc0
    reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp" /v DefaultSecureProtocols /t REG_DWORD /d 0xaa0
    if %PROCESSOR_ARCHITECTURE% EQU AMD64 reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp" /v DefaultSecureProtocols /t REG_DWORD /d 0xaa0
    
  3. Установите следующие обновления:Install the following updates:

  4. Перезагрузите компьютер.Reboot the computer.

  5. Подключитесь к VPN.Connect to the VPN.

Примечание

Если вы работаете в более ранней версии Windows 10 (10240), необходимо будет задать указанный выше ключ реестра.You will have to set the above registry key if you are running an older version of Windows 10 (10240).

Можно ли просматривать прокси-серверы и брандмауэры с использованием возможности "точка — сеть"?Can I traverse proxies and firewalls using Point-to-Site capability?

Azure поддерживает три типа параметров типа "точка сеть":Azure supports three types of Point-to-site VPN options:

  • По протоколу SSTP (Secure Sockets Tunneling Protocol).Secure Socket Tunneling Protocol (SSTP). SSTP — это Microsoft собственности на базе SSL решение, может проходить через брандмауэры, так как большинство брандмауэров открывают исходящий TCP-порт, который использует SSL на 443.SSTP is a Microsoft proprietary SSL-based solution that can penetrate firewalls since most firewalls open the outbound TCP port that 443 SSL uses.

  • OpenVPN.OpenVPN. OpenVPN — это решение на основе SSL, которое позволяет проходить через брандмауэры, так как большинство брандмауэров открывают исходящий TCP-порт, который использует SSL на 443.OpenVPN is a SSL-based solution that can penetrate firewalls since most firewalls open the outbound TCP port that 443 SSL uses.

  • По протоколу IKEv2 для VPN.IKEv2 VPN. IKEv2 для VPN — это основанные на стандартах решение VPN-Подключение IPsec, которое не использует исходящие порты UDP 500 и 4500, а также протокол IP.IKEv2 VPN is a standards-based IPsec VPN solution that uses outbound UDP ports 500 and 4500 and IP protocol no. 50.50. Эти порты не всегда открываются в брандмауэре, поэтому есть вероятность, что IKEv2 для VPN не сможет пройти через прокси-серверы и брандмауэры.Firewalls do not always open these ports, so there is a possibility of IKEv2 VPN not being able to traverse proxies and firewalls.

Если перезапустить клиентский компьютер, настроенный для подключения "точка — сеть", произойдет ли автоматическое переподключение VPN?If I restart a client computer configured for Point-to-Site, will the VPN automatically reconnect?

По умолчанию клиентский компьютер не восстанавливает VPN-подключение автоматически.By default, the client computer will not reestablish the VPN connection automatically.

Поддерживает ли подключение "точка — сеть" автоматическое повторное подключение и DDNS для VPN-клиентов?Does Point-to-Site support auto-reconnect and DDNS on the VPN clients?

В конфигурациях VPN "точка — сеть" в настоящее время не поддерживаются автоматическое повторное подключение и DDNS.Auto-reconnect and DDNS are currently not supported in Point-to-Site VPNs.

Могут ли сосуществовать в одной виртуальной сети конфигурации "сеть — сеть" и "точка — сеть"?Can I have Site-to-Site and Point-to-Site configurations coexist for the same virtual network?

Да.Yes. Для модели развертывания с помощью Resource Manager требуется VPN-шлюз с маршрутизацией на основе маршрутов.For the Resource Manager deployment model, you must have a RouteBased VPN type for your gateway. В классической модели развертывания требуется динамический шлюз.For the classic deployment model, you need a dynamic gateway. Подключения типа "точка — сеть" для VPN-шлюзов со статической маршрутизацией или маршрутизацией на основе политик не поддерживаются.We do not support Point-to-Site for static routing VPN gateways or PolicyBased VPN gateways.

Можно ли настроить клиент "точка — сеть" для подключения к нескольким виртуальным сетям одновременно?Can I configure a Point-to-Site client to connect to multiple virtual networks at the same time?

No. Клиент для подключения типа "точка — сеть" может подключаться только к ресурсам в виртуальной сети, в которой находится шлюз виртуальной сети.A Point-to-Site client can only connect to resources in the VNet in which the virtual network gateway resides.

На какую пропускную способность можно рассчитывать в конфигурациях подключения "сеть — сеть" и "точка — сеть"?How much throughput can I expect through Site-to-Site or Point-to-Site connections?

Сложно поддерживать конкретную пропускную способность для туннелей VPN.It's difficult to maintain the exact throughput of the VPN tunnels. IPsec и SSTP — это надежно зашифрованные протоколы VPN.IPsec and SSTP are crypto-heavy VPN protocols. Пропускная способность также зависит от задержки и пропускной способности между локальной сетью и Интернетом.Throughput is also limited by the latency and bandwidth between your premises and the Internet. Для VPN-шлюза, который используется только для VPN-подключений типа "точка — сеть" по протоколу IKEv2, общая пропускная способность зависит от номера SKU шлюза.For a VPN Gateway with only IKEv2 Point-to-Site VPN connections, the total throughput that you can expect depends on the Gateway SKU. Дополнительные сведения о пропускной способности см. в статье о номерах SKU шлюзов.For more information on throughput, see Gateway SKUs.

Можно ли использовать для подключения "точка — сеть" любой программный VPN-клиент, поддерживающий SSTP и (или) IKEv2?Can I use any software VPN client for Point-to-Site that supports SSTP and/or IKEv2?

No. Вы можете использовать только собственный VPN-клиент для SSTP в Windows и собственный VPN-клиент для IKEv2 в Mac.You can only use the native VPN client on Windows for SSTP, and the native VPN client on Mac for IKEv2. Тем не менее можно использовать клиент OpenVPN на всех платформах, для подключения по протоколу OpenVPN.However, you can use the OpenVPN client on all platforms to connect over OpenVPN protocol. См. список поддерживаемых клиентских операционных систем.Refer to the list of supported client operating systems.

Azure поддерживает протокол IKEv2 для VPN в Windows?Does Azure support IKEv2 VPN with Windows?

IKEv2 поддерживается в Windows 10 и Server 2016.IKEv2 is supported on Windows 10 and Server 2016. Однако для использования IKEv2 необходимо установить обновления и задать значение раздела реестра локально.However, in order to use IKEv2, you must install updates and set a registry key value locally. Версии операционной системы до Windows 10 не поддерживаются и могут использовать только SSTP или OpenVPN® протокола.OS versions prior to Windows 10 are not supported and can only use SSTP or OpenVPN® Protocol.

Чтобы подготовить Windows 10 или Server 2016 IKEv2:To prepare Windows 10 or Server 2016 for IKEv2:

  1. Установите обновление.Install the update.

    Версия ОСOS version ДатаDate Номер или ссылкаNumber/Link
    Windows Server 2016Windows Server 2016
    Windows 10 версии 1607Windows 10 Version 1607
    17 января 2018 г.January 17, 2018 KB4057142KB4057142
    Windows 10 версии 1703Windows 10 Version 1703 17 января 2018 г.January 17, 2018 KB4057144KB4057144
    Windows 10 версии 1709Windows 10 Version 1709 22 марта 2018 г.March 22, 2018 KB4089848KB4089848
  2. Установите значение раздела реестра.Set the registry key value. Создайте или задайте для ключа REG_DWORD "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\ IKEv2\DisableCertReqPayload" в реестре значение 1.Create or set “HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\ IKEv2\DisableCertReqPayload” REG_DWORD key in the registry to 1.

Что произойдет, если настроить и SSTP, и IKEv2 для подключений VPN типа "точка — сеть"?What happens when I configure both SSTP and IKEv2 for P2S VPN connections?

При настройке SSTP и IKEv2 в смешанной среде (состоящей из устройств Windows и Mac) VPN клиент Windows будет сначала пытаться подключиться к туннелю IKEv2, но, если не удастся установить соединение, подключится к SSTP.When you configure both SSTP and IKEv2 in a mixed environment (consisting of Windows and Mac devices), the Windows VPN client will always try IKEv2 tunnel first, but will fall back to SSTP if the IKEv2 connection is not successful. MacOSX подключится только через IKEv2.MacOSX will only connect via IKEv2.

Какие еще платформы, кроме Windows и Mac, Azure поддерживает для VPN-подключений типа "точка — сеть"?Other than Windows and Mac, which other platforms does Azure support for P2S VPN?

Azure поддерживает VPN-подключения "точка — сеть" в Windows, Mac и Linux.Azure supports Windows, Mac and Linux for P2S VPN.

У меня уже развернут VPN-шлюз Azure.I already have an Azure VPN Gateway deployed. Можно ли включить на нем RADIUS и/или IKEv2 для VPN?Can I enable RADIUS and/or IKEv2 VPN on it?

Да, эти новые функции можно включить для уже развернутых шлюзов с помощью Powershell или портала Azure при условии, что используемый шлюз SKU поддерживает RADIUS и/или IKEv2.Yes, you can enable these new features on already deployed gateways using Powershell or the Azure portal, provided that the gateway SKU that you are using supports RADIUS and/or IKEv2. Например, VPN-шлюз со SKU "Базовый" не поддерживает RADIUS или IKEv2.For example, the VPN gateway Basic SKU does not support RADIUS or IKEv2.

Можно ли использовать собственный внутренний корневой ЦС PKI для создания сертификатов для подключения "точка — сеть"?Can I use my own internal PKI root CA to generate certificates for Point-to-Site connectivity?

Да.Yes. Раньше поддерживались только самозаверяющие корневые сертификаты.Previously, only self-signed root certificates could be used. Вы по-прежнему можете загружать до 20 корневых сертификатов.You can still upload 20 root certificates.

Можно ли использовать сертификаты из Azure Key Vault?Can I use certificates from Azure Key Vault?

Нет.No.

Какие инструменты можно использовать для создания сертификатов?What tools can I use to create certificates?

Можно использовать решение Enterprise PKI (внутренняя инфраструктура открытых ключей), Azure PowerShell, MakeCert и OpenSSL.You can use your Enterprise PKI solution (your internal PKI), Azure PowerShell, MakeCert, and OpenSSL.

Есть инструкции по выбору параметров сертификата?Are there instructions for certificate settings and parameters?

  • Встроенное решение PKI для PKI/Enterprise: См. инструкции по созданию сертификатов.Internal PKI/Enterprise PKI solution: See the steps to Generate certificates.

  • Azure PowerShell. Пошаговые инструкции см. в Azure PowerShell статье.Azure PowerShell: See the Azure PowerShell article for steps.

  • Программой Пошаговые инструкции см. в статье по MakeCert .MakeCert: See the MakeCert article for steps.

  • OpenSSL:OpenSSL:

    • При экспорте сертификатов преобразуйте корневой сертификат в кодировку Base64.When exporting certificates, be sure to convert the root certificate to Base64.

    • Для сертификата клиента:For the client certificate:

      • При создании закрытого ключа укажите длину 4096.When creating the private key, specify the length as 4096.
      • При создании сертификата для параметра -extensions укажите значение usr_cert.When creating the certificate, for the -extensions parameter, specify usr_cert.

Следующие шагиNext steps

Установив подключение, можно добавить виртуальные машины в виртуальные сети.Once your connection is complete, you can add virtual machines to your virtual networks. Дополнительные сведения о виртуальных машинах см. здесь.For more information, see Virtual Machines. Дополнительные сведения о сетях и виртуальных машинах см. в статье Azure и Linux: обзор сетей виртуальных машин.To understand more about networking and virtual machines, see Azure and Linux VM network overview.

Дополнительные сведения см. в руководстве по устранению неполадок подключения типа "точка — сеть" в Azure.For P2S troubleshooting information, Troubleshooting Azure point-to-site connections.