Mengonfigurasi pengaturan server untuk autentikasi sertifikat VPN Gateway P2S

Artikel ini membantu Anda mengonfigurasi pengaturan server titik-ke-situs (P2S) VPN Gateway yang diperlukan untuk memungkinkan Anda terhubung dengan aman dari komputer klien individual yang menjalankan Windows, Linux, atau macOS ke jaringan virtual Azure (VNet). Koneksi VPN P2S berguna ketika Anda ingin terhubung ke jaringan virtual Anda dari lokasi jarak jauh, seperti saat Anda melakukan telekomunikasi dari rumah atau konferensi. Anda juga dapat menggunakan P2S alih-alih VPN situs-ke-situs (S2S) ketika Anda hanya memiliki beberapa klien yang perlu terhubung ke jaringan virtual.

Koneksi P2S tidak memerlukan perangkat VPN atau alamat IP publik. Ada berbagai opsi konfigurasi berbeda yang tersedia untuk P2S. Untuk informasi lengkap VPN titik-ke-situs, lihatTentang VPN titik-ke-situs.

Langkah-langkah dalam artikel ini menggunakan portal Azure untuk mengonfigurasi gateway Azure VPN Anda untuk autentikasi sertifikat titik-ke-situs.

Koneksi autentikasi sertifikat P2S Azure menggunakan item berikut:

• Gateway VPN berbasis rute (bukan berbasis kebijakan). Untuk informasi selengkapnya tentang jenis VPN, lihat Pengaturan VPN Gateway.
• Kunci umum (.cer file) untuk sertifikat akar, yang diunggah ke Azure. Setelah sertifikat diunggah, sertifikat tersebut dianggap sebagai sertifikat tepercaya dan digunakan untuk autentikasi.
• Sertifikat klien yang dihasilkan dari sertifikat akar. Sertifikat klien yang dipasang pada masing-masing komputer klien yang akan tersambung ke VNet. Sertifikat ini digunakan untuk autentikasi klien.
• File konfigurasi klien VPN. Klien VPN dikonfigurasi menggunakan file konfigurasi klien VPN. File ini berisi informasi yang diperlukan bagi klien agar tersambung ke VNet. Masing-masing klien yang tersambung harus dikonfigurasi menggunakan pengaturan dalam file konfigurasi.

Prasyarat

Artikel ini mengasumsikan bahwa Anda telah membuat gateway VPN berbasis rute yang kompatibel dengan konfigurasi P2S yang ingin Anda buat, metode autentikasi yang ingin Anda gunakan, dan klien VPN yang menghubungkan.

• Jika Anda belum memiliki gateway VPN, lihat Membuat dan mengelola gateway VPN, lalu kembali ke halaman ini untuk mengonfigurasi pengaturan gateway VPN titik-ke-situs.
• Untuk membantu menentukan konfigurasi P2S yang Anda butuhkan, lihat tabel klien VPN.
• Jika Anda memiliki gateway VPN yang menggunakan SKU Dasar, pahami bahwa SKU Dasar memiliki batasan P2S dan tidak mendukung autentikasi IKEv2 atau RADIUS. Untuk informasi selengkapnya, lihat Tentang gateway SKU.

Membuat sertifikat

Sertifikat digunakan oleh Azure untuk mengautentikasi klien yang terhubung ke jaringan virtual melalui koneksi VPN titik-ke-situs. Setelah Anda mendapatkan sertifikat akar, Anda mengunggah informasi kunci publik ke Azure. Sertifikat akar kemudian dianggap 'tepercaya' oleh Azure untuk koneksi melalui P2S ke jaringan virtual.

Anda juga membuat sertifikat klien dari sertifikat akar tepercaya, lalu menginstalnya di setiap komputer klien. Sertifikat klien digunakan untuk mengautentikasi klien ketika memulai koneksi ke jaringan virtual.

Sertifikat akar harus dibuat dan diekstrak sebelum Anda mengonfigurasi pengaturan gateway titik-ke-situs.

Membuat sertifikat akar

Dapatkan file .cer untuk sertifikat akar. Anda dapat menggunakan sertifikat akar yang dihasilkan dengan solusi perusahaan (direkomendasikan), atau menghasilkan sertifikat yang ditandatangani sendiri. Setelah Anda membuat sertifikat akar, ekspor data sertifikat publik (bukan kunci privat) sebagai file .cer X.509 yang dikodekan oleh Base64. Anda mengunggah file ini nanti ke Azure.

• Sertifikat perusahaan: Jika Anda menggunakan solusi perusahaan, Anda dapat menggunakan rantai sertifikat yang ada. Dapatkan file .cer untuk sertifikat akar yang ingin Anda gunakan.

• Sertifikat akar yang ditandatangani sendiri: Jika Anda tidak menggunakan solusi sertifikat perusahaan, buat sertifikat akar yang ditandatangani sendiri. Jika tidak, sertifikat yang Anda buat tidak akan kompatibel dengan koneksi P2S Anda dan klien menerima kesalahan koneksi saat mencoba menyambungkan. Anda dapat menggunakan Azure PowerShell, MakeCert, atau OpenSSL. Langkah-langkah dalam artikel berikut ini menjelaskan cara membuat sertifikat akar yang ditandatangani sendiri yang kompatibel:

  • Instruksi PowerShell untuk Windows 10 atau yang lebih baru: Instruksi ini memerlukan PowerShell di komputer yang menjalankan Windows 10 atau yang lebih baru. Sertifikat klien yang dihasilkan dari sertifikat akar dapat diinstal pada klien P2S yang didukung.
  • Instruksi MakeCert: Gunakan MakeCert untuk menghasilkan sertifikat jika Anda tidak memiliki akses ke komputer yang menjalankan Windows 10 atau yang lebih baru. Meskipun MakeCert tidak digunakan lagi, Anda masih dapat menggunakannya untuk membuat sertifikat. Sertifikat klien yang Anda hasilkan dari sertifikat akar dapat diinstal pada klien P2S yang didukung.
  • Linux - Instruksi OpenSSL
  • Linux - instruksi strongSwan

Membuat sertifikat klien

Setiap komputer klien yang Anda sambungkan ke VNet dengan koneksi titik-ke-situs harus memiliki sertifikat klien yang terinstal. Anda membuatnya dari sertifikat akar dan memasangnya di setiap komputer klien. Jika Anda tidak memasang sertifikat klien yang valid, autentikasi akan gagal ketika klien mencoba menyambungkan ke VNet.

Anda dapat membuat sertifikat unik untuk setiap klien, atau Anda dapat menggunakan sertifikat yang sama untuk beberapa klien. Keuntungan membuat sertifikat klien yang unik adalah kemampuan untuk mencabut satu sertifikat. Jika tidak, jika beberapa klien menggunakan sertifikat klien yang sama untuk mengautentikasi dan Anda mencabutnya, Anda harus membuat dan memasang sertifikat baru untuk setiap klien yang menggunakan sertifikat tersebut.

Anda dapat membuat sertifikat klien dengan menggunakan metode berikut:

• Sertifikat perusahaan:

  • Jika Anda menggunakan solusi sertifikat enterpise, buat sertifikat klien dengan format nilai nama umum name@yourdomain.com. Gunakan format ini, jangan gunakan format nama domain\nama pengguna.

  • Pastikan sertifikat klien didasarkan pada templat sertifikat pengguna yang memiliki Autentikasi Klien yang terdaftar sebagai item pertama dalam daftar pengguna. Periksa sertifikat dengan mengklik dua kali sertifikat dan menampilkan Penggunaan Kunci yang Disempurnakan di tab Detail.

• Sertifikat akar yang ditandatangani sendiri: Ikuti langkah-langkah di salah satu artikel sertifikat P2S berikut ini sehingga sertifikat klien yang Anda buat akan kompatibel dengan koneksi P2S Anda.

  Ketika Anda membuat sertifikat klien dari sertifikat akar yang ditandatangani sendiri, sertifikat tersebut secara otomatis dipasang pada komputer yang Anda gunakan untuk membuatnya. Jika Anda ingin memasang sertifikat klien di komputer klien lain, ekspor sebagai file .pfx, bersama dengan seluruh rantai sertifikat. Dengan begitu, akan terbuat file .pfx yang berisi informasi sertifikat akar yang diperlukan klien untuk mengautentikasi.

  Langkah-langkah dalam artikel ini menghasilkan sertifikat klien yang kompatibel, yang kemudian dapat Anda ekspor dan distribusikan.

  • Instruksi PowerShell Windows 10 atau lebih baru: Instruksi ini memerlukan Windows 10 atau lebih baru, dan PowerShell untuk membuat sertifikat. Sertifikat yang dibuat dapat dipasang pada klien P2S yang didukung.

  • Instruksi MakeCert: Gunakan MakeCert jika Anda tidak memiliki akses ke komputer Windows 10 atau lebih baru untuk membuat sertifikat. Meskipun MakeCert tidak digunakan lagi, Anda masih dapat menggunakannya untuk membuat sertifikat. Anda dapat memasang sertifikat yang dihasilkan pada klien P2S yang didukung.

  • Linux: Lihat instruksi strongSwan atau OpenSSL .

Menambahkan kumpulan alamat klien VPN

Kumpulan alamat klien adalah berbagai alamat IP pribadi yang Anda tentukan. Klien yang terhubung melalui VPN point-to-site secara dinamis menerima alamat IP dari rentang ini. Gunakan rentang alamat IP privat yang tidak tumpang tindih dengan lokasi lokal yang Anda sambungkan, atau jaringan virtual yang ingin Anda sambungkan. Jika Anda mengonfigurasi beberapa protokol dan SSTP adalah salah satu protokolnya, maka kumpulan alamat yang dikonfigurasi dibagi antara protokol yang dikonfigurasi secara merata.

1. Di portal Azure, buka gateway VPN Anda.
2. Pada halaman untuk gateway Anda, di panel kiri, pilih Konfigurasi titik-ke-situs.
3. Pada halaman Konfigurasi titik-ke-situs , klik Konfigurasikan sekarang.
4. Pada halaman konfigurasi titik-ke-situs, Anda akan melihat kotak konfigurasi untuk Kumpulan alamat.
5. Dalam kotak Kumpulan alamat, tambahkan rentang alamat IP pribadi yang ingin Anda gunakan. Misalnya, jika Anda menambahkan rentang alamat 172.16.201.0/24, klien VPN yang terhubung akan menerima salah satu alamat IP dari rentang ini. Subnet mask minimum adalah 29 bit untuk aktif/pasif dan 28 bit untuk konfigurasi aktif/aktif.

Setelah Anda menambahkan rentang, lanjutkan ke bagian berikutnya untuk mengonfigurasi sisa pengaturan yang diperlukan.

Tentukan jenis terowongan dan autentikasi

Di bagian ini, Anda akan menentukan jenis tunnel dan jenis autentikasi. Pengaturan ini bisa menjadi kompleks. Anda dapat memilih opsi yang berisi beberapa jenis terowongan dari dropdown, seperti IKEv2 dan OpenVPN(SSL) atau IKEv2 dan SSTP (SSL). Hanya kombinasi tertentu dari jenis terowongan dan jenis autentikasi yang tersedia.

Jenis terowongan dan jenis autentikasi harus sesuai dengan perangkat lunak klien VPN yang ingin Anda gunakan untuk menyambungkan ke Azure. Ketika Anda memiliki berbagai klien VPN yang terhubung dari sistem operasi yang berbeda, merencanakan jenis terowongan dan jenis autentikasi penting. Tabel berikut menunjukkan jenis terowongan dan jenis autentikasi yang tersedia karena terkait dengan perangkat lunak klien VPN.

Tabel klien VPN

Metode autentikasi	Jenis terowongan	Sistem Operasi Klien	Klien VPN
Sertifikat
	IKEv2, SSTP	Windows	Klien VPN asli
	IKEv2	macOS	Klien VPN asli
	IKEv2	Linux	strongSwan
	OpenVPN	Windows	Klien Azure VPN Klien OpenVPN versi 2.x Klien OpenVPN versi 3.x
	OpenVPN	macOS	Klien OpenVPN
	OpenVPN	iOS	Klien OpenVPN
	OpenVPN	Linux	Klien Azure VPN Klien OpenVPN
Microsoft Entra ID
	OpenVPN	Windows	Klien Azure VPN
	OpenVPN	macOS	Klien Azure VPN
	OpenVPN	Linux	Klien Azure VPN

Catatan

Jika Anda tidak melihat tipe terowongan atau tipe autentikasi pada halaman Konfigurasi point-to-site, gateway Anda menggunakan SKU Dasar. SKU Dasar tidak mendukung autentikasi IKEv2 atau RADIUS. Jika ingin menggunakan pengaturan ini, Anda perlu menghapus dan membuat ulang gateway menggunakan SKU gateway yang berbeda.

1. Untuk Jenis terowongan, pilih jenis terowongan yang ingin Anda gunakan. Untuk latihan ini, dari menu dropdown, pilih IKEv2 dan OpenVPN(SSL).

2. Untuk Jenis autentikasi, dari menu dropdown, pilih Sertifikat Azure.

   

Menambahkan alamat IP publik lain

Jika Anda memiliki gateway mode aktif-aktif, Anda perlu menentukan alamat IP publik ketiga untuk mengonfigurasi titik-ke-situs. Dalam contoh, kami membuat alamat IP publik ketiga menggunakan nilai contoh VNet1GWpip3. Jika gateway Anda tidak dalam mode aktif-aktif, Anda tidak perlu menambahkan alamat IP publik lain.

Unggah informasi kunci publik sertifikat akar

Di bagian ini, Anda mengunggah data sertifikat akar publik ke Azure. Setelah data sertifikat publik diunggah, Azure menggunakannya untuk mengautentikasi menghubungkan klien. Klien yang menghubungkan memiliki sertifikat klien terinstal yang dihasilkan dari sertifikat akar tepercaya.

1. Pastikan bahwa Anda telah mengekspor sertifikat akar sebagai file X.509 (.CER) berenkode Base-64 di langkah sebelumnya. Anda perlu mengekspor sertifikat dalam format ini agar Anda dapat membuka sertifikat dengan editor teks. Anda tidak perlu mengekspor kunci privat.

2. Buka sertifikat dengan editor teks, seperti Notepad. Saat menyalin data sertifikat, pastikan Anda menyalin teks sebagai satu baris berkelanjutan:

   

3. Buka halaman Gateway jaringan virtual - Konfigurasi titik-ke-situs Anda di bagian Sertifikat akar. Bagian ini hanya dapat terlihat jika Anda telah memilih Sertifikat Azure untuk jenis autentikasinya.

4. Di bagian Sertifikat akar, Anda dapat menambahkan hingga 20 sertifikat akar yang terpercaya.

   • Tempelkan data sertifikat ke dalam bidang Data Sertifikat Publik.
   • Beri nama sertifikat.

   

5. Rute tambahan tidak diperlukan untuk latihan ini. Untuk informasi selengkapnya tentang fitur perutean kustom, lihat Mengiklankan rute kustom.

6. Pilih Simpan di bagian atas halaman untuk menyimpan semua pengaturan konfigurasi. Setelah penyebaran pengaturan konfigurasi selesai, Anda dapat membuat dan mengunduh paket konfigurasi klien VPN.

Membuat file konfigurasi profil klien VPN

Semua pengaturan konfigurasi yang diperlukan untuk klien VPN terkandung dalam file zip konfigurasi profil klien VPN. File konfigurasi profil klien VPN khusus untuk konfigurasi gateway VPN P2S untuk jaringan virtual. Jika ada perubahan pada konfigurasi VPN P2S setelah Anda membuat file, seperti perubahan pada jenis protokol VPN atau jenis autentikasi, Anda perlu membuat file konfigurasi profil klien VPN baru dan menerapkan konfigurasi baru ke semua klien VPN yang ingin Anda sambungkan. Untuk informasi selengkapnya tentang konfigurasi P2S, lihat Tentang VPN Point-to-Site.

Anda dapat membuat file konfigurasi profil klien menggunakan PowerShell, atau dengan menggunakan portal Azure. Contoh berikut menunjukkan kedua metode. Metode apa pun akan menghasilkan file zip yang sama.

Portal Azure

1. Di portal Azure, buka gateway jaringan virtual untuk jaringan virtual yang ingin Anda sambungkan.

2. Pada halaman gateway jaringan virtual, pilih Konfigurasi point-to-site untuk membuka halaman Konfigurasi point-to-site.

3. Di bagian atas halaman konfigurasi Titik-ke-situs, pilih Unduh klien VPN. Ini tidak mengunduh perangkat lunak klien VPN, ini membuat paket konfigurasi yang digunakan untuk mengonfigurasi klien VPN. Perlu beberapa menit hingga paket konfigurasi klien dapat dibuat. Selama waktu ini, Anda mungkin tidak melihat indikasi apa pun sampai paket dihasilkan.

   

4. Setelah paket konfigurasi dibuat, browser Anda menunjukkan bahwa file zip konfigurasi klien tersedia. Diberi nama sama dengan gateway Anda.

5. Ekstrak file zip untuk melihat folder. Anda akan menggunakan beberapa, atau semua, dari file-file ini untuk mengonfigurasi klien VPN Anda. File yang dihasilkan sesuai dengan pengaturan jenis autentikasi dan terowongan yang Anda konfigurasikan di server P2S.

Mengonfigurasi klien VPN dan menyambungkan ke Azure

Untuk langkah-langkah mengonfigurasi klien VPN Anda dan menyambungkan ke Azure, lihat tabel klien VPN di bagian Tentukan terowongan dan jenis autentikasi. Tabel berisi tautan ke artikel yang menyediakan langkah-langkah terperinci untuk mengonfigurasi perangkat lunak klien VPN.

Menambahkan atau menghapus sertifikat akar tepercaya

Anda dapat menambahkan dan menghapus sertifikat akar tepercaya dari Azure. Saat Anda menghapus sertifikat akar, klien yang memiliki sertifikat yang dihasilkan dari akar tersebut tidak akan dapat mengautentikasi, dan sebagai hasilnya, tidak dapat tersambung. Jika Anda ingin klien mengautentikasi dan menyambungkan, Anda perlu menginstal sertifikat klien baru yang dihasilkan dari sertifikat akar yang terpercaya (diunggah) ke Azure.

Anda dapat menambahkan hingga 20 file .cer sertifikat akar tepercaya ke Azure. Lihat bagian Mengunggah sertifikat akar yang terpercaya untuk petunjuk.

Untuk menghapus sertifikat akar yang tepercaya:

1. Arahkan ke halaman Konfigurasi Titik-ke-Situs untuk gateway jaringan virtual Anda.
2. Di bagian Sertifikat akar halaman, temukan sertifikat yang ingin Anda hapus.
3. Pilih elipsis di samping sertifikat, lalu pilih Hapus.

Cabut sertifikat klien

Anda dapat mencabut sertifikat klien. Daftar pencabutan sertifikat memungkinkan Anda untuk secara selektif menolak konektivitas P2S berdasarkan sertifikat klien individual. Ini berbeda dengan penghapusan sertifikat akar tepercaya. Jika Anda menghapus sertifikat akar terpercaya .cer dari Azure, sertifikat tersebut akan mencabut akses untuk semua sertifikat klien yang dihasilkan/ditandatangani oleh sertifikat akar yang dicabut. Ketika Anda mencabut sertifikat klien, bukan sertifikat akar, sertifikat lain yang dihasilkan dari sertifikat akar terus digunakan untuk autentikasi.

Praktik umumnya adalah menggunakan sertifikat akar untuk mengelola akses di tingkat tim atau organisasi, sambil menggunakan sertifikat klien yang dicabut untuk kontrol akses halus pada pengguna individual.

Anda dapat mencabut sertifikat klien dengan menambahkan thumbprint ke daftar pencabutan.

1. Ambil sidik jari sertifikat klien. Untuk informasi selengkapnya, lihat Cara mengambil Thumbprint Sertifikat.
2. Salin informasi ke editor teks dan hapus semua spasi sehingga menjadi string berkelanjutan.
3. Navigasikan ke halaman Konfigurasi Titik-ke-Situs gateway jaringan virtual. Ini adalah halaman yang sama dengan yang Anda gunakan untuk mengunggah sertifikat akar tepercaya.
4. Di bagian Sertifikat yang dicabut, masukkan nama yang tidak asing untuk sertifikat (tidak harus sertifikat CN).
5. Salin dan tempel string thumbprint ke bidang Thumbprint.
6. Thumbprint memvalidasi dan secara otomatis ditambahkan ke daftar pencabutan. Pesan muncul di layar bahwa daftar sedang diperbarui.
7. Setelah pembaruan selesai, sertifikat tidak lagi dapat digunakan untuk menyambungkan. Klien yang mencoba menyambungkan menggunakan sertifikat ini menerima pesan yang menyatakan bahwa sertifikat tersebut tidak lagi valid.

Tanya Jawab Umum Point-to-Site

Untuk pertanyaan yang sering diajukan, lihat Tanya Jawab Umum.

Langkah berikutnya

Setelah koneksi selesai, Anda dapat menambahkan komputer virtual ke jaringan virtual Anda. Untuk informasi selengkapnya, lihat Mesin Virtual. Untuk memahami selengkapnya tentang jaringan dan mesin virtual, lihat Gambaran umum jaringan VM Azure dan Linux.

Untuk informasi pemecahan masalah P2S, Memecahkan masalah koneksi titik-ke-situs Azure.