Jegyzet
Az oldalhoz való hozzáférés engedélyezést igényel. Próbálhatod be jelentkezni vagy könyvtárat váltani.
Az oldalhoz való hozzáférés engedélyezést igényel. Megpróbálhatod a könyvtár váltását.
Ez a cikk segítséget nyújt a VPN Gateway pont–hely (P2S) kiszolgálói beállításainak konfigurálásához, hogy biztonságosan kapcsolódjon a Windowst, Linuxot vagy macOS rendszert futtató egyes ügyfélszámítógépekről egy Azure-beli virtuális hálózathoz (VNet). A P2S VPN-kapcsolatok akkor hasznosak, ha távoli helyről szeretne csatlakozni a virtuális hálózathoz, például ha otthonról vagy konferenciáról távmunkát folytat. A helyek közötti (S2S) VPN helyett p2S-t is használhat, ha csak néhány ügyfélnek kell csatlakoznia egy virtuális hálózathoz.
A P2S-kapcsolatokhoz nincs szükség VPN-eszközre vagy nyilvános IP-címre. A P2S-hez különböző konfigurációs lehetőségek érhetők el. A pont–hely VPN-ről további információt a pont–hely VPN ismertetése című témakörben talál.
A cikk lépései az Azure Portal használatával konfigurálják az Azure VPN-átjárót pont–hely tanúsítvány hitelesítéséhez.
A P2S Azure-tanúsítványhitelesítési kapcsolatok a következő elemeket használják:
- Útvonalalapú VPN-átjáró (nem szabályzatalapú). A VPN-típussal kapcsolatos további információkért lásd a VPN Gateway beállításait.
- Az Azure-ba feltöltött főtanúsítvány nyilvános kulcsa (.cer fájl). A tanúsítvány feltöltése után megbízható tanúsítványnak számít, és hitelesítésre használják.
- A főtanúsítványból létrehozott ügyféltanúsítvány. Minden olyan ügyfélszámítógépre telepített ügyféltanúsítvány, amely a virtuális hálózathoz csatlakozik. Ez a tanúsítvány az ügyfélhitelesítéshez használatos.
- VPN-ügyfél konfigurációs fájljai. A VPN-ügyfél a VPN-ügyfél konfigurációs fájljaival van konfigurálva. Ezek a fájlok tartalmazzák az ügyfélnek a virtuális hálózathoz való csatlakozáshoz szükséges információkat. Minden csatlakozó ügyfelet a konfigurációs fájlok beállításaival kell konfigurálni.
Prerequisites
Ez a cikk feltételezi, hogy már létrehozott egy útvonalalapú VPN-átjárót, amely kompatibilis a létrehozni kívánt P2S-konfigurációval, a használni kívánt hitelesítési módszerrel és a csatlakozó VPN-ügyfelekkel.
- Ha még nem rendelkezik VPN-átjáróval, olvassa el a VPN-átjáró létrehozása és kezelése című témakört, majd térjen vissza erre a lapra a pont–hely VPN-átjáró beállításainak konfigurálásához.
- A szükséges P2S-konfiguráció meghatározásához tekintse meg a VPN-ügyféltáblát.
- Ha rendelkezik olyan VPN-átjáróval, amely az alapszintű termékváltozatot használja, ismerje meg, hogy az alapszintű termékváltozat P2S-korlátozásokkal rendelkezik, és nem támogatja az IKEv2- vagy RADIUS-hitelesítést. További információ: Az átjáró termékváltozatai.
Tanúsítványok előállítása
Az Azure tanúsítványokkal hitelesíti a virtuális hálózathoz pont–hely VPN-kapcsolaton keresztül csatlakozó ügyfeleket. Miután beszerezte a főtanúsítványt, feltölti a nyilvános kulcs adatait az Azure-ra. A főtanúsítványt ezután az Azure "megbízhatónak" tekinti a P2S-en keresztüli virtuális hálózathoz való csatlakozáshoz.
Emellett ügyféltanúsítványokat is létrehozhat a megbízható főtanúsítványból, majd telepítheti őket az egyes ügyfélszámítógépekre. Az ügyféltanúsítvány az ügyfél hitelesítésére szolgál, amikor kapcsolatot kezdeményez a virtuális hálózathoz.
A pont–hely átjáró beállításainak konfigurálása előtt létre kell hozni és kinyerni a főtanúsítványt.
Főtanúsítvány létrehozása
Szerezze be a főtanúsítványhoz tartozó .cer fájlt. Használhat egy vállalati megoldással létrehozott főtanúsítványt (ajánlott), vagy létrehozhat egy önaláírt tanúsítványt. A főtanúsítvány létrehozása után exportálja a nyilvános tanúsítvány adatait (nem a titkos kulcsot) Base64 kódolású X.509-.cer fájlként. Ezt a fájlt később feltöltheti az Azure-ba.
Vállalati tanúsítvány: Ha vállalati megoldást használ, használhatja a meglévő tanúsítványláncot. Szerezze be a használni kívánt főtanúsítványhoz tartozó .cer fájlt.
Önaláírt főtanúsítvány: Ha nem vállalati tanúsítványmegoldást használ, hozzon létre egy önaláírt főtanúsítványt. Ellenkező esetben a létrehozott tanúsítványok nem lesznek kompatibilisek a P2S-kapcsolatokkal, és az ügyfelek csatlakozási hibát kapnak, amikor megpróbálnak csatlakozni. Használhatja az Azure PowerShellt, a MakeCertet vagy az OpenSSL-t. A következő cikkekben szereplő lépések bemutatják, hogyan hozhat létre kompatibilis önaláírt főtanúsítványt:
- PowerShell-utasítások a Windows 10-hez vagy újabb verziókhoz: Ezekhez az utasításokhoz a PowerShellre van szükség Windows 10 vagy újabb rendszert futtató számítógépen. A főtanúsítványból létrehozott ügyféltanúsítványok bármely támogatott P2S-ügyfélre telepíthetők.
- MakeCert-utasítások: Ha nem fér hozzá Windows 10-et vagy újabb rendszert futtató számítógéphez, a MakeCert használatával hozhat létre tanúsítványokat. Bár a MakeCert elavult, továbbra is használhatja tanúsítványok létrehozásához. A főtanúsítványból létrehozott ügyféltanúsítványok bármely támogatott P2S-ügyfélre telepíthetők.
- Linux – OpenSSL-utasítások
- Az Linux – strongSwan utasítások
Ügyféltanúsítványok létrehozása
A pont–hely kapcsolattal rendelkező virtuális hálózathoz csatlakozó összes ügyfélszámítógépen telepítve kell lennie egy ügyféltanúsítványnak. A főtanúsítványból hozza létre, és minden ügyfélszámítógépen telepíti. Ha nem telepít érvényes ügyféltanúsítványt, a hitelesítés sikertelen lesz, amikor az ügyfél megpróbál csatlakozni a virtuális hálózathoz.
Létrehozhat egyedi tanúsítványt minden ügyfélhez, vagy ugyanazt a tanúsítványt több ügyfélhez is használhatja. Az egyedi ügyféltanúsítványok létrehozásának előnye, hogy egyetlen tanúsítványt vonhat vissza. Ellenkező esetben, ha több ügyfél ugyanazt az ügyféltanúsítványt használja a hitelesítéshez, és ön visszavonja azt, új tanúsítványokat kell létrehoznia és telepítenie minden olyan ügyfélhez, amely ezt a tanúsítványt használja.
Ügyféltanúsítványokat az alábbi módszerekkel hozhat létre:
Vállalati tanúsítvány:
Ha vállalati tanúsítványmegoldást használ, hozzon létre egy általános névérték formátumú ügyféltanúsítványt name@contoso.com. Ezt a formátumot használja a tartománynév\felhasználónév formátum helyett.
Győződjön meg arról, hogy az ügyféltanúsítvány olyan felhasználói tanúsítványsablonon alapul, amelynek ügyfél-hitelesítése a felhasználói lista első elemeként szerepel. Ellenőrizze a tanúsítványt, ha duplán kattint rá, és megtekinti a Bővített kulcshasználatot a Részletek lapon.
Önaláírt főtanúsítvány: Kövesse az alábbi P2S-tanúsítványcikkek egyikének lépéseit, hogy a létrehozott ügyféltanúsítványok kompatibilisek legyenek a P2S-kapcsolatokkal.
Ha önaláírt főtanúsítványból hoz létre ügyféltanúsítványt, az automatikusan telepítve lesz a létrehozáshoz használt számítógépen. Ha egy ügyféltanúsítványt egy másik ügyfélszámítógépre szeretne telepíteni, exportálja .pfx fájlként, a teljes tanúsítványlánccal együtt. Ezzel létrehoz egy .pfx fájlt, amely tartalmazza az ügyfél hitelesítéséhez szükséges főtanúsítvány-adatokat.
Az ezekben a cikkekben ismertetett lépések létrehoznak egy kompatibilis ügyféltanúsítványt, amelyet aztán exportálhat és terjeszthet.
Windows 10 vagy újabb PowerShell-utasítások: Ezekhez az utasításokhoz Windows 10 vagy újabb, a PowerShell pedig tanúsítványok létrehozásához szükséges. A létrehozott tanúsítványok bármely támogatott P2S-ügyfélre telepíthetők.
MakeCert-utasítások: A MakeCert használata, ha nincs hozzáférése Windows 10 vagy újabb rendszerű számítógépekhez tanúsítványok létrehozásához. Bár a MakeCert elavult, továbbra is használhatja tanúsítványok létrehozásához. A létrehozott tanúsítványokat bármely támogatott P2S-ügyfélre telepítheti.
Linux: Lásd: strongSwan vagy OpenSSL utasítások.
A VPN-ügyfél címkészletének hozzáadása
Az ügyfélcímkészlet megadott magánhálózati IP-címek tartománya. A pont–hely VPN-en keresztül csatlakozó ügyfelek dinamikusan kapnak IP-címet ebből a tartományból. Olyan magánhálózati IP-címtartományt használjon, amely nem fedi át a helyszíni helyet, ahonnan csatlakozik, vagy a virtuális hálózathoz, amelyhez csatlakozni szeretne. Ha több protokollt konfigurál, és az SSTP az egyik protokoll, akkor a konfigurált címkészlet egyenlően oszlik el a konfigurált protokollok között.
- Az Azure Portalon nyissa meg a VPN-átjárót.
- Az átjáró oldalán, a bal oldali panelen válassza a Pont–hely konfiguráció lehetőséget.
- A Pont–hely konfiguráció lapon kattintson a Konfigurálás gombra.
- A pont–hely konfigurációs lapon megjelenik a Címkészlet konfigurációs mezője.
-
A Címkészlet mezőben adja hozzá a használni kívánt magánhálózati IP-címtartományt. Ha például hozzáadja a címtartományt
172.16.201.0/24, a csatlakozó VPN-ügyfelek ebből a tartományból kapják meg az IP-címek egyikét. A minimális alhálózati maszk aktív/passzív konfiguráció esetén 29 bites, míg aktív/aktív konfiguráció esetén 28 bites.
A tartomány hozzáadása után folytassa a következő szakaszokban a többi szükséges beállítás konfigurálásához.
Adja meg az alagút és a hitelesítés típusát
Ebben a szakaszban meg kell adnia az alagút típusát és a hitelesítési típust. Ezek a beállítások összetettek lehetnek. A legördülő listából több alagúttípust is megadhat, például az IKEv2 és az OpenVPN(SSL) vagy az IKEv2 és az SSTP (SSL) elemet. Csak az alagúttípusok és a hitelesítési típusok bizonyos kombinációi érhetők el.
Az alagúttípusnak és a hitelesítési típusnak meg kell felelnie az Azure-hoz való csatlakozáshoz használni kívánt VPN-ügyfélszoftvernek. Ha különböző VPN-ügyfelek csatlakoznak különböző operációs rendszerekről, fontos az alagúttípus és a hitelesítési típus megtervezése. Az alábbi táblázat a VPN-ügyfélszoftverekhez kapcsolódó elérhető alagúttípusokat és hitelesítési típusokat mutatja be.
VPN-ügyféltábla
| Hitelesítési módszer | Alagúttípus | Ügyfél operációs rendszere | VPN-ügyfél |
|---|---|---|---|
| Certificate | |||
| IKEv2, SSTP | Windows | Natív VPN-ügyfél | |
| IKEv2 | macOS | Natív VPN-ügyfél | |
| IKEv2 | Linux | strongSwan | |
| OpenVPN | Windows |
Azure VPN-ügyfél OpenVPN-ügyfél 2.x-es verziója OpenVPN-ügyfél 3.x-es verziója |
|
| OpenVPN | macOS | OpenVPN-ügyfél | |
| OpenVPN | iOS | OpenVPN-ügyfél | |
| OpenVPN | Linux |
Azure VPN-ügyfél OpenVPN-ügyfél |
|
| Microsoft Entra ID | |||
| OpenVPN | Windows | Azure VPN-ügyfél | |
| OpenVPN | macOS | Azure VPN-ügyfél | |
| OpenVPN | Linux | Azure VPN-ügyfél |
Note
Ha nem látja az alagút típusát vagy hitelesítési típusát a pont–hely konfigurációs lapon, az átjáró az alapszintű termékváltozatot használja. Az alapszintű termékváltozat nem támogatja az IKEv2- vagy RADIUS-hitelesítést. Ha ezeket a beállításokat szeretné használni, törölnie kell és újra létre kell hoznia az átjárót egy másik átjáró termékváltozatával.
Alagúttípus esetén válassza ki a használni kívánt alagúttípust. Ebben a gyakorlatban a legördülő menüben válassza az IKEv2 és az OpenVPN(SSL) lehetőséget.
Hitelesítési típus esetén a legördülő menüben válassza az Azure-tanúsítványt.
Másik nyilvános IP-cím hozzáadása
Ha aktív-aktív módú átjáróval rendelkezik, meg kell adnia egy harmadik nyilvános IP-címet a pont–hely konfiguráláshoz. A példában a harmadik nyilvános IP-címet a VNet1GWpip3 példaértékkel hozzuk létre. Ha az átjáró nem aktív-aktív módban van, nem kell újabb nyilvános IP-címet hozzáadnia.
Főtanúsítvány nyilvános kulcsának adatainak feltöltése
Ebben a szakaszban nyilvános főtanúsítvány-adatokat tölt fel az Azure-ba. A nyilvános tanúsítványadatok feltöltése után az Azure a csatlakozó ügyfelek hitelesítésére használja. A csatlakozó ügyfelek rendelkeznek a megbízható főtanúsítványból létrehozott telepített ügyféltanúsítvánnyal.
Győződjön meg arról, hogy a főtanúsítványt Base-64 kódolású X.509 -ként exportálta (. CER) fájl az előző lépésekben. Ebben a formátumban kell exportálnia a tanúsítványt, hogy szövegszerkesztővel megnyithassa a tanúsítványt. Nem kell exportálnia a titkos kulcsot.
Nyissa meg a tanúsítványt egy szövegszerkesztővel, például a Jegyzettömbdel. A tanúsítványadatok másolása során győződjön meg arról, hogy a szöveget egy folyamatos sorként másolja:
Lépjen a Virtuális hálózati átjáró –> Pont–hely konfiguráció lapra a Főtanúsítvány szakaszban. Ez a szakasz csak akkor látható, ha az Azure-tanúsítványt választotta a hitelesítési típushoz.
A Főtanúsítvány szakaszban legfeljebb 20 megbízható főtanúsítványt adhat hozzá.
- Illessze be a tanúsítványadatokat a Nyilvános tanúsítvány adatmezőbe .
- Nevezze el a tanúsítványt.
Ehhez a gyakorlathoz nincs szükség további útvonalakra. Az egyéni útválasztási funkcióval kapcsolatos további információkért lásd az egyéni útvonalak meghirdetése című témakört.
Válassza a Lap tetején található Mentés lehetőséget az összes konfigurációs beállítás mentéséhez. A konfigurációs beállítások üzembe helyezése után létrehozhatja és letöltheti a VPN-ügyfél konfigurációs csomagját.
VPN-ügyfélprofil konfigurációs fájljainak létrehozása
A VPN-ügyfelekhez szükséges konfigurációs beállításokat egy VPN-ügyfélprofil konfigurációs zip-fájlja tartalmazza. A VPN-ügyfélprofil konfigurációs fájljai a virtuális hálózat P2S VPN-átjárójának konfigurációira vonatkoznak. Ha a fájlok létrehozása után módosul a P2S VPN-konfiguráció, például a VPN protokolltípusának vagy hitelesítési típusának módosítása, új VPN-ügyfélprofil-konfigurációs fájlokat kell létrehoznia, és alkalmaznia kell az új konfigurációt az összes csatlakozni kívánt VPN-ügyfélre. A P2S-kapcsolatokról további információt a pont–hely VPN kapcsolatról szóló cikkben talál.
Az ügyfélprofil konfigurációs fájljait a PowerShell vagy az Azure Portal használatával hozhatja létre. Az alábbi példák mindkét módszert mutatják be. Bármelyik metódus ugyanazt a zip-fájlt adja vissza.
Azure Portal
Az Azure Portalon nyissa meg annak a virtuális hálózatnak a virtuális hálózati átjáróját, amelyhez csatlakozni szeretne.
A virtuális hálózati átjáró lapján válassza a Pont–hely konfiguráció lehetőséget a pont–hely konfiguráció lap megnyitásához.
A pont–hely konfigurációs oldal tetején válassza a VPN-ügyfél letöltése lehetőséget. Ez nem tölt le VPN-ügyfélszoftvert, hanem létrehozza a VPN-ügyfelek konfigurálásához használt konfigurációs csomagot. Az ügyfélkonfigurációs csomag létrehozása néhány percet vesz igénybe. Ez idő alatt előfordulhat, hogy nem jelenik meg semmilyen jelzés, amíg a csomag létre nem jön.
A konfigurációs csomag létrehozása után a böngésző azt jelzi, hogy elérhető egy ügyfélkonfigurációs zip-fájl. A név megegyezik az átjáró nevével.
Bontsa ki a fájlt a mappák megtekintéséhez. A VPN-ügyfél konfigurálásához a fájlok egy részét vagy egészét fogja használni. A létrehozott fájlok megfelelnek a P2S-kiszolgálón konfigurált hitelesítési és alagúttípus-beállításoknak.
VPN-ügyfelek konfigurálása és csatlakozás az Azure-hoz
A VPN-ügyfelek konfigurálásához és az Azure-hoz való csatlakozáshoz szükséges lépésekért tekintse meg a VPN-ügyféltáblát az Alagút és hitelesítés típusának megadása szakaszban. A táblázat olyan cikkekre mutató hivatkozásokat tartalmaz, amelyek részletes lépéseket tartalmaznak a VPN-ügyfélszoftver konfigurálásához.
Megbízható főtanúsítványok hozzáadása vagy eltávolítása
Megbízható főtanúsítványokat vehet fel és távolíthat el az Azure-ból. Főtanúsítvány eltávolításakor az abból a gyökérből létrehozott tanúsítvánnyal rendelkező ügyfelek nem fognak tudni hitelesítést végezni, és ennek eredményeként csatlakozni sem. Ha azt szeretné, hogy egy ügyfél hitelesítse és csatlakozzon, telepítenie kell egy új ügyféltanúsítványt, amely egy megbízható (feltöltött) főtanúsítványból jön létre az Azure-ba.
Legfeljebb 20 megbízható főtanúsítványt adhat hozzá .cer fájlokat az Azure-hoz. Útmutatásért tekintse meg a Megbízható főtanúsítvány feltöltése című szakaszt.
A megbízható gyökértanúsítvány eltávolítása:
- Lépjen a virtuális hálózati átjáró pont–hely konfigurációs lapjára.
- A lap Főtanúsítvány szakaszában keresse meg az eltávolítani kívánt tanúsítványt.
- Jelölje ki a tanúsítvány melletti három pontot, majd válassza az Eltávolítás lehetőséget.
Ügyféltanúsítvány visszavonása
Visszavonhatja az ügyféltanúsítványokat. A tanúsítvány-visszavonási lista lehetővé teszi a P2S-kapcsolatok szelektív letiltására az egyes ügyféltanúsítványok alapján. Ez nem ugyanaz, mint egy megbízható gyökértanúsítvány eltávolítása. Ha eltávolít egy megbízható főtanúsítványt .cer az Azure-ból, az visszavonja a visszavont főtanúsítvány által létrehozott/aláírt összes ügyféltanúsítvány hozzáférését. Ha a főtanúsítvány helyett visszavon egy ügyféltanúsítványt, az engedélyezi a főtanúsítványból létrehozott többi tanúsítvány használatát a hitelesítéshez.
Az általános gyakorlat az, hogy a főtanúsítvány használatával kezelheti a hozzáférést csapat- vagy szervezeti szinten, a visszavont ügyféltanúsítványokat pedig az egyes felhasználók részletes hozzáférés-vezérléséhez.
Az ügyféltanúsítvány visszavonásához vegye fel az ujjlenyomatot a visszavonási listára.
- Kérje le az ügyféltanúsítvány ujjlenyomatát. További információt a Tanúsítvány ujjlenyomatának lekérése című témakörben talál.
- Másolja az adatokat egy szövegszerkesztőbe, és távolítsa el az összes szóközt, hogy folyamatos karakterlánc legyen.
- Lépjen a virtuális hálózati átjáró pont–hely konfigurációs lapjára. Ez ugyanaz a lap, amelyet egy megbízható főtanúsítvány feltöltéséhez használt.
- A Visszavont tanúsítványok szakaszban adjon meg egy rövid nevet a tanúsítványnak (nem kell a tanúsítvány CN-jének lennie).
- Másolja és illessze be az ujjlenyomat-sztringet az Ujjlenyomat mezőbe.
- Az ujjlenyomat ellenőrzi, és automatikusan hozzáadja a visszavonási listához. Megjelenik egy üzenet a képernyőn, amelyen a lista frissül.
- A frissítés befejezése után a tanúsítvány már nem használható a csatlakozásra. Azok az ügyfelek, akik ezzel a tanúsítvánnyal próbálnak csatlakozni, egy üzenetet kapnak majd arról, hogy a tanúsítvány már nem érvényes.
Pont–hely – gyakori kérdések
A gyakori kérdésekért tekintse meg a gyakori kérdéseket.
Következő lépések
A kapcsolat befejeződése után virtuális gépeket adhat hozzá a virtuális hálózatokhoz. További információ: Virtuális gépek. A hálózatkezeléssel és a virtuális gépekkel kapcsolatos további információkért tekintse meg az Azure és a Linux rendszerű virtuális gépek hálózatának áttekintését.
A P2S hibaelhárítási információért látogasson el az Azure pont–hely kapcsolatok hibaelhárítása oldalra.