設定 P2S VPN 閘道連線的伺服器設定 - 憑證驗證 - Azure 入口網站

本文可協助您設定必要的 VPN 閘道點對站 (P2S) 伺服器設定，讓您安全地將執行 Windows、Linux 或 macOS 的個別用戶端連線到 Azure VNet。 當您想要從遠端位置 (例如當您從住家或會議進行遠距工作) 連線到您的 VNet 時，P2S VPN 連線很實用。 如果您只有少數用戶端必須連線至虛擬網路 (VNet)，您也可以使用 P2S，而不使用站對站 (S2S) VPN。 P2S 連線不需要 VPN 裝置或公眾對應 IP 位址即可運作。

P2S 有各種不同的設定選項可供使用。 如需點對站 VPN 的詳細資訊，請參閱關於點對站 VPN。 本文可協助您建立使用憑證驗證 和 Azure 入口網站的 P2S 設定。 若要使用 Azure PowerShell 建立此設定，請參閱設定 P2S - 憑證 - PowerShell 一文。 針對 RADIUS 驗證，請參閱 P2S RADIUS 一文。 針對 Microsoft Entra 驗證，請參閱 P2S Microsoft Entra ID 一文。

P2S Azure 憑證驗證連線會使用下列項目，您將在此練習中設定：

• RouteBased VPN 閘道。
• 已上傳至 Azure 之根憑證的公開金鑰 (.cer 檔案)。 一旦上傳憑證，憑證就會被視為受信任的憑證並且用於驗證。
• 從根憑證產生的用戶端憑證。 此用戶端憑證須安裝在每部將連線至 VNet 的用戶端電腦上。 此憑證用於用戶端驗證。
• VPN 用戶端設定檔。 VPN 用戶端使用 VPN 用戶端組態檔進行設定。 這些檔案包含用戶端連線至 VNet 所需的資訊。 您必須使用組態檔中的設定來設定每個進行連線的用戶端。

必要條件

驗證您有 Azure 訂用帳戶。 如果您還沒有 Azure 訂用帳戶，則可以啟用 MSDN 訂戶權益或註冊免費帳戶。

範例值

您可以使用下列值來建立測試環境，或參考這些值來進一步了解本文中的範例：

VNet

• VNet 名稱︰VNet1
• 位址空間：10.1.0.0/16
  在此範例中，我們只使用一個位址空間。 您可以針對 VNet 使用一個以上的位址空間。
• 子網路名稱：FrontEnd
• 子網路位址範圍：10.1.0.0/24
• 訂用帳戶：如果您有一個以上的訂用帳戶，請確認您使用正確的訂用帳戶。
• 資源群組︰TestRG1
• 位置：美國東部

虛擬網路閘道

• 虛擬網路閘道名稱：VNet1GW
• 閘道類型：VPN
• VPN 類型：路由式
• SKU：VpnGw2
• 產生：Generation2
• 閘道子網路位址範圍：10.1.255.0/27
• 公用 IP 位址名稱：VNet1GWpip

連線類型和用戶端位址集區

• 連線類型：點對站
• 用戶端位址集區：172.16.201.0/24
  使用這個點對站連線來連線到 VNet 的 VPN 用戶端，會收到來自用戶端位址集區的 IP 位址。

建立 VNet

在本節中，您會建立 VNet。 如需用於此設定的建議值，請參閱範例值一節。

注意

在使用虛擬網路作為用作跨部署結構的一部分時，請務必與內部部署網路系統管理員協調，以切割出此虛擬網路專用的 IP 位址範圍。 如果 VPN 連線的兩端存在重複的位址範圍，流量就會以未預期的方式路由傳送。 此外，如果要將此虛擬網路連線至另一個虛擬網路，則位址空間不能與另一個虛擬網路重疊。 請據此規劃您的網路組態。

1. 登入 Azure 入口網站。

2. 在入口網站頁面頂端的搜尋資源、服務和文件 (G+/)中，輸入虛擬網路。 從 Marketplace 搜尋結果中選取 虛擬網路，以開啟 虛擬網路 頁面。

3. 在虛擬網路頁面上，選取建立以開啟建立虛擬網路頁面。

4. 在基本索引標籤上，設定專案詳細資料和執行個體詳細資料的虛擬網路設定。 輸入的值經過驗證後，即會顯示綠色的核取記號。 您可以依必要設定來調整範例中顯示的值。

   

   • 訂用帳戶：確認列出的訂用帳戶是否正確。 您可以使用下拉式方塊變更訂用帳戶。
   • 資源群組：選取現有的資源群組，或選取新建以建立新的資源群組。 如需有關資源群組的詳細資訊，請參閱 Azure Resource Manager 概觀。
   • 名稱：輸入虛擬網路的名稱。
   • 區域：選取虛擬網路的位置。 這會決定您部署到此虛擬網路的資源存留位置。

5. 選取下一步或安全性以移至安全性索引標籤。在此練習中，請保留此頁面上所有服務的預設值。

6. 選取 IP 位址以移至 IP 位址索引標籤。在 IP 位址索引標籤上完成設定。

   • IPv4 位址空間：根據預設，會自動建立位址空間。 您可以選取位址空間並加以調整，以反映自己的值。 您也可以新增不同的位址空間，並移除自動建立的預設值。 例如，您可以將開始位址指定為 10.1.0.0，並將位址空間大小指定為 /16。 然後選取新增，以新增該位址空間。

   • + 新增子網路：如果您使用預設的位址空間，則系統會自動建立預設子網路。 如果您變更位址空間，請在該位址空間內新增子網路。 選取 [+ 新增子網路] 以開啟 [新增子網路] 視窗。 完成以下設定，然後在頁面底部選取新增以新增值。

     • 子網路名稱：例如 FrontEnd。
     • 子網路位址範圍︰此子網路的位址範圍。 例如 10.1.0.0 和 /24。

7. 檢閱 IP位址 頁面，並移除您不需要的任何位址空間或子網路。

8. 選取 [檢閱 + 建立] 來驗證虛擬網路設定。

9. 驗證設定之後，請選取 [建立] 以建立虛擬網路。

建立 VPN 閘道

此步驟將帶您建立 VNet 的虛擬網路閘道。 建立閘道通常可能需要 45 分鐘或更久，視選取的閘道 SKU 而定。

注意

基本閘道 SKU 不支援 IKEv2 或 RADIUS 驗證。 如果您打算讓 Mac 用戶端連線至您的 VNet，請勿使用基本 SKU。

虛擬網路閘道需要名為 GatewaySubnet 的特定子網路。 閘道子網路是虛擬網路 IP 位址範圍的一部份，包含虛擬網路閘道資源和服務所使用的 IP 位址。

當您建立閘道子網路時，您可指定子網路包含的 IP 位址數目。 所需的 IP 位址數目取決於您想要建立的 VPN 閘道組態。 有些組態需要的 IP 位址比其他組態多。 最好為閘道子網路指定 /27 或更大範圍 (/26、/25 等)。

如果您看到錯誤指出位址空間與子網路重疊，或子網路未包含在虛擬網路的位址空間內，請檢查您的虛擬網路位址範圍。 您為虛擬網路所建立的位址範圍中可能沒有足夠的可用 IP 位址。 例如，如果預設子網路包含整個位址範圍，則沒有剩餘任何 IP 位址可供建立更多子網路。 您可以調整現有位址空間內的子網路以釋出 IP 位址，也可以指定其他位址範圍並於該處建立閘道子網路。

1. 在 [搜尋資源、服務和文件 (G+/)] 中，輸入虛擬網路閘道。 在 Marketplace 搜尋結果中找出虛擬網路閘道並選取，以開啟建立虛擬網路閘道頁面。

   

2. 在 [基本] 索引標籤中，填入 [專案詳細資料] 和 [執行個體詳細資料] 的值。

   

   • 訂用帳戶：從下拉式清單選取您想要使用的訂用帳戶。

   • 資源群組：在此頁面上選取虛擬網路時，系統會自動填入此設定。

   • 名稱：為您的閘道命名。 閘道與閘道子網路的命名方式不同。 這是您要建立之閘道物件的名稱。

   • 區域：選取您要在其中建立此資源的區域。 閘道的區域必須與虛擬網路相同。

   • 閘道類型︰選取 [VPN]。 VPN 閘道使用 VPN 虛擬網路閘道類型。

   • SKU：在下拉清單中，選取可支援所用功能的閘道 SKU。 請參閱閘道 SKU。 在入口網站中，下拉式清單中可用的 SKU 是取決於所選 VPN type。 您只能使用 Azure CLI 或 PowerShell 設定基本 SKU。 您無法在 Azure 入口網站中設定基本 SKU。

   • 世代：選取您要使用的世代。 我們建議使用第 2 代 SKU。 如需詳細資訊，請參閱閘道 SKU。

   • 虛擬網路：在下拉式清單中，選取您要新增此閘道的虛擬網路。 如果未顯示您想要建立閘道的虛擬網路，請確定您在先前設定中選取了正確的訂用帳戶和區域。

   • 閘道子網路位址範圍或子網路：建立 VPN 閘道所需的閘道子網路。

     在此情況中，此欄位有幾種不同的行為，這取決於虛擬網路位址空間，以及您是否已為虛擬網路建立名為 GatewaySubnet 的子網路。

     如果您沒有閘道子網路，並且看不到此頁面上建立閘道子網路的選項，請返回虛擬網路並建立閘道子網路。 然後，返回此頁面並設定 VPN 閘道。

3. 指定 [公用 IP 位址] 的值。 這些設定可指定會與 VPN 閘道建立關聯的公用 IP 位址物件。 建立 VPN 閘道時，系統會將公用 IP 位址指派給此物件。 主要公用 IP 位址只會在刪除或重新建立閘道時變更。 它不會因為重新調整、重設或 VPN 閘道的其他內部維護/升級而變更。

   

   • 公用 IP 位址類型：在此練習中，如果您可以選擇位址類型，請選取 [標準]。
   • 公用 IP 位址：將 [新建] 維持已選取狀態。
   • 公用 IP 位址名稱：在文字輸入框中，輸入公用 IP 位址執行個體的名稱。
   • 公用 IP 位址 SKU：設定將自動選取。
   • 指派：指派通常會自動選取，且可以是 [動態] 或 [靜態]。
   • 啟用主動-主動模式：選取 [已停用]。 只有當您要建立主動-主動閘道設定時，才能啟用此設定。
   • 設定 BGP：選取 [已停用] (除非您的組態特別需要此設定)。 如果您需要此設定，則預設的 ASN 為 65515，不過您可以變更此值。

4. 選取 [檢閱 + 建立] 以執行驗證。

5. 驗證通過後，選取 [建立] 以部署 VPN 閘道。

您可以在閘道的 [概觀] 頁面上看到部署狀態。 建立閘道之後，您可以查看入口網站中的 VNet，來檢視已指派給閘道的 IP 位址。 閘道會顯示為已連接的裝置。

重要

使用閘道子網路時，請避免將網路安全性群組 (NSG) 與閘道子網路產生關聯。 將網路安全性群組與此子網路產生關聯，可能會導致您的虛擬網路閘道 (VPN 與 ExpressRoute 閘道) 無法如預期運作。 如需有關網路安全性群組的詳細資訊，請參閱什麼是網路安全性群組？。

產生憑證

憑證是 Azure 用於驗證透過點對站 VPN 連線來連線至 VNet 的用戶端。 一旦您取得根憑證，您可將公開金鑰資訊上傳至 Azure。 根憑證則會被視為 Azure「信任的」，可供透過 P2S 連線至 VNet。

您也可以從受信任的根憑證產生用戶端憑證，然後將它們安裝在每部用戶端電腦上。 在用戶端初始 VNet 連線時，用戶端憑證用來驗證用戶端。

在後續幾節中建立您的點對站設定之前，必須先產生並擷取根憑證。

產生根憑證

取得根憑證的 .cer 檔案。 您可以使用透過企業解決方案產生的根憑證 (建議)，或產生自我簽署憑證。 建立根憑證之後，將公開憑證資料 (不是私密金鑰) 匯出為 Base64 編碼的 X.509 .cer 檔案。 稍後將此檔案上傳至 Azure。

• 企業憑證：如果您是使用企業解決方案，則可以使用現有的憑證鏈結。 取得您想要使用的根憑證 .cer 檔案。

• 自我簽署根憑證：如果您未使用企業憑證解決方案，請建立自我簽署的根憑證。 否則，您所建立的憑證將無法與 P2S 連線相容，而且用戶端會在嘗試連線時收到連線錯誤訊息。 您可以使用 Azure PowerShell、MakeCert 或 OpenSSL。 下列文章中的步驟將說明如何產生相容的自我簽署根憑證：

  • 針對 Windows 10 或更新版本的 PowerShell 指示：這些指示在執行 Windows 10 或更新版本的電腦上需要 PowerShell。 從根憑證產生的用戶端憑證可以安裝於任何支援的 P2S 用戶端上。
  • MakeCert 指示：如果您無法存取執行 Windows 10 或更新版本的電腦，則可使用 MakeCert 來產生憑證。 雖然 MakeCert 已被取代，但您仍可用它來產生憑證。 從根憑證產生的用戶端憑證可以安裝於任何支援的 P2S 用戶端上。
  • Linux - OpenSSL 指示
  • Linux - strongSwan 指示

產生用戶端憑證

每個使用點對站連線來連線至 VNet 的用戶端電腦都必須安裝用戶端憑證。 您會從根憑證產生用戶端憑證，並將其安裝在每部用戶端電腦上。 如果您沒有安裝有效的用戶端憑證，用戶端嘗試連線至 VNet 時所進行的驗證將會失敗。

您可以為每個用戶端產生唯一的憑證，也可以對多個用戶端使用相同的憑證。 產生唯一用戶端憑證的優點是能夠撤銷單一憑證。 否則，如果多個用戶端使用相同的用戶端憑證進行驗證，而您要撤銷它時，就必須為每個使用該憑證的用戶端產生並安裝新的憑證。

您可以使用下列方法來產生用戶端憑證︰

• 企業憑證︰

  • 如果您使用企業憑證解決方案，請以一般的名稱值格式 name@yourdomain.com 產生用戶端憑證。 請使用此格式，而不是「網域名稱\使用者名稱」的格式。

  • 請確定用戶端憑證所根據的憑證範本，是將「用戶端驗證」列為使用者清單中第一個項目的使用者憑證範本。 按兩下憑證，然後檢視 [詳細資料] 索引標籤中的 [增強金鑰使用方法]，即可檢查憑證。

• 自我簽署根憑證：請遵循下列任一 P2S 憑證文章中的步驟，讓您建立的用戶端憑證可與 P2S 連線相容。

  當您從自我簽署根憑證產生用戶端憑證時，此憑證會自動安裝在您用來產生它的電腦上。 如果您想要在另一部用戶端電腦上安裝用戶端憑證，請將其匯出為 .pfx 檔案 (包含整個憑證鏈結)。 這麼做將會建立一個 .pfx 檔案，其中包含用戶端進行驗證所需的根憑證資訊。

  這些文章中的步驟都會產生相容的用戶端憑證，您可以接著進行匯出並散發。

  • Windows 10 或更新版本 PowerShell 指示：這些指示需要 Windows 10 或更新版本和 PowerShell，以產生憑證。 產生的憑證可以安裝在任何支援的 P2S 用戶端。

  • MakeCert 指示：如果您無法存取 Windows 10 或更新版本電腦來產生憑證，則可以使用 MakeCert。 雖然 MakeCert 已被取代，但您仍可用它來產生憑證。 您可以將產生的憑證安裝在任何支援的 P2S 用戶端。

  • Linux 指示。

新增位址集區

[點對站設定] 頁面包含 P2S VPN 所需的設定資訊。 設定好所有 P2S 設定並更新閘道之後，就會使用 [點對站設定] 頁面來檢視或變更 P2S VPN 設定。

1. 移至您在上一節中建立的閘道。
2. 在左側窗格中，選取 [點對站設定]。
3. 按一下 [立即設定] 以開啟 [組態] 頁面。

用戶端位址集區是您指定的私人 IP 位址範圍。 透過點對站 VPN 連線的用戶端會動態收到這個範圍內的 IP 位址。 使用不會重疊的私人 IP 位址範圍搭配您從其連線的內部部署位置，或搭配您要連線至的 VNet。 如果您設定多個通訊協定，且 SSTP 是其中一個通訊協定，則設定的位址集區會平均地在設定的通訊協定之間進行分割。

1. 在 [點對站設定] 頁面上的 [位址集區] 方塊中，新增您要使用的私人 IP 位址範圍。 VPN 用戶端會動態收到您指定範圍內的 IP 位址。 主動/被動設定的最小子網路遮罩為 29 位元，主動/主動設定的最小子網路遮罩為 28 位元。

2. 接下來，設定通道和驗證類型。

指定通道和驗證類型

注意

在 [點對站設定] 頁面上，如果您沒有看到通道類型或驗證類型，表示您的閘道正在使用基本 SKU。 基本 SKU 不支援 IKEv2 或 RADIUS 驗證。 如果您想要使用這些設定，則必須使用不同的閘道 SKU 來刪除並重新建立閘道。

在本節中，您會指定通道類型和驗證類型。 根據您需要的通道類型以及將用來從使用者作業系統連線的 VPN 用戶端軟體，這些設定可能變得複雜。 本文中的步驟將逐步引導您完成基本組態設定和選擇。

您可以從下拉式清單中選取包含多個通道類型的選項，例如 IKEv2 和 OpenVPN (SSL) 或 IKEv2 和 SSTP (SSL)，不過，僅支援通道類型和驗證類型的特定組合。 例如，只有在您從通道類型下拉式清單中選取 OpenVPN (SSL)，而不是 IKEv2 和 OpenVPN (SSL) 時，才能使用 Microsoft Entra 驗證。

此外，您選擇的通道類型和驗證類型會影響可用來連線到 Azure 的 VPN 用戶端軟體。 某些 VPN 用戶端軟體只能透過 IKEv2 連線，其他則只能透過 OpenVPN 連線。 而某些用戶端軟體雖然支援特定通道類型，但可能不支援您選擇的驗證類型。

如您所知，當您有各種不同的 VPN 用戶端從不同的作業系統連線時，規劃通道類型和驗證類型非常重要。 當您選擇通道類型以結合 Azure 憑證驗證時，請考量下列準則。 其他驗證類型有不同的考量。

• Windows：

  • 透過作業系統中已安裝的原生 VPN 用戶端連線的 Windows 電腦會先嘗試 IKEv2，如果未連線，則會退回到 SSTP (如果您從通道類型下拉式清單選取了 IKEv2 和 SSTP)。
  • 如果您選取 OpenVPN 通道類型，您可以使用 OpenVPN 用戶端或 Azure VPN Client 進行連線。
  • Azure VPN Client 可以支援其他選用組態設定，例如自訂路由和強制通道。

• macOS 和 iOS：

  • iOS 和 macOS 的原生 VPN 用戶端只能使用 IKEv2 通道類型來連線到 Azure。
  • 目前不支援使用 Azure VPN Client 進行憑證驗證，即使您選取 OpenVPN 通道類型亦然。
  • 如果您想要搭配憑證驗證使用 OpenVPN 通道類型，您可以使用 OpenVPN 用戶端。
  • 針對 macOS，您可以使用 Azure VPN Client 搭配 OpenVPN 通道類型和 Microsoft Entra 驗證 (而非憑證驗證)。

• Android 和 Linux：

  • Android 和 Linux 上的 strongSwan 用戶端只能使用 IKEv2 通道類型連線。 如果您想要使用 OpenVPN 通道類型，請使用不同的 VPN 用戶端。

通道類型

在 [點對站設定] 頁面上，選取 [通道類型]。 針對此練習，從下拉式清單中選取 [IKEv2 和 OpenVPN (SSL)]。

驗證類型

針對此練習，對驗證類型選取 [Azure 憑證]。 如果您對其他驗證類型感興趣，請參閱 Microsoft Entra ID 和 RADIUS 的文章。

上傳根憑證公開金鑰資訊

在本節中，您會將公用根憑證資料上傳至 Azure。 一旦上傳公開憑證資料，Azure 就可以使用它來驗證已安裝從受信任根憑證產生之用戶端憑證的用戶端。

1. 請確定您在先前的步驟中，已將根憑證匯出為 Base-64 編碼的 X.509 (.CER) 檔案。 您需要以這種格式匯出憑證，以便可以使用文字編輯器開啟憑證。 您不需要匯出私密金鑰。

2. 使用文字編輯器 (例如「記事本」) 開啟憑證。 複製憑證資料時，請確定您是以連續一行的形式複製文字，而不含歸位字元或換行字元。 您可能必須將文字編輯器中的檢視修改成 [顯示符號] 或 [顯示所有字元]，才能看到歸位字元和換行字元。 請只以連續一行的形式複製下列區段：

   

3. 在 [根憑證] 區段中，瀏覽至您的 [虛擬網路閘道] -> [點對站設定] 頁面。 只有當您選取驗證類型為 [Azure 憑證] 時，才會顯示此區段。

4. 在 [根憑證] 區段中，您最多可以新增 20 個受信任的根憑證。

   • 將憑證資料貼到 [公開憑證資料] 欄位中。
   • 命名憑證。

   

5. 此練習不需要其他路由。 如需自訂路由功能的詳細資訊，請參閱公告自訂路由。

6. 選取頁面頂端的 [儲存]，儲存所有的組態設定。

   

安裝匯出的用戶端憑證

每個想要連線的 VPN 用戶端都必須有用戶端憑證。 當您產生用戶端憑證時，所使用的電腦通常會為您自動安裝用戶端憑證。 如果您想要從另一部電腦建立 P2S 連線，您必須在想要連線的電腦上安裝用戶端憑證。 安裝用戶端憑證時，您需要匯出用戶端憑證時所建立的密碼。

請確定用戶端憑證已隨著整個憑證鏈結匯出為 .pfx (這是預設值)。 否則，根憑證資訊不存在於用戶端電腦上，而且用戶端將無法正確驗證。

如需安裝步驟，請參閱安裝用戶端憑證。

設定 VPN 用戶端並連線到 Azure

每個 VPN 用戶端都是使用您產生和下載的 VPN 用戶端設定檔設定套件中的檔案設定。 設定套件包含您所建立 VPN 閘道專用的設定。 如果您變更閘道，例如變更通道型別、憑證或驗證型別，您必須產生另一個 VPN 用戶端設定檔組態套件，並在每個用戶端上安裝。 否則，您的 VPN 用戶端可能無法連線。

如需產生 VPN 用戶端設定檔設定套件、設定您的 VPN 用戶端和連線至 Azure 的步驟，請參閱下列文章：

• Windows
• macOS-iOS
• Linux

驗證您的連線

這些指示適用於 Windows 用戶端。

1. 若要驗證您的 VPN 連線為作用中狀態，請開啟提升權限的命令提示字元，並執行 ipconfig/all。

2. 檢視結果。 請注意，您接收到的 IP 位址是您在組態中指定的點對站 VPN 用戶端位址集區中的其中一個位址。 結果類似於此範例：

   PPP adapter VNet1:
      Connection-specific DNS Suffix .:
      Description.....................: VNet1
      Physical Address................:
      DHCP Enabled....................: No
      Autoconfiguration Enabled.......: Yes
      IPv4 Address....................: 172.16.201.3(Preferred)
      Subnet Mask.....................: 255.255.255.255
      Default Gateway.................:
      NetBIOS over Tcpip..............: Enabled
   

連線至虛擬機器

這些指示適用於 Windows 用戶端。

您可以建立 VM 的遠端桌面連線，以連線至已部署至虛擬網路的 VM。 一開始確認您可以連線至 VM 的最佳方法是使用其私人 IP 位址 (而不是電腦名稱) 進行連線。 這樣一來，您會測試以查看您是否可以連線，而不是否已正確設定名稱解析。

1. 找出私人 IP 位址。 在 Azure 入口網站中或使用 PowerShell 查看 VM 的屬性，即可找到 VM 的私人 IP 位址。

   • Azure 入口網站：在 Azure 入口網站中尋找您的 VM。 檢視 VM 的屬性。 系統會列出私人 IP 位址。

   • PowerShell：使用範例來檢視資源群組中的 VM 和私人 IP 位址清單。 使用此範例前，您不需要加以修改。

     $VMs = Get-AzVM
     $Nics = Get-AzNetworkInterface | Where-Object VirtualMachine -ne $null
     
     foreach ($Nic in $Nics) {
     $VM = $VMs | Where-Object -Property Id -eq $Nic.VirtualMachine.Id
     $Prv = $Nic.IpConfigurations | Select-Object -ExpandProperty PrivateIpAddress
     $Alloc = $Nic.IpConfigurations | Select-Object -ExpandProperty PrivateIpAllocationMethod
     Write-Output "$($VM.Name): $Prv,$Alloc"
     }
     

2. 確認您已連線至虛擬網路。

3. 在工作列上的搜尋方塊中輸入 [RDP] 或 [遠端桌面連線] 以開啟 [遠端桌面連線]。 然後選取 [遠端桌面連線]。 您也可以在 PowerShell 中使用 mstsc 命令，開啟 [遠端桌面連線]。

4. 在 [遠端桌面連線] 中，輸入 VM 的私人 IP 位址。 您可以選取 [顯示選項]，調整其他設定，然後進行連線。

如果您無法透過 VPN 連線與 VM 連線，請檢查下列幾點：

• 確認您的 VPN 連線成功。
• 確認您正連線至 VM 的私人 IP 位址。
• 如果您可以使用私人 IP 位址 (而非電腦名稱) 來連線至 VM，請確認您已正確設定 DNS。 如需 VM 的名稱解析運作方式的詳細資訊，請參閱 VM 的名稱解析。

如需 RDP 連線的詳細資訊，請參閱對 VM 的遠端桌面連線進行疑難排解。

• 確認 VPN 用戶端設定套件是在為 VNet 指定 DNS 伺服器 IP 位址之後產生的。 如果您更新了 DNS 伺服器 IP 位址，請產生並安裝新的 VPN 用戶端設定套件。

• 使用 'ipconfig' 來檢查指派給所連線電腦上乙太網路介面卡的 IPv4 位址。 如果 IP 位址位在您要連線的 VNet 位址範圍內，或在您 VPNClientAddressPool 的位址範圍內，這稱為重疊位址空間。 當您的位址空間以這種方式重疊時，網路流量不會連線到 Azure，它會保留在本機網路上。

新增或移除受信任的根憑證

您可以從 Azure 新增和移除受信任的根憑證。 當您移除根憑證時，從該根憑證產生憑證的用戶端將無法進行驗證，因而無法進行連線。 若希望用戶端進行驗證和連線，您需要安裝從 Azure 信任 (已上傳至 Azure) 的根憑證產生的新用戶端憑證。

您最多可新增 20 個受信任的根憑證 .cer 檔案至 Azure。 如需指示，請參閱上傳受信任的根憑證一節。

若要移除受信任的根憑證：

1. 瀏覽至虛擬網路閘道的 [點對站設定] 頁面。
2. 在頁面的 [根憑證] 區段中，找出您想要移除的憑證。
3. 選取憑證旁的省略符號，然後選取 [移除]。

若要撤銷用戶端憑證

您可以撤銷用戶端憑證。 憑證撤銷清單可讓您根據個別用戶端憑證選擇性地拒絕 P2S 連線能力。 這與移除受信任的根憑證不同。 若您從 Azure 移除受信任的根憑證 .cer，就會撤銷所有由撤銷的根憑證所產生/簽署的用戶端憑證之存取權。 撤銷用戶端憑證，而不是根憑證，可以繼續使用從根憑證產生的憑證進行驗證。

常見的做法是使用根憑證管理小組或組織層級的存取權，然後使用撤銷的用戶端憑證針對個別使用者進行細部的存取控制。

您可以藉由將指紋新增至撤銷清單來撤銷用戶端憑證。

1. 擷取用戶端憑證指紋。 如需詳細資訊，請參閱做法：擷取憑證的指紋。
2. 將資訊複製到文字編輯器，並移除所有的空格，使其為連續字串。
3. 瀏覽至虛擬網路閘道 [點對站組態] 頁面。 這個頁面與您用來上傳受信任根憑證的頁面相同。
4. 在 [撤銷憑證] 區段中，輸入憑證的易記名稱 (它不一定是憑證 CN)。
5. 將指紋字串複製並貼到 [指紋] 欄位。
6. 指紋會在驗證後自動新增至撤銷清單。 畫面上會出現一則訊息，指出清單正在更新。
7. 更新完成後，憑證就無法再用來進行連線。 嘗試使用此憑證進行連線的用戶端會收到一則訊息，指出憑證已不再有效。

點對站常見問題集

如需常見問題，請參閱我們的常見問題集。

下一步

一旦完成您的連接，就可以將虛擬機器新增至您的 VNet。 如需詳細資訊，請參閱虛擬機器。 若要了解網路與虛擬機器的詳細資訊，請參閱 Azure 與 Linux VM 網路概觀。

如需有關為 P2S 疑難排解的資訊，請參閱針對 Azure 點對站連線進行疑難排解。