Partage via


Configurer les paramètres de serveur pour l’authentification par certificat de la passerelle VPN P2S

Cet article vous aide à configurer les paramètres de serveur point à site (P2S) de la passerelle VPN nécessaires pour vous permettre de connecter de façon sécurisée des clients individuels exécutant Windows, Linux ou macOS à un réseau virtuel Azure. Les connexions point à site 2 VPN sont utiles quand vous souhaitez vous connecter à votre réseau virtuel à partir d’un emplacement distant, par exemple quand vous travaillez à distance de votre domicile ou en conférence. La connexion P2S est une solution alternative au VPN site à site (S2S) lorsque seul un nombre restreint de clients doivent se connecter à un réseau virtuel.

Les connexions de ce type ne nécessitent pas de périphérique VPN ou d’adresse IP publique. Plusieurs options de configuration sont disponibles pour P2S. Pour plus d’informations sur le VPN point à site, consultez À propos du VPN point à site.

Diagramme de connexion point à site montrant comment se connecter d'un ordinateur à un réseau virtuel Azure.

Les étapes décrites dans cet article utilisent le portail Azure pour configurer votre passerelle VPN Azure pour l’authentification de certificat point à site.

Les connexions d'authentification par certificat P2S Azure utilisent les éléments suivants :

  • Une passerelle VPN basée sur une route (et pas sur une stratégie). Pour plus d’informations sur le type de VPN, consultez Paramètres de passerelle VPN.
  • La clé publique (fichier .cer) d’un certificat racine, chargée sur Azure. Une fois le certificat chargé, il est considéré comme un certificat approuvé et est utilisé pour l’authentification.
  • Un certificat client généré à partir du certificat racine. Le certificat client installé sur chaque ordinateur client qui se connecte au réseau virtuel. Ce certificat est utilisé pour l’authentification du client.
  • Fichiers de configuration de client VPN. Le client VPN est configuré à l’aide des fichiers config du client VPN. Ces fichiers contiennent les informations nécessaires permettant au client de se connecter au réseau virtuel. Chaque client qui se connecte doit être configuré à l’aide des paramètres dans les fichiers de configuration.

Prérequis

Cet article nécessite les éléments suivants :

  • Un réseau virtuel Azure.
  • Passerelle VPN basée sur un itinéraire compatible avec la configuration P2S que vous souhaitez créer et connecter des clients VPN. Pour déterminer la configuration P2S dont vous avez besoin, consultez la table de client VPN. Si votre passerelle utilise la référence SKU de base, comprenez que la référence SKU de base a des limitations P2S et ne prend pas en charge l’authentification IKEv2 ou RADIUS. Pour plus d’informations, consultez À propos des références SKU de passerelles.

Si vous ne disposez pas encore d'une passerelle VPN fonctionnelle compatible avec la configuration P2S que vous souhaitez créer, voir Créer et gérer une passerelle VPN. Créez une passerelle VPN compatible, puis revenez à cet article pour configurer les paramètres P2S.

Générer des certificats

Les certificats sont utilisés par Azure pour authentifier les clients qui se connectent à un réseau virtuel via une connexion VPN point à site. Une fois que vous avez obtenu le certificat racine, vous chargez les informations de la clé publique du certificat racine vers Azure. Le certificat racine est alors considéré comme « approuvé » par Azure pour la connexion via P2S sur le réseau virtuel.

Vous générez également des certificats de client à partir du certificat racine approuvé, puis vous les installez sur chaque ordinateur client. Le certificat client permet d’authentifier le client quand il lance une connexion au réseau virtuel.

Le certificat racine doit être généré et extrait avant de pouvoir configurer les paramètres de la passerelle point à site.

Générer un certificat racine

Obtenez le fichier .cer pour le certificat racine. Vous pouvez utiliser un certificat racine qui a été généré à l’aide d’une solution d’entreprise (recommandé), ou générer un certificat auto-signé. Après avoir créé le certificat racine, exportez les données de certificat public (et non la clé privée) en tant que fichier .cer X.509 encodé en Base64. Vous téléchargez ce fichier plus tard dans Azure.

  • Certificat d’entreprise : Si vous utilisez une solution d’entreprise, vous pouvez utiliser votre chaîne d’approbation existante. Obtenez le fichier .cer pour le certificat racine que vous souhaitez utiliser.

  • Certificat racine auto-signé : Si vous n’utilisez pas de solution de certificat d’entreprise, créez un certificat racine auto-signé. Sinon, les certificats que vous créez ne seront pas compatibles avec vos connexions P2S et les clients recevront une erreur de connexion lorsqu'ils tenteront de se connecter. Vous pouvez utiliser Azure PowerShell, MakeCert ou OpenSSL. Les procédures décrites dans les articles suivants expliquent comment générer un certificat racine auto-signé compatible :

    • Instructions PowerShell pour Windows 10 ou version ultérieure : ces instructions nécessitent PowerShell sur un ordinateur exécutant Windows 10 ou version ultérieure. Les certificats clients qui sont générés à partir du certificat racine peuvent être installés sur n’importe quel client P2S pris en charge.
    • Instructions MakeCert : utilisez MakeCert pour générer des certificats si vous n'avez pas accès à un ordinateur exécutant Windows 10 ou une version ultérieure. Même si MakeCert est déconseillé, vous pouvez toujours l’utiliser pour générer des certificats. Les certificats clients que vous générez à partir du certificat racine peuvent être installés sur n’importe quel client P2S pris en charge.
    • Linux – Instructions OpenSSL
    • Linux – Instructions strongSwan

Générer des certificats clients

Chaque ordinateur client que vous connectez à un réseau virtuel avec une connexion point à site doit avoir un certificat client installé. Ce certificat doit être généré à partir du certificat racine, puis installé sur chaque ordinateur client. Si vous n’installez pas de certificat client valide, l’authentification échoue lorsque le client essaie de se connecter au réseau virtuel.

Vous pouvez soit générer un certificat unique pour chaque client, soir utiliser le même certificat pour plusieurs clients. Le fait de générer des certificats clients uniques vous offre la possibilité de révoquer un seul certificat. Dans le cas contraire, si plusieurs clients utilisent le même certificat client pour s’authentifier et que vous révoquez ce dernier, vous devrez générer et installer de nouveaux certificats pour chaque client qui utilise ce certificat.

Vous pouvez générer des certificats clients à l’aide des méthodes suivantes :

  • Certificat d’entreprise :

    • Si vous utilisez une solution de certificat d’entreprise, générez un certificat client avec le format de valeur de nom commun name@yourdomain.com. Utilisez ce format au lieu du format domain name\username.

    • Assurez-vous que le certificat client repose sur un modèle de certificat utilisateur qui indique Authentification client comme premier élément dans la liste d’utilisateurs. Vérifiez le certificat en double-cliquant dessus et en affichant Utilisation avancée de la clé dans l’onglet Détails.

  • Certificat racine auto-signé : Suivez la procédure décrite dans l’un des articles concernant les certificats P2S ci-dessous pour créer des certificats clients compatibles avec vos connexions P2S.

    Lorsque vous générez un certificat client à partir d’un certificat racine auto-signé, ce certificat est automatiquement installé sur l’ordinateur que vous avez utilisé pour le générer. Si vous souhaitez installer un certificat client sur un autre ordinateur client, exportez-le en tant que fichier .pfx, avec l’intégralité de la chaîne du certificat. Cette opération crée un fichier .pfx contenant les informations de certificat racine requises pour l’authentification du client.

    Les procédures décrites dans ces articles permettent de générer un certificat client compatible, que vous pouvez ensuite exporter et distribuer.

    • Instructions pour PowerShell sur Windows 10 ou version ultérieure : ces instructions requièrent Windows 10 ou une version ultérieure, et PowerShell pour générer des certificats. Les certificats qui sont générés peuvent être installés sur n’importe quel client P2S pris en charge.

    • Instructions pour MakeCert : si vous n’avez pas accès à un ordinateur Windows 10 ou version ultérieure, utilisez MakeCert pour générer des certificats. Même si MakeCert est déconseillé, vous pouvez toujours l’utiliser pour générer des certificats. Vous pouvez installer les certificats générés sur n’importe quel client P2S pris en charge.

    • Linux : consultez les instructions pour strongSwan ou OpenSSL.

Ajouter le pool d’adresses du client VPN

Le pool d’adresses des clients est une plage d’adresses IP privées que vous spécifiez. Les clients qui se connectent via un VPN point à site reçoivent de façon dynamique une adresse IP de cette plage. Utilisez une plage d’adresses IP privées qui ne chevauche ni l’emplacement local à partir duquel vous vous connectez ni le réseau virtuel auquel vous souhaitez vous connecter. Si vous configurez plusieurs protocoles et que SSTP est l’un d’entre eux, le pool d’adresses configuré est réparti de manière égale entre les protocoles configurés.

  1. Dans le portail Azure, accédez à votre passerelle VPN.

  2. Dans la page de votre passerelle, dans le volet gauche, sélectionnez Configuration point à site.

  3. Cliquez sur Configurer pour ouvrir la page de configuration.

    Capture d’écran de la page de configuration de point à site – Pool d’adresses.

  4. Dans la page Configuration point à site, dans la zone Pool d’adresses, ajoutez la plage d’adresses IP privées que vous souhaitez utiliser. Les clients VPN reçoivent dynamiquement une adresse IP à partir de la plage que vous spécifiez. Le masque minimal de sous-réseau est de 29 bits pour la configuration active/passive, et de 28 bits pour la configuration active/active.

  5. Passez à la section suivante pour configurer davantage de paramètres.

Spécifier le type de tunnel et le type d’authentification

Dans cette section, vous précisez le type de tunnel et le type d’authentification. Ces paramètres peuvent devenir complexes. Vous pouvez sélectionner des options qui contiennent plusieurs types de tunnel dans la liste déroulante, telles que IKEv2 et OpenVPN(SSL) ou IKEv2 et SSTP (SSL). Seules certaines combinaisons de types de tunnel et de types d’authentification sont disponibles.

Le type de tunnel et le type d’authentification doivent correspondre au logiciel client VPN qui peut être utilisé pour se connecter à Azure. Lorsque plusieurs clients VPN se connectent à partir de différents systèmes d'exploitation, il est important de planifier le type de tunnel et le type d'authentification. Le tableau suivant présente les types de tunnel et les types d’authentification disponibles, car ils sont liés au logiciel client VPN.

Tableau de client VPN

Authentification Type de tunnel Système d’exploitation client Client VPN
Certificat
IKEv2, SSTP Windows Client VPN natif
IKEv2 macOS Client VPN natif
IKEv2 Linux strongSwan
OpenVPN Windows Client VPN Azure
Version 2.x du client OpenVPN
Version 3.x du client OpenVPN
OpenVPN macOS Client OpenVPN
OpenVPN iOS Client OpenVPN
OpenVPN Linux Client VPN Azure
Client OpenVPN
Microsoft Entra ID
OpenVPN Windows Client VPN Azure
OpenVPN macOS Client VPN Azure
OpenVPN Linux Client VPN Azure

Remarque

Si vous ne voyez pas le type de tunnel ou le type d’authentification dans la page Configuration point à site, c’est que votre passerelle utilise la référence SKU de base. La référence SKU De base ne prend pas en charge IKEv2 ou l’authentification RADIUS. Si vous voulez utiliser ces paramètres, vous devez supprimer et recréer la passerelle en utilisant une autre référence SKU de passerelle.

  1. Pour Type de tunnel, sélectionnez le type de tunnel à utiliser. Pour cet exercice, dans la liste déroulante, sélectionnez IKEv2 et OpenVPN (SSL).

  2. Pour type d’authentication , dans le menu déroulant, sélectionnez Certificat Azure.

    Capture d’écran de la page de configuration de point à site – Type d’authentification.

Ajouter une autre adresse IP publique

Si vous disposez d’une passerelle en mode actif/actif, vous devez spécifier une troisième adresse IP publique pour configurer un point à site. Dans l’exemple, nous créons la troisième adresse IP publique à l’aide de l’exemple de valeur VNet1GWpip3. Si votre passerelle n’est pas en mode actif/actif, vous n’avez pas besoin d’ajouter une autre adresse IP publique.

Capture d’écran de la page de configuration du point au site – adresse IP publique.

Charger les informations de la clé publique du certificat racine

Dans cette section, vous allez charger dans Azure les données de certificat racine publiques. Une fois les données de certificat public chargées, Azure l’utilise pour authentifier les clients de connexion. Les clients connectés disposent d'un certificat client installé, généré à partir du certificat racine approuvé.

  1. Vérifiez que vous avez exporté le certificat racine sous la forme d’un fichier X.509 codé en base 64 (.cer) dans les étapes précédentes. Vous devez exporter le certificat dans ce format pour être en mesure de l’ouvrir avec un éditeur de texte. Vous n’avez pas besoin d’exporter la clé privée.

  2. Ouvrez le certificat avec un éditeur de texte, Bloc-notes par exemple. Lors de la copie des données de certificat, assurez-vous que vous copiez le texte en une seule ligne continue :

    Capture d’écran des données contenues dans le certificat.

  3. Allez à la page de configuration de votre passerelle réseau virtuel> – Point-to-site dans la section Certificat racine. Cette section est visible uniquement si vous avez sélectionné Certificat Azure comme type d’authentification.

  4. Dans la section Certificat racine, vous pouvez ajouter jusqu’à 20 certificats racine approuvés.

    • Collez les données du certificat dans le champ Données de certificat public.
    • Donnez un Nom au certificat.

    Capture d’écran du champ des données de certificat.

  5. Cette opération ne nécessite pas de routages supplémentaires. Pour plus d’informations sur la caractéristique de routage personnalisé, consultez Publier des routages personnalisés.

  6. Sélectionnez Enregistrer en haut de la page pour enregistrer tous les paramètres de configuration.

Générer des fichiers de configuration de profil de client VPN

Tous les paramètres de configuration nécessaires aux clients VPN sont contenus dans un fichier zip de configuration de client VPN. Les fichiers de configuration de profil de client VPN sont spécifiques à la configuration de la passerelle VPN P2S pour le réseau virtuel. Si des modifications ont été apportées à la configuration du VPN P2S après avoir généré les fichiers (modifications apportées au type de protocole VPN ou au type d’authentification, par exemple), vous devez générer les nouveaux fichiers de configuration du profil du client VPN et appliquer la nouvelle configuration à tous les clients VPN que vous souhaitez connecter. Pour plus d’informations sur les connexions P2S, consultez l’article À propos des VPN point à site.

Vous pouvez générer des fichiers de configuration de profil de client en utilisant PowerShell ou le portail Azure. Les exemples suivants montrent les deux méthodes. L’une ou l’autre des méthodes retourne le même fichier zip.

Portail Azure

  1. Dans le portail Azure, accédez à la passerelle du réseau virtuel auquel vous souhaitez vous connecter.

  2. Dans la page correspondant à la passerelle de réseau virtuel, sélectionnez Configuration de point à site pour ouvrir la page Configuration de point à site.

  3. En haut de la page Configuration de point à site, sélectionnez Télécharger le client VPN. Cela ne permet pas de télécharger le logiciel du client VPN mais de générer le package de configuration utilisé pour configurer les clients VPN. La génération du package de configuration du client prend quelques minutes. Pendant ce temps, vous ne verrez peut-être aucune indication jusqu’à ce que le paquet soit généré.

    Capture d’écran de la page de configuration de point à site.

  4. Une fois le package de configuration généré, votre navigateur indique qu’un fichier zip de configuration client est disponible. Il porte le même nom que votre passerelle.

  5. Décompressez le fichier pour afficher les dossiers. Vous allez utiliser tout ou partie de ces fichiers pour configurer votre client VPN. Les fichiers générés correspondent aux paramètres d’authentification et de type de tunnel que vous avez configurés sur le serveur P2S.

Configurer des clients VPN et se connecter à Azure

Pour savoir comment configurer vos clients VPN et vous connecter à Azure, consultez la table de client VPN dans la section Spécifier le type de tunnel et d’authentification. Le tableau contient des liens vers des articles qui fournissent des étapes détaillées pour configurer le logiciel client VPN.

Ajout ou suppression de certificats racine approuvés

Vous pouvez ajouter et supprimer des certificats racines approuvés à partir d'Azure. Lorsque vous supprimez un certificat racine, les clients disposant d'un certificat généré à partir de cette racine ne pourront pas s'authentifier et, par conséquent, ne pourront pas se connecter. Si vous souhaitez que des clients s’authentifient et se connectent, vous devez installer un nouveau certificat client généré à partir d’un certificat racine approuvé (téléchargé) dans Azure.

Vous pouvez ajouter jusqu’à 20 fichiers .cer de certificat racine approuvés dans Azure. Pour obtenir des instructions, consultez la section Charger un certificat racine approuvé.

Pour supprimer un certificat racine approuvé :

  1. Accédez à la page Configuration de point à site pour votre passerelle de réseau virtuel.
  2. Dans la section Certificat racine de la page, recherchez le certificat que vous souhaitez supprimer.
  3. Sélectionnez les points de suspension à côté du certificat, puis sélectionnez Supprimer.

Révocation d'un certificat client

Vous pouvez révoquer des certificats clients. La liste de révocations de certificats vous permet de refuser de façon sélective la connexion P2S en fonction de certificats clients individuels. Cela est différent de la suppression d’un certificat racine approuvé. Si vous supprimez un fichier .cer de certificat racine approuvé d’Azure, vous révoquez l’accès pour tous les certificats clients générés/signés par le certificat racine révoqué. Quand vous révoquez un certificat client au lieu du certificat racine, il permet de continuer à utiliser les autres certificats qui ont été générés à partir du certificat racine pour l’authentification.

La pratique courante consiste à utiliser le certificat racine pour gérer l'accès au niveaux de l'équipe ou de l'organisation, tout en utilisant des certificats clients révoqués pour le contrôle d'accès précis des utilisateurs individuels.

Vous pouvez révoquer un certificat client en ajoutant son empreinte à la liste de révocation.

  1. Récupérez l’empreinte du certificat client. Pour plus d’informations, consultez l’article Comment : récupérer l’empreinte numérique d’un certificat.
  2. Copiez les informations dans un éditeur de texte et supprimez tous les espaces afin d’obtenir une chaîne continue.
  3. Accédez à la page Configuration de point à site de la passerelle de réseau virtuel. Il s’agit de la page que vous avez utilisé pour charger un certificat racine approuvé.
  4. Dans la section Certificats révoqués, entrez un nom convivial pour le certificat (il ne s’agit pas forcément du nom commun du certificat).
  5. Copiez et collez la chaîne d’empreinte numérique dans le champ Empreinte.
  6. L’empreinte est validée, puis automatiquement ajoutée à la liste de révocation. Un message apparaît pour indiquer que la liste est en cours de mise à jour.
  7. Une fois la mise à jour terminée, le certificat ne peut plus être utilisé pour se connecter. Les clients qui tentent de se connecter à l’aide de ce certificat reçoivent un message indiquant que le certificat n’est plus valide.

Forum Aux Questions sur les connexions point à site

Pour accéder aux questions fréquentes (FAQ), consultez la FAQ.

Étapes suivantes

Une fois la connexion achevée, vous pouvez ajouter des machines virtuelles à vos réseaux virtuels. Pour plus d’informations, consultez Machines virtuelles. Pour plus d’informations sur la mise en réseau et les machines virtuelles, consultez Vue d’ensemble du réseau de machines virtuelles Azure et Linux.

Pour plus d’informations sur la résolution des problèmes liés aux connexions de point à site, consultez l’article Résolution des problèmes de connexion de point à site Azure.