Partage via


Configurer une connexion point à site à l'aide d'une authentification par certificat (classique)

Cet article vous explique comment créer un réseau virtuel avec une connexion point à site dans le modèle de déploiement classique (hérité). Cette configuration utilise des certificats pour authentifier le client qui se connecte, qu’ils soient auto-signés ou délivrés par une autorité de certification. Ces instructions concernent le modèle de déploiement classique. Vous ne pouvez plus créer de passerelle à l’aide du modèle de déploiement classique. Consultez plutôt la version Resource Manager de cet article.

Important

Vous ne pouvez plus créer de passerelles de réseau virtuel pour les réseaux virtuels classiques de modèle de déploiement (management des services). Les nouvelles passerelles de réseau virtuel peuvent être créées uniquement pour des réseaux virtuels Resource Manager.

Vous utilisez une passerelle VPN point à site (P2S) pour créer une connexion sécurisée à votre réseau virtuel à partir d'un ordinateur client individuel. Les connexions VPN point à site vous permettent de vous connecter à votre réseau virtuel à partir d'un emplacement distant. Lorsqu'un nombre restreint de clients doit se connecter à un réseau virtuel, l'utilisation d'un VPN P2S est une solution utile qui constitue une alternative au VPN site à site. Une connexion VPN P2S est établie en étant démarrée à partir de l’ordinateur du client.

Important

Le modèle de déploiement classique prend en charge les clients VPN Windows uniquement et utilise le protocole de tunneling Secure Socket (SSTP), un protocole VPN basé sur SSL. Pour prendre en charge des clients VPN non Windows, vous devez créer votre réseau virtuel à l'aide du modèle de déploiement Resource Manager. Le modèle de déploiement Azure Resource Manager prend en charge les VPN IKEv2, en plus de SSTP. Pour plus d'informations, consultez À propos des connexions P2S.

Schéma montrant une architecture point à site classique.

Notes

Cet article traite du modèle de déploiement classique (hérité). Nous vous recommandons d’utiliser le dernier modèle de déploiement Azure à la place. Le modèle de déploiement Resource Manager est le modèle de déploiement le plus récent, qui propose davantage d’options et de fonctions compatibles que le modèle de déploiement classique. Pour comprendre la différence entre ces deux modèles de déploiement, consultez Compréhension des modèles de déploiement et de l’état de vos ressources.

Si vous souhaitez utiliser une autre version de cet article, utilisez la table des matières dans le volet gauche.

Paramètres et prérequis

Configuration requise

Les éléments suivants sont nécessaires pour les connexions avec authentification par certificat point à site. Cet article contient des procédures qui vous aideront à les créer.

  • Une passerelle VPN dynamique.
  • La clé publique (fichier .cer) d’un certificat racine, chargée sur Azure. Cette clé est considérée comme un certificat approuvé et est utilisée pour l'authentification.
  • Un certificat client généré à partir du certificat racine et installé sur chaque ordinateur client qui se connecte. Ce certificat est utilisé pour l’authentification du client.
  • Un package de configuration du client VPN doit être généré et installé sur chaque ordinateur client qui se connecte. Le package de configuration du client configure le client VPN natif qui se trouve déjà sur le système d'exploitation en lui fournissant les informations nécessaires à la connexion au réseau virtuel.

Les connexions point à site ne nécessitent pas de périphérique VPN ou d'adresse IP publique locale. La connexion VPN est créée sur le protocole SSTP (Secure Socket Tunneling Protocol). Côté serveur, nous prenons en charge SSTP, versions 1.0, 1.1 et 1.2. Le client détermine la version à utiliser. Pour Windows 8.1 et supérieur, SSTP utilise la version 1.2 par défaut.

Pour plus d’informations, consultez À propos des connexions point à site et la FAQ.

Exemples de paramètres

Utilisez les valeurs suivantes pour créer un environnement de test, ou reportez-vous à celles-ci pour mieux comprendre les exemples fournis dans cet article :

  • Groupe de ressources : TestRG
  • Nom du réseau virtuel : VNet1
  • Espace d’adressage : 192.168.0.0/16
    Pour cet exemple, nous n’utilisons qu’un seul espace d’adressage. Vous pouvez avoir plusieurs espaces d’adressage pour votre réseau virtuel.
  • Nom du sous-réseau : FrontEnd
  • Plage d’adresses de sous-réseau : 192.168.1.0/24
  • Sous-réseau de passerelle : 192.168.200.0/24
  • Région : (États-Unis) USA Est
  • Espace d’adressage du client : 172.16.201.0/24
    Les clients VPN qui se connectent au réseau virtuel à l'aide de cette connexion point à site reçoivent une adresse IP de ce pool.
  • Type de connexion : sélectionnez Point à site.

Avant de commencer, vérifiez que vous disposez d'un abonnement Azure. Si vous ne disposez pas déjà d’un abonnement Azure, vous pouvez activer vos avantages abonnés MSDN ou créer un compte gratuit.

Créez un réseau virtuel

Si vous disposez déjà d’un réseau virtuel, vérifiez que les paramètres sont compatibles avec la conception de votre passerelle VPN, Accordez une attention particulière aux sous-réseaux qui pourraient chevaucher d’autres réseaux.

  1. Dans un navigateur, accédez au portail Azure et, si nécessaire, connectez-vous avec votre compte Azure.
  2. Sélectionnez +Créer une ressource. Dans le champ Rechercher dans le marketplace, tapez « réseau virtuel ». Localisez Réseau virtuel dans la liste renvoyée et cliquez dessus pour ouvrir la page Réseau virtuel.
  3. Dans la page Réseau virtuel, sous le bouton Créer, vous voyez « Déployer avec Resource Manager (passer à Classic) ». Resource Manager est la valeur par défaut pour la création d’un réseau virtuel. Vous ne voulez pas créer de réseau virtuel Resource Manager. Sélectionnez (passer à Classic) pour créer un réseau virtuel classique. Ensuite, sélectionnez l’onglet Vue d’ensemble et sélectionnez Créer.
  4. Dans la page Créer un réseau virtuel (classique) , sous l’onglet Basique, configurez les paramètres du réseau virtuel avec les exemples de valeurs.
  5. Sélectionnez Vérifier + créer pour valider votre réseau virtuel.
  6. La validation s’exécute. Une fois le réseau virtuel validé, sélectionnez Créer.

Les paramètres DNS ne constituent pas une partie obligatoire de cette configuration, mais le DNS est nécessaire si vous souhaitez la résolution de noms entre vos machines virtuelles. La définition d’une valeur n’entraîne pas la création de serveur DNS. L’adresse IP du serveur DNS que vous spécifiez doit pouvoir résoudre les noms des ressources auxquelles vous vous connectez.

Après avoir créé votre réseau virtuel, vous pouvez ajouter l’adresse IP d’un serveur DNS pour gérer la résolution de noms. Ouvrez les paramètres de votre réseau virtuel, sélectionnez Serveurs DNS et ajoutez l’adresse IP du serveur DNS que vous souhaitez utiliser pour la résolution de noms.

  1. Recherchez le réseau virtuel dans le portail.
  2. Sur la page de votre réseau virtuel, dans la section Paramètres, sélectionnez Serveurs DNS.
  3. Ajoutez un serveur DNS.
  4. Pour enregistrer vos paramètres, sélectionnez Enregistrer en haut de la page.

Créer une passerelle VPN

  1. Accédez au réseau virtuel créé.

  2. Sur la page du réseau virtuel, sélectionnez Passerelle sous Paramètres. Sur la page Passerelle figure la passerelle de votre réseau virtuel. Ce réseau virtuel ne dispose pas encore de passerelle. Cliquez sur la note indiquant Cliquez ici pour ajouter une connexion et une passerelle.

  3. Sur la page Configurer une connexion VPN et une passerelle, sélectionnez les paramètres suivants :

    • Type de connexion : point à site
    • Espace d’adressage du client : ajoutez la plage d’adresses IP à partir de laquelle les clients VPN reçoivent une adresse IP lorsqu’ils se connectent. Utilisez une plage d'adresses IP privées qui ne chevauche ni l'emplacement local à partir duquel vous vous connectez ni le réseau virtuel auquel vous vous connectez.
  4. Laissez la case Ne pas configurer de passerelle pour l’instant décochée. Nous allons créer une passerelle.

  5. En bas de la page, sélectionnez Suivant : Passerelle >.

  6. Sur l’onglet Passerelle, sélectionnez les valeurs suivantes :

    • Taille : La taille correspond à la référence SKU de votre passerelle de réseau virtuel. Sur le portail Azure, la référence SKU par défaut est Par défaut. Pour plus d'informations sur les références SKU de passerelle, consultez À propos des paramètres de la passerelle VPN.
    • Type de routage : vous devez sélectionner Dynamique pour une configuration de point à site. Le routage statique ne fonctionne pas.
    • Sous-réseau de passerelle : ce champ est déjà rempli automatiquement. Vous ne pouvez pas changer le nom. Si vous tentez de le faire à l’aide de PowerShell ou autre, la passerelle ne fonctionnera pas correctement.
    • Plage d’adresses (bloc CIDR) : bien qu’il soit possible de créer un sous-réseau de passerelle aussi petit que /29, nous vous recommandons de créer un sous-réseau plus vaste qui inclut un plus grand nombre d’adresses en sélectionnant au moins /28 ou /27. Vous disposerez ainsi d’un nombre suffisant d’adresses pour répondre à d’éventuelles configurations supplémentaires que vous pourriez souhaiter à l’avenir. Lorsque vous travaillez avec des sous-réseaux de passerelle, évitez d’associer un groupe de sécurité réseau (NSG) au sous-réseau de passerelle. L’association d’un groupe de sécurité réseau à ce sous-réseau peut empêcher la passerelle VPN de fonctionner correctement.
  7. Sélectionnez Vérifier + créer pour valider vos paramètres.

  8. Une fois la validation réussie, sélectionnez Créer. L'achèvement d'une passerelle VPN peut prendre jusqu'à 45 minutes en fonction de la référence SKU de passerelle que vous sélectionnez.

Créer des certificats

Azure utilise des certificats afin d'authentifier les clients VPN pour les VPN point à site. Vous chargez les informations de la clé publique du certificat racine vers Azure. La clé publique est alors considérée comme approuvée. Les certificats clients doivent être générés à partir du certificat racine approuvé, puis installés sur chaque ordinateur client dans le magasin de certificats Certificates-Current User\Personal\Certificates. Le certificat permet d'authentifier le client lorsqu'il se connecte au réseau virtuel.

Si vous utilisez des certificats auto-signés, ceux-ci doivent être créés à l'aide de paramètres spécifiques. Vous pouvez créer un certificat auto-signé en suivant les instructions relatives à PowerShell et Windows 10 ou supérieur ou MakeCert. Il est important de suivre les étapes décrites dans ces instructions lorsque vous utilisez des certificats racines auto-signés et que vous générez des certificats clients à partir du certificat racine auto-signé. Dans le cas contraire, les certificats que vous créez ne seront pas compatibles avec les connexions P2S, ce qui entraînera une erreur de connexion.

Acquérir la clé publique (.cer) pour le certificat racine

Obtenez le fichier .cer pour le certificat racine. Vous pouvez utiliser un certificat racine qui a été généré à l’aide d’une solution d’entreprise (recommandé), ou générer un certificat auto-signé. Après avoir créé le certificat racine, exportez les données de certificat public (et non la clé privée) en tant que fichier .cer X.509 encodé en Base64. Vous téléchargez ce fichier plus tard dans Azure.

  • Certificat d’entreprise : Si vous utilisez une solution d’entreprise, vous pouvez utiliser votre chaîne d’approbation existante. Obtenez le fichier .cer pour le certificat racine que vous souhaitez utiliser.

  • Certificat racine auto-signé : Si vous n’utilisez pas de solution de certificat d’entreprise, créez un certificat racine auto-signé. Sinon, les certificats que vous créez ne seront pas compatibles avec vos connexions P2S et les clients recevront une erreur de connexion lorsqu'ils tenteront de se connecter. Vous pouvez utiliser Azure PowerShell, MakeCert ou OpenSSL. Les procédures décrites dans les articles suivants expliquent comment générer un certificat racine auto-signé compatible :

    • Instructions PowerShell pour Windows 10 ou version ultérieure : ces instructions nécessitent PowerShell sur un ordinateur exécutant Windows 10 ou version ultérieure. Les certificats clients qui sont générés à partir du certificat racine peuvent être installés sur n’importe quel client P2S pris en charge.
    • Instructions MakeCert : utilisez MakeCert pour générer des certificats si vous n'avez pas accès à un ordinateur exécutant Windows 10 ou une version ultérieure. Même si MakeCert est déconseillé, vous pouvez toujours l’utiliser pour générer des certificats. Les certificats clients que vous générez à partir du certificat racine peuvent être installés sur n’importe quel client P2S pris en charge.
    • Linux – Instructions OpenSSL
    • Linux – Instructions strongSwan

Générer un certificat client

Chaque ordinateur client que vous connectez à un réseau virtuel avec une connexion point à site doit avoir un certificat client installé. Ce certificat doit être généré à partir du certificat racine, puis installé sur chaque ordinateur client. Si vous n’installez pas de certificat client valide, l’authentification échoue lorsque le client essaie de se connecter au réseau virtuel.

Vous pouvez soit générer un certificat unique pour chaque client, soir utiliser le même certificat pour plusieurs clients. Le fait de générer des certificats clients uniques vous offre la possibilité de révoquer un seul certificat. Dans le cas contraire, si plusieurs clients utilisent le même certificat client pour s’authentifier et que vous révoquez ce dernier, vous devrez générer et installer de nouveaux certificats pour chaque client qui utilise ce certificat.

Vous pouvez générer des certificats clients à l’aide des méthodes suivantes :

  • Certificat d’entreprise :

    • Si vous utilisez une solution de certificat d’entreprise, générez un certificat client avec le format de valeur de nom commun name@yourdomain.com. Utilisez ce format au lieu du format domain name\username.

    • Assurez-vous que le certificat client repose sur un modèle de certificat utilisateur qui indique Authentification client comme premier élément dans la liste d’utilisateurs. Vérifiez le certificat en double-cliquant dessus et en affichant Utilisation avancée de la clé dans l’onglet Détails.

  • Certificat racine auto-signé : Suivez la procédure décrite dans l’un des articles concernant les certificats P2S ci-dessous pour créer des certificats clients compatibles avec vos connexions P2S.

    Lorsque vous générez un certificat client à partir d’un certificat racine auto-signé, ce certificat est automatiquement installé sur l’ordinateur que vous avez utilisé pour le générer. Si vous souhaitez installer un certificat client sur un autre ordinateur client, exportez-le en tant que fichier .pfx, avec l’intégralité de la chaîne du certificat. Cette opération crée un fichier .pfx contenant les informations de certificat racine requises pour l’authentification du client.

    Les procédures décrites dans ces articles permettent de générer un certificat client compatible, que vous pouvez ensuite exporter et distribuer.

    • Instructions pour PowerShell sur Windows 10 ou version ultérieure : ces instructions requièrent Windows 10 ou une version ultérieure, et PowerShell pour générer des certificats. Les certificats qui sont générés peuvent être installés sur n’importe quel client P2S pris en charge.

    • Instructions pour MakeCert : si vous n’avez pas accès à un ordinateur Windows 10 ou version ultérieure, utilisez MakeCert pour générer des certificats. Même si MakeCert est déconseillé, vous pouvez toujours l’utiliser pour générer des certificats. Vous pouvez installer les certificats générés sur n’importe quel client P2S pris en charge.

    • Linux : consultez les instructions strongSwan ou OpenSSL.

Charger le fichier .cer de certificat racine

Une fois la passerelle créée, chargez le fichier .cer (qui contient les informations de clé publique) d'un certificat racine approuvé sur le serveur Azure. Ne chargez pas la clé privée du certificat racine. Une fois le certificat chargé, Azure l'utilise pour authentifier les clients qui ont installé un certificat client généré à partir du certificat racine approuvé. Si nécessaire, vous pourrez ultérieurement charger d'autres fichiers de certificat racine approuvé (20 maximum).

  1. Accédez au réseau virtuel que vous avez créé.
  2. Sous Paramètres, sélectionnez Connexions point à site.
  3. Cliquez sur Gérer le certificat.
  4. Sélectionnez Télécharger.
  5. Dans le volet Charger un certificat, sélectionnez l’icône de dossier et accédez au certificat à charger.
  6. Sélectionnez Télécharger.
  7. Une fois chargé, le certificat apparaît sur la page Gérer le certificat. Vous devrez peut-être sélectionner Actualiser pour afficher le certificat que vous venez de charger.

Configurer le client

Pour se connecter à un réseau virtuel à l'aide d'un VPN point à site, chaque client doit installer un package afin de configurer le client VPN Windows natif. Le package de configuration configure le client VPN Windows natif avec les paramètres nécessaires pour se connecter au réseau virtuel.

Vous pouvez utiliser le même package de configuration du client VPN sur chaque ordinateur client, tant que la version correspond à l’architecture du client. Pour connaître la liste des systèmes d’exploitation clients pris en charge, consultez À propos des connexions point à site et la FAQ.

Générer et installer le package de configuration du client VPN

  1. Accédez aux paramètres Connexions de point à site de votre réseau virtuel.

  2. En haut de la page, sélectionnez le package de téléchargement correspondant au système d’exploitation client sur lequel il sera installé :

    • Clients 64 bits : sélectionnez Client VPN (64 bits) .
    • Clients 32 bits : sélectionnez Client VPN (32 bits) .
  3. Azure génère un package avec les paramètres spécifiques requis par le client. Chaque fois que vous apportez des modifications au réseau virtuel ou à la passerelle, vous devez télécharger un nouveau package de configuration de client et l’installer sur vos ordinateurs clients.

  4. Une fois le package généré, sélectionnez Télécharger.

  5. Installez le package de configuration de client sur votre ordinateur client. Si, lors de l’installation, il apparaît une fenêtre contextuelle SmartScreen indiquant que Windows a protégé votre PC, sélectionnez Plus d’informations, puis Exécuter quand même. Vous pouvez également enregistrer le package pour l’installer sur d’autres ordinateurs clients.

Installer un certificat client

Dans cet exercice, lorsque vous avez généré le certificat client, il a été automatiquement installé sur votre ordinateur. Pour créer une connexion P2S à partir d’un ordinateur client autre que celui utilisé pour générer les certificats clients, vous devez installer le certificat client généré sur cet ordinateur.

Pour installer un certificat client, vous devez disposer du mot de passe créé lors de l'exportation du certificat client. En règle générale, il vous suffit de double-cliquer sur le certificat pour l'installer. Pour plus d’informations, consultez la rubrique Installer un certificat client exporté.

Se connecter à votre réseau virtuel

Notes

Vous devez disposer de droits d’administrateur sur l’ordinateur client à partir duquel vous vous connectez.

  1. Sur l’ordinateur client, accédez à Paramètres VPN.
  2. Sélectionnez le VPN que vous avez créé. Si vous avez utilisé les paramètres de l’exemple, la connexion sera nommée Group TestRG VNet1.
  3. Sélectionnez Connecter.
  4. Dans la zone Réseau virtuel Windows Azure, sélectionnez Se connecter. Si un message contextuel relatif au certificat s’affiche, sélectionnez Continuer pour utiliser des privilèges élevés et Oui pour accepter les modifications de la configuration.
  5. Si votre connexion aboutit, la notification Connecté apparaît.

Si vous rencontrez des problèmes pour vous connecter, effectuez les vérifications suivantes :

  • Si vous avez exporté un certificat client avec l'Assistant Exportation de certificat, vérifiez que vous l’avez exporté au format .pfx et sélectionné Inclure tous les certificats dans le chemin d’accès de certification, si possible. Lorsque vous l'exportez avec cette valeur, les informations de certificat racine sont également exportées. Après avoir installé le certificat sur l'ordinateur client, le certificat racine situé dans le fichier .pfx est également installé. Pour vérifier que le certificat racine est installé, ouvrez Gérer les certificats utilisateur et sélectionnez Autorités de certification racines de confiance\Certificats. Vérifiez que le certificat racine y est répertorié car il doit être présent pour permettre à l'authentification d'aboutir.

  • Si vous avez utilisé un certificat qui émis par une autorité de certification d’entreprise et rencontrez des problèmes d’authentification, examinez l’ordre de l’authentification sur le certificat client. Vérifiez l’ordre de la liste d’authentification en double-cliquant sur le certificat client et en sélectionnant l'onglet Détail, puis Utilisation améliorée de la clé. Assurez-vous que le premier élément de la liste correspond à Authentification client. Si ce n’est pas le cas, émettez un certificat client basé sur le modèle Utilisateur disposant de l’authentification client comme premier élément dans la liste.

  • Pour plus d’informations sur la résolution des problèmes liés à P2S, consultez Résoudre les problèmes de connexions liés à P2S.

Vérifier la connexion VPN

  1. Vérifiez que votre connexion VPN est active. Ouvrez une invite de commandes avec élévation de privilèges sur votre ordinateur client et exécutez ipconfig/all.

  2. Affichez les résultats. Notez que l’adresse IP que vous avez reçue est l’une des adresses de la plage d’adresses de connectivité point à site que vous avez spécifiée quand vous avez créé votre réseau virtuel. Les résultats devraient être semblables à cet exemple :

     PPP adapter VNet1:
         Connection-specific DNS Suffix .:
         Description.....................: VNet1
         Physical Address................:
         DHCP Enabled....................: No
         Autoconfiguration Enabled.......: Yes
         IPv4 Address....................: 172.16.201.11 (Preferred)
         Subnet Mask.....................: 255.255.255.255
         Default Gateway.................:
         NetBIOS over Tcpip..............: Enabled
    

Pour vous connecter à un ordinateur virtuel

Créez une connexion Bureau à distance pour vous connecter à une machine virtuelle déployée sur votre réseau virtuel. La meilleure méthode pour vérifier que vous pouvez vous connecter à votre machine virtuelle consiste à vous connecter à l’aide de son adresse IP privée, plutôt qu’avec le nom d’ordinateur. Vous testez ainsi si vous pouvez vous connecter, que la résolution de nom soit configurée correctement ou non.

  1. Recherchez l’adresse IP privée de votre machine virtuelle. Pour trouver l’adresse IP privée d’une machine virtuelle, consultez les propriétés de la machine virtuelle dans le portail Azure ou utilisez PowerShell.
  2. Vérifiez que vous êtes connecté à votre réseau virtuel à l’aide de la connexion VPN de point à site.
  3. Pour ouvrir une connexion Bureau à distance, saisissez RDP ou Connexion Bureau à distance dans la zone de recherche de la barre des tâches, puis sélectionnez Connexion Bureau à distance. Vous pouvez également l'ouvrir à l’aide de la commande mstsc dans PowerShell.
  4. Dans Connexion Bureau à distance, entrez l’adresse IP privée de la machine virtuelle. Si nécessaire, sélectionnez Afficher les Options pour définir des paramètres supplémentaires, puis connectez-vous.

Pour résoudre une connexion RDP à une machine virtuelle

Si vous rencontrez des problèmes de connexion à une machine virtuelle sur votre connexion VPN, vous pouvez vérifier plusieurs points.

  • Vérifiez que votre connexion VPN aboutit.
  • Vérifiez que vous vous connectez à l’adresse IP privée de la machine virtuelle.
  • Entrez ipconfig pour vérifier l’adresse IPv4 attribuée à l’adaptateur Ethernet sur l’ordinateur à partir duquel vous vous connectez. Si l’adresse IP est comprise dans la plage d’adresses du réseau virtuel auquel vous vous connectez, ou dans la plage d’adresses de votre VPNClientAddressPool, cette situation est désignée sous le terme d’espaces d’adressage qui se chevauchent. Lorsque vos espaces d’adressage se chevauchent de cette façon, le trafic réseau n’atteint pas Azure et reste sur le réseau local.
  • Si vous pouvez vous connecter à la machine virtuelle à l’aide de l’adresse IP privée, mais pas à l’aide du nom d’ordinateur, vérifiez que vous avez correctement configuré DNS. Pour plus d’informations sur le fonctionnement de la résolution de noms pour les machines virtuelles, consultez Résolution de noms pour les machines virtuelles.
  • Vérifiez que le package de configuration du client VPN a été généré après avoir spécifié les adresses IP du serveur DNS pour le réseau virtuel. Si vous mettez à jour les adresses IP du serveur DNS, générez et installez un package de configuration du client VPN.

Pour plus d’informations sur la résolution d’une connexion, consultez Résoudre des problèmes de connexion Bureau à distance à une machine virtuelle.

Pour ajouter ou supprimer des certificats racine approuvés

Vous pouvez ajouter et supprimer des certificats racines approuvés à partir d'Azure. Lorsque vous supprimez un certificat racine, les clients qui possèdent un certificat généré à partir de cette racine ne sont plus en mesure de s'authentifier et de se connecter. Pour permettre à ces clients de s'authentifier et de se connecter, vous devez installer un nouveau certificat client généré à partir d'un certificat racine approuvé par Azure.

Ajout ou suppression d’un certificat racine approuvé

Vous pouvez ajouter à Azure 20 fichiers. cer de certificats racines approuvés au total, suivant le même processus que pour le premier.

Suppression d’un certificat racine approuvé

  1. Dans la section Connexions point à site de la page de votre réseau virtuel, sélectionnez Gérer les certificats.
  2. Sélectionnez les points de suspension à côté du certificat à supprimer, puis sélectionnez Supprimer.

Révocation d'un certificat client

Si nécessaire, vous pouvez révoquer un certificat client. La liste de révocation de certificat vous permet de refuser sélectivement la connexion point à site en fonction des certificats clients individuels. Cette méthode est différente de la suppression d'un certificat racine approuvé. Si vous supprimez un fichier .cer de certificat racine approuvé d’Azure, vous révoquez l’accès pour tous les certificats clients générés/signés par le certificat racine révoqué. Révoquer un certificat client plutôt que le certificat racine permet de continuer à utiliser les autres certificats générés à partir du certificat racine pour l’authentification de la connexion Point à site.

La pratique courante consiste à utiliser le certificat racine pour gérer l'accès au niveaux de l'équipe ou de l'organisation, tout en utilisant des certificats clients révoqués pour le contrôle d'accès précis des utilisateurs individuels.

Vous pouvez révoquer un certificat client en ajoutant son empreinte à la liste de révocation.

  1. Récupérez l’empreinte du certificat client. Pour plus d’informations, consultez l’article Comment : récupérer l’empreinte numérique d’un certificat.
  2. Copiez les informations dans un éditeur de texte et supprimez les espaces afin d'obtenir une chaîne continue.
  3. Accédez à Connexion VPN point à site, puis sélectionnez Gérer le certificat.
  4. Sélectionnez Liste de révocation pour ouvrir la page Liste de révocation.
  5. Sous Empreinte, collez l'empreinte numérique du certificat sous la forme d'une seule ligne continue de texte, sans espaces.
  6. Sélectionnez + Ajouter à la liste pour ajouter l’empreinte à la liste de révocation de certificats.

Une fois la mise à jour terminée, le certificat ne peut plus être utilisé pour se connecter. Les clients qui tentent de se connecter à l'aide de ce certificat reçoivent un message indiquant que le certificat n'est plus valide.

Forum aux questions

Ce FAQ s’applique aux connexions P2S qui utilisent le modèle de déploiement classique.

Quels systèmes d’exploitation clients puis-je utiliser avec une connexion point à site ?

Les systèmes d’exploitation clients pris en charge sont les suivants :

  • Windows 7 (32 bits et 64 bits)
  • Windows Server 2008 R2 (64 bits uniquement)
  • Windows 8 (32 bits et 64 bits)
  • Windows 8.1 (32 bits et 64 bits)
  • Windows Server 2012 (64 bits uniquement)
  • Windows Server 2012 R2 (64 bits uniquement)
  • Windows 10
  • Windows 11

Puis-je utiliser un client VPN logiciel qui prend en charge le protocole SSTP pour une connexion point à site ?

Non. La prise en charge est limitée aux versions de système d’exploitation Windows répertoriées.

Combien de points de terminaison clients VPN ma configuration point à site peut-elle comporter ?

Le nombre de points de terminaison de client VPN dépend de la SKU et du protocole de votre passerelle.

VPN
Passerelle
Génération
Référence (SKU) S2S/VNet-to-VNet
Tunnels
P2S
Connexions SSTP
P2S
Connexions IKEv2/OpenVPN
Agrégat
Évaluation du débit
BGP Redondant interzone Nombre de machines virtuelles prises en charge dans le réseau virtuel
Génération1 De base Bande passante 10 Bande passante 128 Non pris en charge 100 Mbits/s Non pris en charge Non 200
Génération1 VpnGw1 Bande passante 30 Bande passante 128 Bande passante 250 650 Mbits/s Pris en charge Non 450
Génération1 VpnGw2 Bande passante 30 Bande passante 128 Bande passante 500 1 Gbit/s Pris en charge Non 1300
Génération1 VpnGw3 Bande passante 30 Bande passante 128 Bande passante 1 000 1,25 Gbits/s Pris en charge Non 4000
Génération1 VpnGw1AZ Bande passante 30 Bande passante 128 Bande passante 250 650 Mbits/s Pris en charge Oui 1000
Génération1 VpnGw2AZ Bande passante 30 Bande passante 128 Bande passante 500 1 Gbit/s Pris en charge Oui 2000
Génération1 VpnGw3AZ Bande passante 30 Bande passante 128 Bande passante 1 000 1,25 Gbits/s Pris en charge Oui 5 000
Génération2 VpnGw2 Bande passante 30 Bande passante 128 Bande passante 500 1,25 Gbits/s Pris en charge Non 685
Génération2 VpnGw3 Bande passante 30 Bande passante 128 Bande passante 1 000 2,5 Gbits/s Prise en charge Non 2240
Génération2 VpnGw4 Bande passante 100* Bande passante 128 Bande passante 5 000 5 Gbit/s Prise en charge Non 5300
Génération2 VpnGw5 Bande passante 100* Bande passante 128 Bande passante 10000 10 Gbits/s Prise en charge Non 6700
Génération2 VpnGw2AZ Bande passante 30 Bande passante 128 Bande passante 500 1,25 Gbits/s Pris en charge Oui 2000
Génération2 VpnGw3AZ Bande passante 30 Bande passante 128 Bande passante 1 000 2,5 Gbits/s Prise en charge Oui 3300
Génération2 VpnGw4AZ Bande passante 100* Bande passante 128 Bande passante 5 000 5 Gbit/s Prise en charge Oui 4400
Génération2 VpnGw5AZ Bande passante 100* Bande passante 128 Bande passante 10000 10 Gbits/s Prise en charge Oui 9000

Pouvez-vous utiliser votre propre autorité de certification racine à clé publique externe pour la connectivité de point à site ?

Oui. Auparavant, seuls les certificats racines auto-signés pouvaient être utilisés. Vous pouvez toujours télécharger jusqu’à 20 certificats racine.

Puis-je parcourir les serveurs proxy et les pare-feux à l’aide d’une connexion point à site ?

Oui. Nous utilisons le protocole SSTP (Secure Socket Tunneling Protocol) pour avoir un tunnel traversant les pare-feux. Ce tunnel apparaît comme une connexion HTTPS.

Si vous redémarrez un ordinateur client configuré pour la connectivité de point à site, le VPN va-t-il se reconnecter automatiquement ?

Par défaut, l’ordinateur client ne rétablit pas automatiquement la connexion VPN.

La configuration point à site prend-elle en charge la reconnexion automatique et DDNS sur les clients VPN ?

Non. La reconnexion automatique et DDNS ne sont actuellement pas pris en charge dans les configurations VPN point à site.

Puis-je avoir des configurations site à site et point à site pour un même réseau virtuel ?

Oui. Les deux solutions fonctionnent si vous avez un type de réseau VPN basé sur un itinéraire pour votre passerelle. Pour le modèle de déploiement Classic, vous avez besoin d’une passerelle dynamique. Nous ne prenons pas en charge la configuration point à site pour les passerelles VPN à routage statique ou les passerelles qui utilisent la cmdlet -VpnType PolicyBased.

Pouvez-vous configurer un client de point à site pour la connexion à plusieurs réseaux virtuels en même temps ?

Oui. Toutefois, les réseaux virtuels ne peuvent pas avoir de préfixes IP qui se chevauchent, et les espaces d’adressage point à site ne doivent pas se chevaucher entre les réseaux virtuels.

Quel débit puis-je attendre des connexions site à site ou point à site ?

Il est difficile de maintenir le débit exact des tunnels VPN. IPsec et SSTP sont des protocoles VPN de chiffrement lourd. Le débit est également limité par la latence et la bande passante entre vos locaux et Internet.

Étapes suivantes