Azure sertifika kimlik doğrulaması kullanarak Noktadan Siteye VPN bağlantısı yapılandırma: Azure portal

  • Makale
  • Okumak için 18 dakika

Bu makale, Windows, Linux veya macOS çalıştıran tek tek istemcileri bir Azure VNet'e güvenli bir şekilde bağlamanıza yardımcı olur. Noktadan Siteye VPN bağlantıları, ev veya bir konferans gibi uzak bir noktadan Vnet'inize bağlanmak istediğinizde faydalıdır. Bir sanal ağa bağlanması gereken yalnızca birkaç istemciniz olduğunda Siteden Siteye VPN yerine P2S’yi de kullanabilirsiniz. Noktadan Siteye bağlantılar için bir VPN cihazına veya genel kullanıma yönelik bir IP adresine gerek yoktur. P2S, VPN bağlantısını SSTP (Güvenli Yuva Tünel Protokolü) veya IKEv2 üzerinden oluşturur. Noktadan Siteye VPN hakkında daha fazla bilgi edinmek için bkz. Noktadan Siteye VPN hakkında.

Bağlan azure sanal a bilgisayarınızda bağlantı oluşturma - noktadan siteye bağlantı diyagramı.

Noktadan siteye VPN hakkında daha fazla bilgi için bkz. Noktadan siteye VPN hakkında. Bu yapılandırmayı Azure PowerShell oluşturmak için bkz. Azure PowerShell kullanarak noktadan siteye VPN yapılandırma.

Noktadan siteye yerel Azure sertifika kimlik doğrulaması bağlantıları, Bu alıştırmada yapılandırdığınız aşağıdaki öğeleri kullanır:

  • RouteBased VPN ağ geçidi.
  • Azure’a yüklenmiş bir kök sertifikanın ortak anahtarı (.cer dosyası). Sertifika karşıya yüklendikten sonra güvenilen bir sertifika olarak kabul edilir ve kimlik doğrulaması için kullanılır.
  • Kök sertifikasından oluşturulan bir istemci sertifikası. Sanal ağa bağlanacak her istemci bilgisayarda yüklü olan istemci sertifikası. Bu sertifika, istemci kimlik doğrulaması için kullanılır.
  • VPN istemci yapılandırması. VPN istemcisi VPN istemci yapılandırma dosyaları kullanılarak yapılandırılır. Bu dosyalar, istemcinin VNet 'e bağlanması için gereken bilgileri içerir. Dosyalar, işletim sisteminde yerel olarak bulunan VPN istemcisini yapılandırır. Bağlanan her istemcinin yapılandırma dosyalarındaki ayarlar kullanılarak yapılandırılması gerekir.

Önkoşullar

Azure aboneliğiniz olduğunu doğrulayın. Henüz Azure aboneliğiniz yoksa MSDN abonelik avantajlarınızı etkinleştirebilir veya ücretsiz bir hesap için kaydolabilirsiniz.

Örnek değerler

Aşağıdaki değerleri kullanarak bir test ortamı oluşturabilir veya bu makaledeki örnekleri daha iyi anlamak için bu değerlere bakabilirsiniz:

Sanal Ağ

  • VNet Adı: VNet1
  • Adres alanı: 10.1.0.0/16
    Bu örnekte yalnızca bir adres alanı kullanılmaktadır. Sanal ağınıza ait birden fazla adres alanı olabilir.
  • Alt ağ adı: Frontend
  • Alt ağ adres aralığı: 10.1.0.0/24
  • Abonelik: Birden fazla aboneliğiniz varsa doğru aboneliği kullandığınızdan emin olun.
  • Kaynak Grubu: TestRG1
  • Konum: Doğu ABD

Sanal ağ geçidi

  • Sanal ağ geçidi adı: VNet1GW
  • Ağ geçidi türü: VPN
  • VPN türü: Rota tabanlı
  • SKU: VpnGw2
  • Oluşturma: 2. Nesil
  • Ağ geçidi alt ağ adres aralığı: 10.1.255.0/27
  • Genel IP adresi adı: VNet1GWpip

Bağlantı türü ve istemci adres havuzu

  • Bağlantı türü: Noktadan siteye
  • İstemci adres havuzu: 172.16.201.0/24
    Sanal ağa bu Noktadan Siteye bağlantıyı kullanarak bağlanan VPN istemcileri, istemci adres havuzdan bir IP adresi alır.

Sanal ağ oluşturma

Bu bölümde, bir sanal ağ oluşturursunuz.

Not

Bir şirket içi mimarinin parçası olarak bir sanal ağ kullanırken, bu sanal ağ için özel olarak kullanabileceğiniz bir IP adresi aralığı almak için şirket içi ağ yöneticinizle birlikte koordine ettiğinizden emin olun. VPN bağlantısının her iki tarafında da yinelenen adres aralığı varsa, trafik beklenmedik bir şekilde yönlendirme yapılır. Ayrıca, bu sanal ağı başka bir sanal ağa bağlamak istiyorsanız, adres alanı diğer sanal ağla çakışamaz. Ağ yapılandırmanızı uygun şekilde planlayın.

  1. Azure Portal’ında oturum açın.

  2. Kaynak, hizmet ve belgeleri ara (G+/) içinde sanal ağ _ yazın.Market sonuçlarından _ Sanal ağ'ı seçerek Sanal ağ sayfasını açın.

    Arama çubuğu sonuçlarını Azure portal Market'te Sanal Ağ'ı seçmeyi gösteren ekran görüntüsü.

  3. Sanal ağ sayfasında Oluştur'a tıklayın. Bu, Sanal ağ oluştur sayfasını açar.

  4. Temel Bilgiler sekmesinde, temel ayrıntılar ve örnek ayrıntıları Project sanal ağ ayarlarını yapılandırabilirsiniz. Girersiniz değerler doğrulandıktan sonra yeşil bir onay işaretiyle karşılanır. Örnekte gösterilen değerler, istediğiniz ayarlara göre ayarlanabilir.

    Temel Bilgiler sekmesini gösteren ekran görüntüsü.

    • Abonelik: Listelenen aboneliğin doğru olduğunu onaylayın. Açılan listeyi kullanarak abonelikleri değiştirebilirsiniz.
    • Kaynak grubu: Var olan bir kaynak grubunu seçin veya yeni bir tane oluşturmak için Yeni oluştur'a tıklayın. Kaynak grupları hakkında daha fazla bilgi için bkz. Azure Resource Manager'a genel bakış.
    • Ad: Sanal ağınızın adını girin.
    • Bölge: VNet'inizin konumunu seçin. Konum, bu VNet'e dağıtan kaynakların nerede yer alamayacaklarını belirler.

  5. IP Adresleri sekmesine ilerlemek için IP Adresleri'ne tıklayın. IP Adresleri sekmesinde ayarları yapılandırabilirsiniz. Örnekte gösterilen değerler, istediğiniz ayarlara göre ayarlanabilir.

    IP Adresleri sekmesini gösteren ekran görüntüsü.

    • IPv4 adres alanı: Varsayılan olarak bir adres alanı otomatik olarak oluşturulur. Kendi değerlerinizi yansıtacak şekilde ayarlamak için adres alanınıza tıklarsınız. Daha fazla adres alanı da ekebilirsiniz.
    • Alt ağ: Varsayılan adres alanı kullanırsanız, otomatik olarak varsayılan bir alt ağ oluşturulur. Adres alanı değiştirirsiniz, bir alt ağ eklemeniz gerekir. Alt ağ ekle penceresini açmak için + Alt ağ ekle'yi seçin. Aşağıdaki ayarları yapılandırarak Ekle'yi seçerek değerleri ekleyin.
      • Alt ağ adı: Bu örnekte alt ağı "FrontEnd" olarak ad kullandık.
      • Alt ağ adres aralığı: Bu alt ağın adres aralığı.

  6. Güvenlik'e tıklar ve Güvenlik sekmesi. Şu anda varsayılan değerleri bırakın.

    • BastionHost: Devre dışı bırak
    • DDoS Koruması Standart: Devre Dışı Bırak
    • Güvenlik Duvarı: Devre dışı bırak

  7. Sanal ağ ayarlarını doğrulamak için Gözden geçir ve oluştur'a tıklayın.

  8. Ayarlar doğrulandıktan sonra, sanal ağı oluşturmak için Oluştur'a tıklayın.

VPN ağ geçidini oluşturma

Bu adımda sanal ağınız için sanal ağ geçidi oluşturacaksınız. Bir ağ geçidinin oluşturulması, seçili ağ geçidi SKU’suna bağlı olarak 45 dakika veya daha uzun sürebilir.

Not

Temel ağ geçidi SKU'su IKEv2 veya RADIUS kimlik doğrulamasını desteklemez. Mac istemcilerinin sanal ağınıza bağlanmalarını planlıyorsanız Temel SKU'ları kullanmayın.

Sanal ağ geçidi, ağ geçidi alt ağı adlı belirli bir alt ağ kullanır. Ağ geçidi alt ağı, sanal ağınızı yapılandırırken belirttiğiniz sanal ağ IP adresi aralığının bir parçasıdır. Sanal ağ geçidi kaynaklarının ve hizmetlerinin kullandığı IP adreslerini içerir.

Ağ geçidi alt ağı oluştururken, alt ağın içerdiği IP adresi sayısını belirtirsiniz. Gerekli IP adresi sayısı, oluşturmak istediğiniz VPN ağ geçidi yapılandırmasına bağlıdır. Bazı yapılandırmalar için diğerlerinden daha fazla IP adresi gerekir. /27 veya /28 kullanan bir ağ geçidi alt ağı oluşturmanızı öneririz.

Adres alanının bir alt ağ ile çakıştığını veya alt ağın sanal ağınız için adres alanında bulunmadığını belirten bir hata görürseniz VNet adres aralığınızı denetleyin. Sanal ağınız için oluşturduğunuz adres aralığında yeterli IP adresi kullanılabilir olmayabilir. Örneğin, varsayılan alt ağınız tüm adres aralığını kapsıyorsa, ek alt ağlar oluşturmak için bir IP adresi kalmamıştır. IP adreslerini serbest bırakmak için mevcut adres alanında alt ağlarınızı ayarlayabilir veya ek bir adres aralığı belirtip orada ağ geçidi alt ağını oluşturabilirsiniz.

  1. Kaynakları, hizmetleri ve belgeleri ara (G+/) içinde sanal ağ geçidi yazın. Arama sonuçlarında Sanal ağ geçidini bulun ve seçin.

    Arama alanı ekran görüntüsü.

  2. Sanal ağ geçitleri sayfasında + Oluştur'a tıklayın. Bu işlem Sanal ağ geçidi oluşturma sayfasını açar.

    Oluştur vurgulanmış sanal ağ geçitleri sayfasının ekran görüntüsü.

  3. Temel Bilgiler sekmesinde, ayrıntılar ve Örnek ayrıntıları Project değerlerini doldurun.

    Örnek alanlarının ekran görüntüsü.

    • Abonelik: Açılan listeden kullanmak istediğiniz aboneliği seçin.
    • Kaynak Grubu: Bu sayfada sanal ağımız seçerek bu ayar otomatik olarak doldurulabilir.
    • Ad: Ağ geçidinizi adlandırın. Ağ geçidinizi adlandırmak, bir ağ geçidi alt ağın adlandırması ile aynı değildir. Bu ad, oluşturduğunuz ağ geçidi nesnesinin adıdır.
    • Bölge: Bu kaynağı oluşturmak istediğiniz bölgeyi seçin. Ağ geçidinin bölgesi sanal ağ ile aynı olmalıdır.
    • Ağ geçidi türü: VPN’i seçin. VPN ağ geçitleri, VPN sanal ağ geçidi türünü kullanır.
    • VPN türü: Yapılandırmanızla ilgili belirtilen VPN türünü seçin. Çoğu yapılandırma, Yol Tabanlı bir VPN türü gerektirir.
    • SKU: Açılan listeden kullanmak istediğiniz ağ geçidi SKU'larını seçin. Açılır listede sıralanan SKU’lar seçtiğiniz VPN türüne bağlıdır. Kullanmak istediğiniz özellikleri destekleyen bir SKU'nun seçili olduğundan emin olun. Ağ geçidi SKU’ları hakkında bilgi için bkz. Ağ geçidi SKU’ları.
    • Oluşturma: Kullanmak istediğiniz nesli seçin. Daha fazla bilgi için bkz. Ağ geçidi SKU'ları.
    • Sanal ağ: Açılan listeden, bu ağ geçidini eklemek istediğiniz sanal ağı seçin.
    • Ağ geçidi alt ağ adres aralığı: Bu alan yalnızca VNet'inizin bir ağ geçidi alt ağı yoksa görünür. /27 veya daha büyük (/26,/25 vb.) belirtmek en iyisidir. Bu, ExpressRoute ağ geçidi ekleme gibi gelecekteki değişiklikler için yeterli IP adresine izin verir. /28'den küçük bir aralık oluşturulması önerilmez. Zaten bir ağ geçidi alt ağınız varsa, sanal ağınıza giderek GatewaySubnet ayrıntılarını görüntüebilirsiniz. Aralığı görüntülemek için Alt ağlar'a tıklayın. Aralığı değiştirmek için GatewaySubnet'i silebilir ve yeniden oluşturabilirsiniz.

  1. Genel IP adresi değerlerini belirtin. Bu ayarlar, VPN ağ geçidiyle ilişkili genel IP adresi nesnesini belirtir. VPN ağ geçidi oluşturulduğunda genel IP adresi bu nesneye dinamik olarak atanır. Genel IP adresi, yalnızca ağ geçidi silinip yeniden oluşturulduğunda değişir. VPN ağ geçidiniz üzerinde gerçekleştirilen yeniden boyutlandırma, sıfırlama veya diğer iç bakım/yükseltme işlemleri sırasında değişmez.

    Genel IP adresi alanının ekran görüntüsü.

    • Genel IP adresi: Yeni oluştur seçili kalsın.
    • Genel IP adresi adı: metin kutusuna, genel IP adresi örneğiniz için bir ad yazın.
    • Atama: VPN Gateway yalnızca dinamik destekler.
    • Etkin-etkin modu etkinleştir: yalnızca etkin-etkin ağ geçidi yapılandırması oluşturuyorsanız etkin-etkin modunu etkinleştir ' i seçin. Aksi takdirde, bu ayarı devre dışı bırakın.
    • Yapılandırmanız özellikle bu ayarı gerektirmediği sürece BGP 'yi devre dışı olarak yapılandırma ' ya bırakın. Bu ayar gerekliyse varsayılan ASN değeri 65515’tir ancak bu değiştirilebilir.

  2. Doğrulamayı çalıştırmak için gözden geçir + oluştur ' u seçin.

  3. Doğrulama başarılı olduktan sonra, VPN ağ geçidini dağıtmak için Oluştur ' u seçin.

Dağıtım durumunu ağ geçidinizin Genel Bakış sayfasında görebilirsiniz. Ağ geçidi oluşturulduktan sonra, portalda sanal ağa bakarak bu ağ geçidine atanmış IP adresini görüntüleyebilirsiniz. Ağ geçidi bağlı bir cihaz gibi görüntülenir.

Önemli

Ağ geçidi alt ağlarıyla çalışırken, ağ güvenlik grubunu (NSG) ağ geçidi alt ağıyla ilişkilendirmekten kaçının. Bir ağ güvenlik grubunun bu alt ağ ile ilişkilendirilmesi, sanal ağ geçidinizin (VPN ve hızlı rota ağ geçitlerinin) beklendiği gibi çalışmayı durdurmasına neden olabilir. Ağ güvenlik grupları hakkında daha fazla bilgi için bkz. ağ güvenlik grubu nedir?.

İstemci sertifikaları oluşturma

Sertifikalar, Noktadan Noktaya VPN bağlantısı üzerinden VNet’e bağlanan istemcilerin kimliğini doğrulamak için Azure tarafından kullanılır. Kök sertifika edindiğinizde, ortak anahtar bilgilerini Azure'a yüklersiniz. Bunun üzerine, kök sertifika P2S üzerinden sanal ağa bağlantı için Azure tarafından 'güvenilir' olarak görülür. Ayrıca, güvenilen kök sertifikadan istemci sertifikaları da oluşturur ve bunları her bir istemci bilgisayara yüklersiniz. İstemci sertifikası, sanal ağ ile bağlantı başlattığında istemcinin kimliğini doğrulamak için kullanılır.

Kök sertifika oluşturma

Kök sertifika için. cer dosyasını alın. Bir kurumsal çözümle oluşturulmuş bir kök sertifika (önerilir) ya da kendinden imzalı bir sertifika oluşturabilirsiniz. Kök sertifikayı oluşturduktan sonra, ortak sertifika verilerini (özel anahtarı değil) Base64 kodlamalı X. 509.952. cer dosyası olarak dışarı aktarın. Bu dosyayı daha sonra Azure 'a yüklersiniz.

  • Kurumsal sertifika: Kurumsal bir çözüm kullanıyorsanız, var olan sertifika zincirinizi kullanabilirsiniz. Kullanmak istediğiniz kök sertifika için. cer dosyasını alın.

  • Otomatik olarak imzalanan kök sertifika: Kurumsal bir sertifika çözümü kullanmıyorsanız, otomatik olarak imzalanan bir kök sertifika oluşturun. Aksi halde, oluşturduğunuz sertifikalar P2S bağlantılarınız ile uyumlu olmayacaktır ve istemciler bağlanmaya çalıştıklarında bir bağlantı hatası alırlar. Azure PowerShell, MakeCert veya OpenSSL kullanabilirsiniz. Aşağıdaki makalelerdeki adımlarda, uyumlu bir otomatik olarak imzalanan kök sertifika oluşturma açıklanır:

    • Windows 10 PowerShell yönergeleri: Bu yönergeler, sertifika oluşturmak için Windows 10 ve PowerShell gerektirir. Kök sertifikadan oluşturulan istemci sertifikaları tüm desteklenen P2S istemcilere yüklenebilir.
    • MakeCert yönergeleri: Sertifikaları oluşturmak için kullanabileceğiniz bir Windows 10 bilgisayarınızın yoksa MakeCert kullanın. MakeCert kullanım dışı olsa da, sertifika oluşturmak için kullanmaya devam edebilirsiniz. Kök sertifikadan oluşturduğunuz istemci sertifikaları, desteklenen herhangi bir P2S istemcisine yüklenebilir.
    • Linux yönergeleri.

İstemci sertifikaları oluşturma

Noktadan siteye bağlantısı olan bir VNet 'e bağlandığınız her istemci bilgisayarda bir istemci sertifikası yüklü olmalıdır. Bunu kök sertifikadan oluşturup her bir istemci bilgisayara yüklersiniz. Geçerli bir istemci sertifikası yüklemezseniz, istemci VNet 'e bağlanmayı denediğinde kimlik doğrulaması başarısız olur.

Her istemci için benzersiz bir sertifika oluşturabileceğiniz gibi, birden çok istemci için aynı sertifikayı da kullanabilirsiniz. Benzersiz istemci sertifikaları oluşturmanın avantajı, tek bir sertifikayı iptal edebiliyor olmanızdır. Aksi halde, birden fazla istemci kimlik doğrulaması için aynı istemci sertifikasını kullanıyorsa ve iptal ederseniz, bu sertifikayı kullanan tüm istemciler için yeni sertifikalar oluşturmanız ve yüklemeniz gerekir.

Aşağıdaki yöntemleri kullanarak istemci sertifikaları oluşturabilirsiniz:

  • Kurumsal sertifika:

    • Kurumsal bir sertifika çözümü kullanıyorsanız, ortak ad değeri biçimi adı @ yourdomain.com olan bir istemci sertifikası oluşturun. Etkialanı \ Kullanıcı adı biçimi yerine bu biçimi kullanın.

    • İstemci sertifikasının, Kullanıcı listesindeki ilk öğe olarak listelenmiş Istemci kimlik doğrulaması olan bir Kullanıcı sertifika şablonunu temel alan bir kullanıcı sertifikası şablonuna dayandığınızdan emin olun. Sertifikayı çift tıklayarak ve Ayrıntılar sekmesinde Gelişmiş anahtar kullanımı ' nı görüntüleyerek denetleyin.

  • Otomatik olarak imzalanan kök sertifika: Oluşturduğunuz istemci sertifikalarının P2S bağlantılarınız ile uyumlu olması için aşağıdaki P2S sertifika makalelerinden birindeki adımları izleyin.

    Otomatik olarak imzalanan kök sertifikadan bir istemci sertifikası oluşturduğunuzda, bu, onu oluşturmak için kullandığınız bilgisayara otomatik olarak yüklenir. İstemci sertifikasını başka bir istemci bilgisayara yüklemek istiyorsanız, tüm sertifika zinciriyle birlikte bir. pfx dosyası olarak dışarı aktarın. Bunun yapılması, istemcinin kimliğini doğrulamak için gereken kök sertifika bilgilerini içeren bir. pfx dosyası oluşturur.

    Bu makalelerdeki adımlar, daha sonra dışa ve dağıtım için uyumlu bir istemci sertifikası oluşturur.

    • Windows 10 PowerShell yönergeleri: Bu yönergeler, sertifika oluşturmak için Windows 10 ve PowerShell gerektirir. Oluşturulan sertifikalar, desteklenen herhangi bir P2S istemcisine yüklenebilir.

    • MakeCert yönergeleri: sertifikaları oluşturmak Için bir Windows 10 bilgisayarına erişiminiz yoksa MakeCert kullanın. MakeCert kullanım dışı olsa da, sertifika oluşturmak için kullanmaya devam edebilirsiniz. Oluşturulan sertifikaları desteklenen herhangi bir P2S istemcisine yükleyebilirsiniz.

    • Linux yönergeleri.

VPN istemcisi adres havuzunu ekleme

İstemci adres havuzu, belirttiğiniz özel IP adresleri aralığıdır. Noktadan Siteye VPN üzerinden bağlanan istemciler dinamik olarak bu aralıktaki bir IP adresini alır. Bağlantı kurduğunuz şirket içi konum veya bağlanmak istediğiniz sanal ağ ile çakışmayan özel bir IP adresi aralığı kullanın. Birden çok protokol yapılandırıyorsanız ve SSTP protokollerden biri ise, yapılandırılan adres havuzu yapılandırılan protokoller arasında eşit olarak bölünüyor.

  1. Sanal ağ geçidi oluşturulduktan sonra sanal ağ geçidi sayfasının Ayarlar bölümüne gidin. Bu Ayarlar Noktadan siteye yapılandırması'nın seçin. Yapılandırma sayfasını açmak için Şimdi yapılandır'ı seçin.

    Noktadan siteye yapılandırma sayfası.

  2. Noktadan siteye yapılandırma sayfasındaki Adres havuzu kutusuna kullanmak istediğiniz özel IP adresi aralığını ekleyin. VPN istemcileri, belirttiğiniz aralıktan dinamik olarak bir IP adresi alır. En düşük alt ağ maskesi etkin/pasif için 29 bit, etkin/etkin yapılandırma için 28 bittir.

  3. Kimlik doğrulaması ve tünel türlerini yapılandırmak için sonraki bölüme devam edin.

Tünel türünü ve kimlik doğrulama türünü belirtme

Bu bölümde, tünel türünü ve kimlik doğrulama türünü belirtirsiniz. Noktadan siteye yapılandırma sayfasında tünel türünü veya kimlik doğrulama türünü görmüyorsanız ağ geçidiniz Temel SKU kullanıyor. Temel SKU, IKEv2 veya RADIUS kimlik doğrulamasını desteklemez. Bu ayarları kullanmak için farklı bir ağ geçidi SKU'su kullanarak ağ geçidini silmeniz ve yeniden oluşturmanız gerekir.

Tünel türü

Noktadan siteye yapılandırma sayfasında, Tunnel seçin. Tünel türünü seçerken, aşağıdakilere dikkat gerekir:

  • Android ve Linux'ta strongSwan istemcisi ve iOS ve macOS'ta yerel IKEv2 VPN istemcisi bağlanmak için yalnızca IKEv2 tünel türünü kullanır.
  • Windows önce IKEv2'yi dener ve bağlanamayacaksa SSTP'ye geri dönerler.
  • OpenVPN tünel türüne bağlanmak için OpenVPN istemcisini kullanabilirsiniz.

Kimlik doğrulaması türü

Kimlik doğrulaması türü için Azure sertifikası'ı seçin.

Azure sertifikasının seçili olduğu kimlik doğrulaması türünün ekran görüntüsü.

Upload sertifika ortak anahtar bilgilerini içerir

Bu bölümde, genel kök sertifika verilerini Azure'a yüklersiniz. Ortak sertifika verileri karşıya yüklendikten sonra Azure, güvenilir kök sertifikadan oluşturulmuş bir istemci sertifikasının yüklü olduğu istemcilerin kimliklerini doğrulamak için bu dosyayı kullanabilir.

  1. Kök sertifika bölümündeki Sanal > ağ geçidi -siteden siteye yapılandırma sayfasına gidin. Bu bölüm yalnızca kimlik doğrulaması türü için Azure sertifikası seçtiyebilirsiniz.

  2. Kök sertifikayı Base-64 ile kodlanmış X.509 () olarak dışarı aktarmış olduğundan emin olun. önceki adımlarda yer alan CER) dosyasını seçin. Sertifikayı metin düzenleyiciyle açabilmek için bu biçimde dışa aktarmanız gerekir. Özel anahtarı dışarı aktarmaya gerek yok.

    Base-64 ile kodlanmış X.509 olarak dışarı aktarmayı gösteren ekran görüntüsü.

  3. Sertifikayı Not Defteri gibi bir metin düzenleyiciyle açın. Sertifika verilerini kopyalarken, metni satır başları ya da satır besleme karakterleri içermeyen tek ve kesintisiz bir satır şeklinde kopyaladığınızdan emin olun. Satır başlarını ve satır besleme karakterlerini görmek için metin düzenleyicisindeki görünümünüzü 'Sembolü Göster/Tüm karakterleri göster' olarak değiştirmeniz gerekebilir. Yalnızca aşağıdaki bölümü kesintisiz bir satır olarak kopyalayın:

    Sertifikalar'daki kök sertifika bilgilerini Not Defteri.

  4. Kök sertifika bölümünde en fazla 20 güvenilen kök sertifika abilirsiniz.

    • Sertifika verilerini Genel sertifika verileri alanına yapıştırın.
    • Sertifikayı olarak ad girin.

    Sertifika veri alanı ekran görüntüsü.

  5. Tüm yapılandırma ayarlarını kaydetmek için sayfanın üst kısmından Kaydet'i seçin.

    Kaydet'in seçili olduğu P2S yapılandırmasının ekran görüntüsü.

Dışarı aktaran istemci sertifikasını yükleme

İstemci sertifikalarını oluşturmak için kullandığınız bilgisayardan farklı bir istemci bilgisayarda bir P2S bağlantı oluşturmak istiyorsanız, bir istemci sertifikası yüklemeniz gerekir. Bir istemci sertifikası yüklenirken, istemci sertifikası dışarı aktarılırken oluşturulan parola gerekir.

İstemci sertifikasının tüm sertifika zinciriyle birlikte .pfx dosyası olarak (varsayılan seçenek) dışarı aktarılmadığından emin olun. Aksi takdirde kök sertifika bilgileri istemci bilgisayarda bulunmaz ve istemci, kimliğini düzgün bir biçimde doğrulayamaz.

Yükleme adımları için bkz. İstemci sertifikası yükleme.

VPN istemcileri için ayarları yapılandırma

P2S kullanarak sanal ağ geçidine bağlanmak için, her bilgisayar işletim sisteminin bir parçası olarak yerel olarak yüklenmiş VPN istemcisini kullanır. Örneğin, bilgisayarınızda VPN ayarlarına Windows, ayrı bir VPN istemcisi yüklemeden VPN bağlantıları eklersiniz. Her VPN istemcisini bir istemci yapılandırma paketi kullanarak yapılandırabilirsiniz. İstemci yapılandırma paketi, oluşturduğunuz VPN ağ geçidine özgü ayarları içerir.

VPN istemcisi yapılandırma dosyalarını oluşturma ve yükleme adımları için bkz. Azure sertifika kimlik doğrulaması P2Syapılandırmaları için VPN istemci yapılandırma dosyaları oluşturma ve yükleme.

Bağlan Azure'a

Windows VPN istemcisinden bağlanmak için

Not

Bağlanmakta olduğunuz Windows istemci bilgisayarında Yönetici haklarına sahip olmanız gerekir.

  1. VNet 'iniz ile bağlantı kurmak için, istemci bilgisayarda VPN ayarları ' na gidin ve oluşturduğunuz VPN bağlantısını bulun. Bu ad, sanal ağınızla aynı adı taşır. Bağlan’ı seçin. Sertifika kullanımına ilişkin bir açılır ileti görüntülenebilir. Yükseltilmiş ayrıcalıkları kullanmak için devam ' ı seçin.

  2. Bağlantı durumu sayfasında , bağlantıyı başlatmak için Bağlan ' ı seçin. Bir Sertifika Seç ekranı çıkarsa, gösterilen istemci sertifikasının bağlanmak için kullanmak istediğiniz sertifika olduğunu doğrulayın. Değilse, doğru sertifikayı seçmek için aşağı açılan oku kullanın ve ardından Tamam' ı seçin.

    Windows bilgisayarından Bağlan

  3. Bağlantınız kurulur.

    Bir bilgisayardan Azure VNet 'e bağlanma-Noktadan siteye bağlantı diyagramı

Bağlanmakta sorun yaşıyorsanız, aşağıdaki öğeleri kontrol edin:

  • Sertifika dışarı aktarma Sihirbazı ile bir istemci sertifikası dışarı aktardıysanız, bunu bir. pfx dosyası olarak dışarı aktardığınızdan ve Mümkünse sertifika yolundaki tüm sertifikaları içerdiğinden emin olun. Bu değerle dışarı aktardığınızda, kök sertifika bilgileri de dışarı aktarılabilir. Sertifikayı istemci bilgisayara yükledikten sonra,. pfx dosyasındaki kök sertifika da yüklenir. Kök sertifikanın yüklendiğini doğrulamak için Kullanıcı sertifikalarını Yönet ' i açın ve Güvenilen kök sertifika yetkilisi sertifikaları' nı seçin. Kimlik doğrulamasının çalışması için mevcut olması gereken kök sertifikanın listelendiğini doğrulayın.

  • Bir kuruluş CA çözümü tarafından verilen bir sertifika kullandıysanız ve kimlik doğrulayamıyorum, istemci sertifikasındaki kimlik doğrulama sırasını doğrulayın. İstemci sertifikasına çift tıklayarak, Ayrıntılar sekmesini seçerek ve ardından Gelişmiş anahtar kullanımı' nı seçerek kimlik doğrulama listesi sırasını kontrol edin. Istemci kimlik doğrulamasının listedeki ilk öğe olduğundan emin olun. Değilse, listedeki ilk öğe olarak Istemci kimlik doğrulamasına sahip Kullanıcı şablonuna dayalı bir istemci sertifikası verin.

  • P2S hakkında ek sorun giderme bilgileri için bkz. P2S bağlantılarının sorunlarını giderme.

Mac VPN istemcisinden bağlanmak için

Ağ iletişim kutusunda, kullanmak istediğiniz istemci profilini bulun,VpnSettings.xmlsayfasından ayarları belirtinve ardından Bağlan. Ayrıntılı yönergeler için bkz. VPN istemcisi yapılandırma dosyaları oluşturma ve yükleme - macOS.

Bağlanma konusunda sorun varsa, sanal ağ geçidinin Temel SKU kullanma olmadığını doğrulayın. Temel SKU, Mac istemcileri için desteklenmiyor.

Bağlan düğmesini gösteren ekran görüntüsü.

Bağlantınızı doğrulamak için

Bu yönergeler, Windows istemcileri için geçerlidir.

  1. VPN bağlantınızın etkin olduğunu doğrulamak için, yükseltilmiş bir komut istemi açın ve ipconfig/all komutunu çalıştırın.

  2. Sonuçlara bakın. Aldığınız IP adresinin, yapılandırmanızda belirttiğiniz Noktadan Siteye VPN İstemcisi Adres Havuzu'ndaki adreslerden biri olduğuna dikkat edin. Sonuçları şu örneğe benzer:

    PPP adapter VNet1:
   Connection-specific DNS Suffix .:
   Description.....................: VNet1
   Physical Address................:
   DHCP Enabled....................: No
   Autoconfiguration Enabled.......: Yes
   IPv4 Address....................: 172.16.201.3(Preferred)
   Subnet Mask.....................: 255.255.255.255
   Default Gateway.................:
   NetBIOS over Tcpip..............: Enabled

Sanal makineye bağlanma

Bu yönergeler, Windows istemcileri için geçerlidir.

Sanal ağınıza dağıtılmış VM’ye, sanal makinenizle bir Uzak Masaüstü Bağlantısı oluşturarak bağlanabilirsiniz. Sanal makinenize bağlanabildiğinizi doğrulamanın en iyi yolu, bilgisayar yerine özel IP adresini kullanarak bağlantı kurmaktır. Bu yolla, ad çözünürlüğünün düzgün şekilde yapılandırılıp yapılandırılmadığını değil, bağlantı kurup kuramadığınızı test edersiniz.

  1. Özel IP adresini bulun. Bir VM’nin özel IP adresini, Azure portalında VM’nin özelliklerine bakarak veya PowerShell kullanarak bulabilirsiniz.

    • Azure portalı - Sanal makinenizi Azure portalında bulun. VM’nin özelliklerini görüntüleyin. Özel IP adresi listelenir.

    • PowerShell - Örneği kullanarak kaynak gruplarınızdaki VM’lerin ve özel IP adreslerinin listesini görüntüleyin. Bu örneği kullanmadan önce değiştirmeniz gerekmez.

      $VMs = Get-AzVM
$Nics = Get-AzNetworkInterface | Where VirtualMachine -ne $null

foreach($Nic in $Nics)
{
$VM = $VMs | Where-Object -Property Id -eq $Nic.VirtualMachine.Id
$Prv = $Nic.IpConfigurations | Select-Object -ExpandProperty PrivateIpAddress
$Alloc = $Nic.IpConfigurations | Select-Object -ExpandProperty PrivateIpAllocationMethod
Write-Output "$($VM.Name): $Prv,$Alloc"
}

  2. Sanal ağınıza Noktadan Siteye VPN bağlantısı kullanarak bağlandığınızı doğrulayın.

  3. Görev çubuğundaki arama kutusuna "RDP" veya "Uzak Masaüstü Bağlantısı" yazıp Uzak Masaüstü Bağlantısı’nı seçerek Uzak Masaüstü Bağlantısı’nı açın. Ayrıca PowerShell'de 'mstsc' komutunu kullanarak Uzak Masaüstü Bağlantısı’nı açabilirsiniz.

  4. Uzak Masaüstü Bağlantısı'nda VM’nin özel IP adresini girin. Diğer ayarları düzenlemek için "Seçenekleri Göster" öğesine tıklayabilir, ardından bağlanabilirsiniz.

Bir bağlantının sorunlarını giderme

VPN bağlantınız üzerinden bir sanal makineye bağlanmakta sorun yaşıyorsanız aşağıdaki kontrolleri yapın:

  • VPN bağlantınızın başarılı olduğunu doğrulayın.

  • VM’nin özel IP adresine bağlandığınızı doğrulayın.

  • Bilgisayar adı yerine özel IP adresini kullanarak VM ile bağlantı kurabiliyorsanız, DNS’i düzgün yapılandırdığınızdan emin olun. VM’ler için ad çözümlemesinin nasıl çalıştığı hakkında daha fazla bilgi için bkz. VM'ler için Ad Çözümlemesi.

  • RDP bağlantıları hakkında daha fazla bilgi için bkz. Bir VM ile Uzak Masaüstü bağlantılarında sorun giderme.

  • Sanal ağ için DNS sunucusu IP adresleri belirtildikten sonra VPN istemci yapılandırma paketinin oluşturulduğunu doğrulayın. DNS sunucusu IP adreslerini güncelleştirdiyseniz, yeni bir VPN istemci yapılandırma paketi oluşturup yükleyin.

  • 'ipconfig' seçeneğini kullanarak bağlantıyı kurduğunuz bilgisayardaki Ethernet bağdaştırıcısına atanmış IPv4 adresini denetleyin. IP adresi bağlanacağınız sanal ağın adres aralığında veya VPNClientAddressPool adres aralığında ise, bu durum çakışan bir adres alanı olarak adlandırılır. Adres alanınız bu şekilde çakıştığında, ağ trafiği Azure’a ulaşmaz ve yerel ağda kalır.

Güvenilen kök sertifika ekleme veya kaldırma

Azure’da güvenilen kök sertifikayı ekleyebilir veya kaldırabilirsiniz. Bir kök sertifikayı kaldırdığınızda, o kökten oluşturulmuş bir sertifikaya sahip istemciler kimlik doğrulaması yapamaz ve bu nedenle bağlantı kuramaz. Bir istemcinin kimlik doğrulaması yapmasını ve bağlanmasını istiyorsanız, Azure’da güvenilen (karşıya yüklenmiş) bir kök sertifikadan oluşturulmuş yeni bir istemci sertifikası yüklemeniz gerekir.

Azure'a en fazla 20 güvenilen kök sertifika .cer dosyası ekleyebilirsiniz. Yönergeler için güvenilen kök sertifika Upload bölümüne bakın.

Güvenilen kök sertifikayı kaldırmak için:

  1. Sanal ağ geçidinizin Noktadan siteye yapılandırma sayfasına gidin.
  2. Sayfanın Kök sertifika bölümünde, kaldırmak istediğiniz sertifikayı bulun.
  3. Sertifikanın yanındaki üç noktayı ve ardından Kaldır'ı seçin.

İstemci sertifikasını iptal etmek için

İstemci sertifikalarını iptal edebilirsiniz. Sertifika iptal listesi sayesinde, ayrı istemci sertifikalarına göre Noktadan Siteye bağlantıyı seçmeli olarak reddedebilirsiniz. Bu, güvenilen kök sertifika kaldırma işleminden farklıdır. Azure’dan güvenilen kök sertifika .cer dosyasını kaldırırsanız iptal edilen kök sertifika tarafından oluşturulan/imzalanan tüm istemci sertifikaları reddedilir. Kök sertifika yerine istemci sertifikasını iptal etmek, kök sertifikadan oluşturulan diğer sertifikaların kimlik doğrulaması amacıyla kullanılmaya devam edilmesine olanak sağlar.

Genellikle ekip ve kuruluş düzeylerinde erişimi yönetmek için kök sertifika kullanılırken ayrı kullanıcılar üzerinde ayrıntılı erişim denetimi için iptal edilen istemci sertifikaları kullanılır.

Parmak izini iptal listesine ekleyerek bir istemci sertifikasını iptal edebilirsiniz.

  1. İstemci sertifikasının parmak izini alın. Daha fazla bilgi için, bkz. How to retrieve the Thumbprint of a Certificate.
  2. Bilgileri bir metin düzenleyicisine kopyalayın ve sürekli bir dize haline getirmek için tüm boşlukları kaldırın.
  3. Sanal ağ geçidi Noktadan siteye yapılandırma sayfasına gidin. Bu, güvenilen kök sertifika yüklemek için kullandığınız sayfanın aynısıdır.
  4. İptal edilen sertifikalar bölümünde, sertifika için bir kolay ad girin (sertifika genel adından farklı olabilir).
  5. Parmak izi dizesini kopyalayın ve Parmak izi alanına yapıştırın.
  6. Parmak izi doğrulanır ve otomatik olarak iptal listesine eklenir. Ekranda listenin güncelleştirildiğini belirten bir ileti görünür.
  7. Güncelleştirme tamamlandıktan sonra sertifika artık bağlanmak için kullanılamaz. Bu sertifikayı kullanarak bağlanmaya çalışan istemciler sertifikanın artık geçerli olmadığını belirten bir ileti alır.

Noktadan Siteye SSS

Sık sorulan sorular için bkz. SSS.

Sonraki adımlar

Bağlantınız tamamlandıktan sonra sanal ağlarınıza sanal makineler ekleyebilirsiniz. Daha fazla bilgi için bkz. Sanal Makineler. Ağ ve sanal makineler hakkında daha fazla bilgi edinmek için, bkz. Azure ve Linux VM ağına genel bakış.

P2S sorun giderme bilgileri için Azure noktadan siteye bağlantıları sorununu giderme.