Поделиться через

Настройте параметры сервера для аутентификации P2S VPN-шлюза с помощью сертификатов.

  • Статья

В этой статье показано, как настроить необходимые параметры сервера vpn-шлюза типа "точка — сеть" (P2S), чтобы обеспечить безопасное подключение с отдельных клиентских компьютеров под управлением Windows, Linux или macOS к виртуальной сети Azure. VPN-подключения P2S полезны, если вы хотите подключиться к виртуальной сети из удаленного расположения, например при телекоммуникации из дома или конференции. Вы также можете использовать P2S вместо VPN типа "сеть — сеть" (S2S), если у вас есть только несколько клиентов, которые должны подключаться к виртуальной сети.

Для подключения P2S не требуется VPN-устройство или общедоступный IP-адрес. Существуют различные варианты конфигурации, доступные для P2S. Дополнительные сведения см. в статье О VPN-подключении типа "точка — сеть".

Схема подключения типа

Действия, описанные в этой статье, используют портал Azure для настройки VPN-шлюза Azure для проверки подлинности сертификата типа "точка — сеть".

Подключения проверки подлинности сертификатов Azure P2S используют следующие элементы:

  • VPN-шлюз на основе маршрутов (не на основе политик). Для получения дополнительной информации о типе VPN см. настройки VPN-шлюза.
  • Открытый ключ (CER-файл) для корневого сертификата, импортированный в Azure. После отправки сертификата он считается доверенным сертификатом и используется для проверки подлинности.
  • Сертификат клиента, созданный на основе корневого сертификата. Сертификат клиента, установленный на каждом клиентском компьютере, который будет подключен к виртуальной сети. Этот сертификат используется для проверки подлинности клиента.
  • Файлы конфигурации VPN-клиента. VPN-клиент настраивается с помощью файлов конфигурации VPN-клиента. Эти файлы содержат информацию, необходимую для подключения клиента к виртуальной сети. Перед подключением каждый клиент нужно настроить, используя параметры в файлах конфигурации.

Предварительные требования

В этой статье предполагается, что вы уже создали VPN-шлюз на основе маршрутов, совместимый с конфигурацией P2S, которую вы хотите создать, метод проверки подлинности, который вы хотите использовать, и подключение VPN-клиентов.

  • Если у вас еще нет VPN-шлюза, см. статью "Создание VPN-шлюза и управление ими", а затем вернитесь на эту страницу, чтобы настроить параметры VPN-шлюза типа "точка — сеть".
  • Чтобы определить необходимую конфигурацию P2S, ознакомьтесь с таблицей VPN-клиента.
  • Если у вас есть VPN-шлюз, использующий SKU "Базовый", учтите, что SKU "Базовый" имеет ограничения на P2S и не поддерживает проверку подлинности IKEv2 или RADIUS. Дополнительные сведения см. в разделе "Сведения о номерах SKU шлюза".

Создание сертификатов

Сертификаты используются Azure для проверки подлинности клиентов, подключающихся к виртуальной сети через VPN-подключение типа "точка — сеть". После получения корневого сертификата необходимо отправить сведения об открытом ключе в Azure. После этого действия корневой сертификат считается "доверенным" в Azure для подключения к виртуальной сети через подключение типа "точка — сеть".

Необходимо также создать сертификат клиента на основе доверенного корневого сертификата, а затем установить их на каждом клиентском компьютере. Сертификат клиента используется для проверки подлинности клиента при запуске подключения к виртуальной сети.

Корневой сертификат необходимо создать и извлечь перед настройкой параметров шлюза типа "точка — сеть".

Создание корневого сертификата

Получите CER-файл для корневого сертификата. Используйте корневой сертификат, созданный с помощью корпоративного решения (рекомендуется) или создайте самозаверяющий сертификат. После создания корневого сертификата экспортируйте данные общедоступного сертификата (не закрытый ключ) в виде файла X.509 в формате .cer с кодировкой Base64. Этот файл будет отправлен позже в Azure.

  • Корпоративный сертификат. Если вы используете корпоративное решение центра сертификации, можно применить существующую цепочку сертификатов. Получите CER-файл для корневого сертификата, который нужно использовать.

  • Самозаверяющий корневой сертификат. Если вы не планируете использовать корпоративное решение для создания сертификатов, создайте самозаверяющий корневой сертификат. В противном случае создаваемые сертификаты не будут совместимы с подключениями P2S, и клиенты получат ошибку подключения при попытке подключиться. Можно использовать Azure PowerShell, MakeCert или OpenSSL. Этапы, описанные в следующих статьях, описывают, как сгенерировать совместимый самозаверяющийся корневой сертификат.

    • Инструкции PowerShell для Windows 10 или более поздней версии. Эти инструкции требуют PowerShell на компьютере под управлением Windows 10 или более поздней версии. Сертификаты клиентов, которые создаются из корневого сертификата, можно установить на любом поддерживаемом клиенте P2S.
    • Инструкции MakeCert: используйте MakeCert для создания сертификатов, если у вас нет доступа к компьютеру под управлением Windows 10 или более поздней версии. Хотя это нерекомендуемое средство, его все же можно использовать для создания сертификатов. Сертификаты клиентов, которые вы создаете из корневого сертификата, можно установить на любом поддерживаемом клиенте P2S.
    • Инструкции по Linux — OpenSSL
    • Linux — инструкции strongSwan

Создание сертификатов клиентов

Каждый клиентский компьютер, подключенный к виртуальной сети с подключением типа "точка — сеть", должен иметь сертификат клиента. Его нужно создать из корневого сертификата и установить на каждый клиентский компьютер. Если вы не установите действительный клиентский сертификат, аутентификация завершится неудачей, когда клиент попытается подключиться к виртуальной сети.

Можно создать уникальный сертификат для каждого клиента или использовать один сертификат для нескольких клиентов. Преимущество уникальных клиентских сертификатов заключается в том, что при необходимости можно отозвать один сертификат. В противном случае, если потребуется отозвать сертификат для проверки подлинности, который используют несколько клиентов, вам придется создать и установить новые сертификаты для всех клиентов, которые используют этот сертификат.

Сертификаты клиентов можно создать, используя следующие методы:

  • Корпоративный сертификат.

    • При использовании корпоративного решения для создания сертификатов создайте сертификат клиента с общим именем в формате [email protected]. Используйте этот формат вместо формата доменное_имя\имя_пользователя.

    • Убедитесь, что сертификат клиента основан на шаблоне сертификата пользователя, в котором первым указан пункт Проверка подлинности клиента. Проверить сертификат можно, дважды щелкнув его и выбрав на вкладке СведенияУлучшенный ключ.

  • Самозаверяющий корневой сертификат. Выполните действия, описанные в следующих статьях о сертификате P2S, чтобы создаваемые сертификаты клиента были совместимы с подключениями P2S.

    Если вы создаете сертификат клиента из самозаверяющего корневого сертификата, он автоматически устанавливается на компьютере, используемом для его создания. Если вы хотите установить сертификат клиента на другом клиентском компьютере, экспортируйте его как PFX-файл вместе со всей цепочкой сертификатов. Для этого создается PFX-файл, содержащий информацию о корневом сертификате, необходимую для аутентификации клиентом.

    Действия, описанные в следующих статьях, помогут создать совместимый сертификат клиента, который можно экспортировать и распространять.

    • Инструкции PowerShell для Windows 10 или более поздней версии. Для создания сертификатов с помощью этих инструкций требуется Windows 10 или более поздней версии и PowerShell. Созданные сертификаты можно установить на любой поддерживаемый клиент P2S.

    • Инструкции для MakeCert. Если у вас нет компьютера с Windows 10 или более поздней версии, создайте сертификаты с помощью MakeCert. Хотя это нерекомендуемое средство, его все же можно использовать для создания сертификатов. Созданные сертификаты можно установить на любом поддерживаемом клиенте P2S.

    • Linux: смотрите инструкции strongSwan или OpenSSL.

Добавление пула адресов VPN-клиента

Пул адресов клиента представляет собой диапазон частных IP-адресов, указанных вами. Клиенты, которые подключаются через VPN «точка-сеть», динамически получают IP-адрес из этого диапазона. Используйте диапазон частных IP-адресов, который не перекрывается с локальным расположением, из которого вы подключаетесь, или виртуальной сетью, к которой требуется подключиться. Если вы настроите несколько протоколов и один из них будет SSTP, то заданный пул адресов поровну разделится между этими протоколами.

  1. Перейдите в портал Azure и откройте ваш VPN-шлюз.
  2. На странице вашего шлюза в левой области выберите Конфигурация подключения точки к сайту.
  3. На странице конфигурации "Точка — сеть " нажмите кнопку "Настроить сейчас".
  4. На странице конфигурации "точка — сеть" вы увидите поле конфигурации пула адресов.
  5. В поле Пул адресов добавьте диапазон частных IP-адресов, который вы хотите использовать. Например, если вы добавите диапазон адресов 172.16.201.0/24, подключения VPN-клиентов получат один из IP-адресов из этого диапазона. Минимальное значение для маски подсети: 29 бит в режиме "активный — пассивный" и 28 бит в режиме "активный — активный".

После добавления диапазона перейдите к следующим разделам, чтобы настроить остальные необходимые параметры.

Указание типа туннеля и проверки подлинности

В этом разделе вы укажете тип туннеля и тип проверки подлинности. Эти параметры могут стать сложными. Вы можете выбрать параметры, содержащие несколько типов туннелей в раскрывающемся списке, например IKEv2 и OpenVPN(SSL) или IKEv2 и SSTP (SSL). Доступны только определенные сочетания типов туннелей и типов проверки подлинности.

Тип туннеля и тип проверки подлинности должны соответствовать программному обеспечению VPN-клиента, которое вы хотите использовать для подключения к Azure. При подключении различных VPN-клиентов из разных операционных систем важно планирование типа туннеля и типа проверки подлинности. В следующей таблице показаны доступные типы туннелей и типы проверки подлинности, связанные с программным обеспечением VPN-клиента.

Таблица VPN-клиента

Метод аутентификации Тип туннеля ОС клиента VPN-клиент
Сертификат
IKEv2, SSTP Windows Собственный VPN-клиент
IKEv2 macOS Собственный VPN-клиент
IKEv2 Linux strongSwan
OpenVPN Windows VPN-клиент Azure
Клиент OpenVPN версии 2.x
Клиент OpenVPN версии 3.x
OpenVPN macOS Клиент OpenVPN
OpenVPN iOS Клиент OpenVPN
OpenVPN Linux VPN-клиент Azure
Клиент OpenVPN
Microsoft Entra ID
OpenVPN Windows VPN-клиент Azure
OpenVPN macOS VPN-клиент Azure
OpenVPN Linux VPN-клиент Azure

Примечание.

Если на странице конфигурации "Точка — сеть" не отображается тип туннеля или тип проверки подлинности, шлюз использует номер SKU "Базовый". SKU «Базовый» не поддерживает проверку подлинности IKEv2 и RADIUS. Если вам нужно использовать эти параметры, удалите и снова создайте шлюз, указав другой SKU шлюза.

  1. В поле "Тип туннеля" выберите тип туннеля, который требуется использовать. В этом упражнении в раскрывающемся списке выберите IKEv2 и OpenVPN(SSL).

  2. Для типа проверки подлинности в раскрывающемся списке выберите сертификат Azure.

    Снимок экрана: страница конфигурации

Добавление другого общедоступного IP-адреса

Если у вас есть шлюз активно-активного режима, необходимо указать третий общедоступный IP-адрес для настройки типа "точка — сеть". В примере мы создадим третий общедоступный IP-адрес с помощью примера значения VNet1GWpip3. Если шлюз не работает в активном режиме, вам не нужно добавлять другой общедоступный IP-адрес.

Снимок экрана: страница конфигурации

Отправка сведений об открытом ключе корневого сертификата

В этом разделе вы узнаете, как отправить данные общедоступного корневого сертификата в Azure. После отправки данных общедоступного сертификата Azure использует его для проверки подлинности подключений клиентов. Клиенты, устанавливающие соединение, имеют установленный клиентский сертификат, созданный на основе доверенного корневого сертификата.

  1. Убедитесь, что на предыдущих шагах экспортировали корневой сертификат в виде CER-файла X.509 в кодировке Base64. Вам нужно экспортировать сертификат в этом формате, чтобы вы могли открыть его в текстовом редакторе. Экспорт закрытого ключа не требуется.

  2. Откройте сертификат в текстовом редакторе, например в блокноте. При копировании данных сертификата убедитесь, что текст копируется в одну непрерывную строку:

    Снимок экрана: данные в сертификате.

  3. Перейдите на страницу конфигурации шлюза виртуальной сети — конфигурация "точка-сайт" в разделе корневой сертификат. Этот раздел отображается, только если выбран тип проверки подлинности Сертификат Azure.

  4. В разделе Корневой сертификат можно добавить до 20 доверенных корневых сертификатов.

    • Вставьте данные сертификата в поле Данные общедоступного сертификата.
    • Присвойте сертификату имя.

    Снимок экрана: поле сведений о сертификате.

  5. Дополнительные маршруты не нужны для этого упражнения. Дополнительные сведения о пользовательской функции маршрутизации см. в разделе "Объявление настраиваемых маршрутов".

  6. В верхней части страницы нажмите кнопку Сохранить, чтобы сохранить все параметры конфигурации. После завершения развертывания параметров конфигурации можно создать и скачать пакет конфигурации VPN-клиента.

Создание файлов конфигурации профиля VPN-клиента

Все необходимые параметры конфигурации для VPN-клиентов содержатся в ZIP-файле конфигурации профиля VPN-клиента. Файлы конфигурации профиля VPN-клиента зависят от конфигурации VPN-шлюза P2S для виртуальной сети. Если после создания файлов есть какие-либо изменения в конфигурации VPN P2S, например изменения типа VPN-протокола или типа проверки подлинности, необходимо создать новые файлы конфигурации профиля VPN-клиента и применить новую конфигурацию ко всем VPN-клиентам, которые требуется подключить. Дополнительные сведения о подключениях P2S см. в статье Сведения о VPN-подключениях типа "точка — сеть".

Файлы конфигурации профиля клиента можно создать с помощью PowerShell или с помощью портал Azure. В следующих примерах показаны оба метода. И в первом, и во втором случае возвращается один и тот же ZIP-файл.

Портал Azure

  1. Перейдите в портал Azure и откройте шлюз виртуальной сети для виртуальной сети, к которой требуется подключиться.

  2. На странице шлюза виртуальной сети выберите элемент Конфигурация "точка — сеть", чтобы открыть страницу этой конфигурации.

  3. В верхней части страницы конфигурации "Точка — сеть" выберите "Скачать VPN-клиент". При этом не скачивается клиентское программное обеспечение для VPN, а создается пакет конфигурации для настройки VPN-клиентов. Пакет конфигурации клиента создается несколько минут. В течение этого времени вы, возможно, не увидите никаких признаков до тех пор, пока пакет не будет сгенерирован.

    Снимок экрана: страница конфигурации

  4. После создания пакета конфигурации браузер указывает, что zip-файл конфигурации клиента доступен. Он получает такое же имя, как у вашего шлюза.

  5. Распакуйте файл. После этого отобразятся папки. Вы будете использовать некоторые или все эти файлы для настройки VPN-клиента. Созданные файлы соответствуют параметрам типа проверки подлинности и туннеля, настроенным на сервере P2S.

Настройка VPN-клиентов и подключение к Azure

Инструкции по настройке VPN-клиентов и подключению к Azure см. в таблице VPN-клиентов в разделе "Указание типа туннеля и проверки подлинности". В таблице содержатся ссылки на статьи, которые содержат подробные инструкции по настройке программного обеспечения VPN-клиента.

Добавление и удаление доверенного корневого сертификата

Вы можете добавлять доверенные корневые сертификаты в Azure, а также удалять их из Azure. При удалении корневого сертификата клиенты, имеющие сертификат, созданный из этого корня, не смогут пройти проверку подлинности, и в результате не удается подключиться. Чтобы клиенты могли проходить аутентификацию и подключаться, необходимо установить новый сертификат клиента, созданный на основе корневого сертификата, который является доверенным для Azure (то есть он передан в Azure).

В Azure можно добавить до 20 CER-файлов доверенных корневых сертификатов. Дополнительные сведения см. в разделе Отправка доверенного корневого сертификата.

Чтобы удалить доверенный корневой сертификат, выполните следующие действия.

  1. Перейдите к странице Конфигурация "точка — сеть" шлюза виртуальной сети.
  2. В разделе страницыRoot certificate (Корневой сертификат) найдите сертификат, который требуется удалить.
  3. Нажмите кнопку с многоточием рядом с сертификатом и выберите Удалить.

Отзыв сертификата клиента

Можно отозвать сертификаты клиента. Список отзыва сертификатов позволяет выборочно запретить подключение P2S на основе отдельных сертификатов клиента. Эта процедура отличается от удаления доверенного корневого сертификата. При удалении доверенного корневого сертификата (CER-файл) из Azure будет запрещен доступ для всех сертификатов клиента, созданных на основе отозванного корневого сертификата или подписанных им. При отмене сертификата клиента, а не корневого сертификата, он позволяет использовать другие сертификаты, созданные из корневого сертификата, для проверки подлинности.

Обычно корневой сертификат используется для управления доступом на уровнях группы или организации, а отозванный сертификат клиента — для точного контроля доступа для отдельных пользователей.

Вы можете отозвать сертификат клиента, добавив отпечаток в список отзыва.

  1. Получите отпечаток сертификата клиента. Дополнительные сведения см. в статье Практическое руководство. Извлечение отпечатка сертификата.
  2. Скопируйте данные в текстовый редактор и удалите все пробелы, чтобы она являлась непрерывной строкой.
  3. Перейдите к странице шлюза виртуальной сети Point-to-site-configuration. Это та же страница, которую вы использовали для отправки доверенного корневого сертификата.
  4. В разделе Отозванные сертификаты введите удобочитаемое имя для сертификата (это не обязательно должно быть общее имя сертификата, CN).
  5. Скопируйте и вставьте строку отпечатка в поле Отпечаток.
  6. Отпечаток подтверждается и автоматически добавляется в список отзыва. На экране появится сообщение о том, что список обновляется.
  7. После применения изменений сертификат больше не будет использоваться для подключения. Клиенты, пытающиеся подключиться с помощью этого сертификата, получат сообщение, что он недействителен.

Часто задаваемые вопросы о подключениях типа "точка — сеть"

Ответы на часто задаваемые вопросы см. в этом разделе.

Следующие шаги

Установив подключение, можно добавить виртуальные машины в виртуальные сети. Дополнительные сведения о виртуальных машинах см. здесь. Дополнительные сведения о сетях и виртуальных машинах см. в статье Azure и Linux: обзор сетей виртуальных машин.

Информацию по устранению неполадок подключения "точка-сеть" в Azure смотрите в разделе Устранение неполадок подключений "точка-сеть" Azure.