P2S VPN Gateway 接続用にサーバー設定を構成する - 証明書認証 - Azure portal

この記事は、Windows、Linux、または macOS を実行している個々のクライアントを Azure VNet に安全に接続できるように、必要な VPN Gateway ポイント対サイト (P2S) サーバー設定を構成するのに役立ちます。 P2P VPN 接続は、自宅や会議室でのテレワークなど、リモートの場所から VNet に接続する場合に便利です。 仮想ネットワーク (VNet) への接続を必要とするクライアントがごく少ない場合は、サイト対サイト (S2S) VPN の代わりに P2S を使用することもできます。 P2S 接続に VPN デバイスや公開 IP アドレスは必要ありません。

P2S には、さまざまな構成オプションがあります。 ポイント対サイト VPN の詳細については、「ポイント対サイト VPN について」を参照してください。 この記事は、証明書認証と Azure portal を使用する P2S 構成を作成するのに役立ちます。 Azure PowerShell を使用してこの構成を作成するには、P2S の構成 - 証明書 - PowerShell に関する記事を参照してください。 RADIUS 認証については、P2S RADIUS に関する記事を参照してください。 Microsoft Entra 認証については、 P2S Microsoft Entra ID 記事を参照してください。

P2S Azure 証明書認証接続には、以下のものが必要です。この演習ではこれらを構成します。

• RouteBased VPN ゲートウェイ。
• Azure にアップロードされた、ルート証明書の公開キー (.cer ファイル)。 証明書をアップロードすると、その証明書は信頼された証明書と見なされ、認証に使われます。
• ルート証明書から生成されたクライアント証明書。 VNet に接続する予定の各クライアント コンピューターにインストールされるクライアント証明書です。 この証明書はクライアントの認証に使用されます。
• VPN クライアント構成ファイル。 VPN クライアントは、VPN クライアント構成ファイルを使用して構成されます。 これらのファイルには、クライアントと VNet の接続に必要な情報が含まれています。 接続する各クライアントは、構成ファイルの設定を使って構成する必要があります。

前提条件

Azure サブスクリプションを持っていることを確認します。 Azure サブスクリプションをまだお持ちでない場合は、MSDN サブスクライバーの特典を有効にするか、無料アカウントにサインアップしてください。

値の例

次の値を使用して、テスト環境を作成できます。また、この値を参考にしながら、この記事の例を確認していくこともできます。

VNet

• VNet 名: VNet1
• アドレス空間: 10.1.0.0/16
  この例では、1 つのアドレス空間のみを使用します。 VNet には、複数のアドレス空間を使用することができます。
• サブネット名: FrontEnd
• サブネットのアドレス範囲: 10.1.0.0/24
• サブスクリプション: サブスクリプションが複数ある場合は、適切なものを使用していることを確認します。
• [リソース グループ]: TestRG1
• [場所]: 米国東部

仮想ネットワーク ゲートウェイ

• 仮想ネットワーク ゲートウェイ名: VNet1GW
• ゲートウェイの種類: VPN
• VPN の種類: ルート ベース
• SKU: VpnGw2
• 世代: Generation2
• ゲートウェイ サブネットのアドレス範囲: 10.1.255.0/27
• パブリック IP アドレス名: VNet1GWpip

接続の種類とクライアント アドレス プール

• [接続の種類] : ポイント対サイト
• クライアント アドレス プール: 172.16.201.0/24
  このポイント対サイト接続を利用して VNet に接続する VPN クライアントは、クライアント アドレス プールから IP アドレスを受け取ります。

VNet を作成する

このセクションでは、VNet を作成します。 この構成に使用する推奨値については、「値の例」セクションを参照してください。

Note

クロスプレミス アーキテクチャの一部として仮想ネットワークを使う場合は、必ずオンプレミスのネットワーク管理者と調整を行って、この仮想ネットワーク専用に使用できる IP アドレスの範囲を見つけます。 VPN 接続の両側に重複するアドレス範囲が存在する場合、予期しない方法でトラフィックがルーティングされます。 また、この仮想ネットワークを別の仮想ネットワークに接続する場合、アドレス空間を別の仮想ネットワークと重複させることはできません。 この点を踏まえてネットワーク構成を計画してください。

1. Azure portal にサインインします。

2. ポータル ページの上部にある [リソース、サービス、ドキュメントの検索 (G+/)] に「仮想ネットワーク」と入力します。 Marketplace の検索結果から [仮想ネットワーク] を選び、[仮想ネットワーク] ページを開きます。

3. [仮想ネットワーク] ページの [作成] を選び、[仮想ネットワークの作成] ページを開きます。

4. [基本] タブの [プロジェクトの詳細] と [インスタンスの詳細] に仮想ネットワークの設定を構成します。 入力した値が検証された場合は、緑色のチェック マークが表示されます。 この例に示されている値は、必要な設定に従って調整できます。

   

   • サブスクリプション:一覧表示されているサブスクリプションが正しいことを確認します。 ドロップダウン ボックスを使ってサブスクリプションを変更できます。
   • リソース グループ: 既存のリソース グループを選ぶか、[新規作成] を選んで新しく作成します。 リソース グループの詳細については、「Azure Resource Manager の概要」を参照してください。
   • Name:仮想ネットワークの名前を入力します。
   • リージョン: 仮想ネットワークの場所を選びます。 この場所の設定によって、この仮想ネットワークにデプロイしたリソースの配置先が決まります。

5. [次へ] または [セキュリティ] を選んで、[セキュリティ] タブに移動します。この演習では、このページのすべてのサービスについて既定値のままにします。

6. [IP アドレス] を選んで、[IP アドレス] タブに移動します。[IP アドレス] タブで設定を構成します。

   • IPv4 アドレス空間: 既定では、アドレス空間が自動的に作成されます。 アドレス空間を選択して、独自の値が反映されるように調整できます。 別のアドレス空間を追加し、自動的に作成された既定値を削除することもできます。 たとえば、開始アドレスを 10.1.0.0 に指定し、アドレス空間のサイズを /16 に指定します。 次に [追加] を選んでそのアドレス空間を追加します。

   • + サブネットの追加: 既定のアドレス空間を使用すると、既定のサブネットが自動的に作成されます。 アドレス空間を変更する場合は、そのアドレス空間内に新しいサブネットを追加します。 [+ サブネットの追加] を選択して、 [サブネットの追加] ウィンドウを開きます。 次の設定を構成し、ページの下部にある [追加] を選んで値を追加します。

     • サブネット名: たとえば FrontEnd です。
     • [サブネットのアドレス範囲] : このサブネットのアドレス範囲です。 たとえば、10.1.0.0 や /24 です。

7. [IP アドレス] ページを確認し、不要なアドレス空間またはサブネットを削除します。

8. [確認と作成] を選択して、仮想ネットワークの設定を検証します。

9. 設定が検証されたら、[作成] を選んで仮想ネットワークを作成します。

VPN ゲートウェイを作成する

この手順では、VNet の仮想ネットワーク ゲートウェイを作成します。 選択したゲートウェイ SKU によっては、ゲートウェイの作成に 45 分以上かかる場合も少なくありません。

Note

Basic ゲートウェイ SKU では、IKEv2 と RADIUS 認証はサポートされません。 Mac クライアントを VNet に接続する予定がある場合は、Basic SKU を使用しないでください。

仮想ネットワーク ゲートウェイには、GatewaySubnet という特定のサブネットが必要です。 ゲートウェイ サブネットは、仮想ネットワークの IP アドレス範囲の一部であり、仮想ネットワーク ゲートウェイのリソースとサービスが使う IP アドレスが含まれています。

ゲートウェイ サブネットを作成するときに、サブネットに含まれる IP アドレスの数を指定します。 必要な IP アドレスの数は、作成する VPN ゲートウェイの構成によって異なります。 一部の構成では、他の構成よりも多くの IP アドレスを割り当てる必要があります。 ゲートウェイ サブネットには、/27 以上 (/26、/25 など) を指定することをお勧めします。

アドレス空間がサブネットと重複していることを示すエラーや、ご使用の仮想ネットワークのアドレス空間内にサブネットが存在しないことを示すエラーが表示された場合は、仮想ネットワークのアドレス範囲をチェックしてください。 仮想ネットワーク用に作成したアドレス範囲から、十分な IP アドレスを確保できない場合があります。 たとえば、既定のサブネットがアドレス範囲全体にわたる場合、新たに別のサブネットを作成するだけの IP アドレスは残っていません。 既存のアドレス空間内のサブネットを調整して IP アドレスを解放するか、または別のアドレス範囲を指定して、そこにゲートウェイ サブネットを作成してください。

1. [リソース、サービス、ドキュメントの検索 (G+/)] に「仮想ネットワーク ゲートウェイ」と入力します。 Marketplace の検索結果で [仮想ネットワーク ゲートウェイ] を見つけて選び、[仮想ネットワーク ゲートウェイの作成] ページを開きます。

   

2. [基本] タブで、 [プロジェクトの詳細] と [インスタンスの詳細] の各値を入力します。

   

   • サブスクリプション: 使うサブスクリプションをドロップダウン リストから選びます。

   • リソース グループ: この設定は、このページで仮想ネットワークを選ぶと自動入力されます。

   • Name:ゲートウェイに名前を付けます。 ゲートウェイの名前付けは、ゲートウェイ サブネットの名前付けと同じではありません。 作成するゲートウェイ オブジェクトの名前です。

   • リージョン: このリソースを作成するリージョンを選択します。 ゲートウェイのリージョンは、仮想ネットワークと同じである必要があります。

   • ゲートウェイの種類: [VPN] を選択します。 VPN Gateway では、仮想ネットワーク ゲートウェイの種類として VPN を使用します。

   • SKU: 使う機能をサポートするゲートウェイ SKU をドロップダウン リストから選びます。 ゲートウェイ SKU を参照してください。 ポータルのドロップダウン リストで使用できる SKU は、選んだ VPN type によって変わります。 Basic SKU は、Azure CLI または PowerShell を使用してのみ構成できます。 Azure portal で Basic SKU を構成することはできません。

   • 世代: 使用する世代を選択します。 Generation2 SKU を使用することをお勧めします。 詳細については、「ゲートウェイの SKU」を参照してください。

   • 仮想ネットワーク: ドロップダウン リストから、このゲートウェイの追加先の仮想ネットワークを選びます。 ゲートウェイを作成する仮想ネットワークが表示されない場合は、前の設定で正しいサブスクリプションとリージョンを選んでいることを確認します。

   • ゲートウェイ サブネットのアドレス範囲またはサブネット: VPN ゲートウェイを作成するには、ゲートウェイ サブネットが必要です。

     現時点でこのフィールドの動作はいくつかあり、仮想ネットワークのアドレス空間と、仮想ネットワークに GatewaySubnet というサブネットが既に作成されているかどうかに応じて変わります。

     ゲートウェイ サブネットがない場合、"かつ" このページに作成するオプションが表示されない場合は、仮想ネットワークに戻ってゲートウェイ サブネットを作成します。 次に、このページに戻って、VPN ゲートウェイを構成します。

3. [パブリック IP アドレス] の値を指定します。 これらの設定では、VPN ゲートウェイに関連付けられるパブリック IP アドレス オブジェクトを指定します。 パブリック IP アドレスは、VPN ゲートウェイの作成時に、このオブジェクトに割り当てられます。 プライマリ パブリック IP アドレスが変わるのは、ゲートウェイが削除され、再度作成されたときのみです。 VPN ゲートウェイのサイズ変更、リセット、その他の内部メンテナンス/アップグレードでは、IP アドレスは変わりません。

   

   • パブリック IP アドレスの種類: この演習では、アドレスの種類を選択するオプションがある場合は、[標準] を選択します。
   • パブリック IP アドレス : [新規作成] を選択しておいてください。
   • パブリック IP アドレス名: このテキスト ボックスに、パブリック IP アドレス インスタンスの名前を入力します。
   • パブリック IP アドレス SKU: 設定が自動的に選択されます。
   • 割り当て: 通常、割り当ては自動的に選択され、[動的] または [静的] のいずれかになります。
   • [アクティブ/アクティブ モードの有効化]: [無効] を選びます。 アクティブ/アクティブ ゲートウェイ構成を作成する場合にのみ、この設定を有効にします。
   • [BGP の構成]: 構成で特に必要ない限り、[無効] を選びます。 この設定が必要である場合、既定の ASN は 65515 です。ただし、この値は変わる場合があります。

4. [確認と作成] を選択して検証を実行します。

5. 検証に合格したら、[作成] を選んで VPN ゲートウェイをデプロイします。

デプロイの状態は、ゲートウェイの [概要] ページで確認できます。 ゲートウェイの作成後は、ポータルの VNet を調べることで、ゲートウェイに割り当てられている IP アドレスを確認できます。 ゲートウェイは、接続されたデバイスとして表示されます。

重要

ゲートウェイ サブネットを使う場合は、ゲートウェイ サブネットにネットワーク セキュリティ グループ (NSG) を関連付けないようにしてください。 ネットワーク セキュリティ グループをこのサブネットに関連付けると、仮想ネットワーク ゲートウェイ (VPN と ExpressRoute ゲートウェイ) が想定どおりに機能しなくなる可能性があります。 ネットワーク セキュリティ グループの詳細については、ネットワーク セキュリティ グループの概要に関するページを参照してください。

証明書の生成

証明書は、ポイント対サイト VPN 接続を介して VNet に接続するクライアントを認証するために、Azure によって使用されます。 ルート証明書を取得したら、公開キー情報を Azure にアップロードします。 ルート証明書は、Azure によって "信頼された" と見なされ、P2S 経由での VNet への接続に使用されます。

また、信頼されたルート証明書からクライアント証明書を生成し、それを各クライアント コンピューターにインストールします。 クライアント証明書は、クライアントで VNet への接続を開始するときに、そのクライアントを認証するために使用されます。

次のセクションでポイント対サイト構成を作成する前に、ルート証明書を生成して抽出する必要があります。

ルート証明書を生成する

ルート証明書の .cer ファイルを取得します。 エンタープライズ ソリューションを使って生成されたルート証明書を使用することも (推奨)、自己署名証明書を生成することもできます。 ルート証明書の作成後、秘密キーではなく公開証明書データを、Base64 でエンコードされた X.509 .cer ファイルとしてエクスポートします。 このファイルは、後で Azure にアップロードします。

• エンタープライズ証明書: エンタープライズ ソリューションを使用している場合は、既存の証明書チェーンを使うことができます。 使用するルート証明書の .cer ファイルを取得します。

• 自己署名ルート証明書: エンタープライズ証明書ソリューションを使用していない場合は、自己署名ルート証明書を作成します。 そうしないと、作成する証明書と P2S 接続との互換性がなくなり、クライアントが接続しようとすると接続エラー メッセージを受信するようになります。 Azure PowerShell、MakeCert、または OpenSSL を使用できます。 以下の記事の手順では、互換性のある自己署名ルート証明書を生成する方法が説明されています。

  • Windows 10 以降の PowerShell の手順: これらの手順では、Windows 10 以降を実行しているコンピューターで PowerShell が必要です。 ルート証明書から生成されるクライアント証明書は、サポートされている任意の P2S クライアントにインストールすることができます。
  • MakeCert の手順: Windows 10 以降のコンピューターにアクセスできない場合は、MakeCert を使用します。 MakeCert は非推奨になりましたが、まだ証明書を生成するに使用することができます。 ルート証明書から生成されるクライアント証明書は、サポートされている任意の P2S クライアントにインストールすることができます。
  • Linux - OpenSSL での手順
  • Linux - strongSwan での手順

クライアント証明書を生成する

お客様がポイント対サイト接続を使用して VNet に接続する各クライアント コンピューターには、クライアント証明書がインストールされていなければなりません。 ルート証明書からそれを生成し、各クライアント コンピューターにインストールします。 有効なクライアント証明書をインストールしないと、クライアントが VNet への接続を試行したときに認証が失敗します。

クライアントごとに一意の証明書を生成することも、複数のクライアントに同じ証明書を使用することもできます。 一意のクライアント証明書を生成する利点は、1 つの証明書を失効させることができる点です。 そうでなければ、複数のクライアントで同じクライアント証明書が認証に使用されていて、お客様がそれを失効させる場合に、その証明書が使用されているすべてのクライアントに対して新しい証明書を生成してインストールする必要があります。

クライアント証明書は、次の方法を使用して生成できます。

• エンタープライズ証明書:

  • エンタープライズ証明書ソリューションを使用している場合は、共通名の値の形式 name@yourdomain.com を使用してクライアント証明書を生成します。 domain name\username 形式の代わりに、この形式を使用します。

  • クライアント証明書が、ユーザー一覧の最初の項目が "クライアント認証" であるユーザー証明書テンプレートに基づいていることを確認します。 証明書を確認するには、それをダブルクリックし、 [詳細] タブの [拡張キー使用法] を表示します。

• 自己署名ルート証明書: お客様が作成するクライアント証明書が P2S 接続との互換性を備えるよう、P2S 証明書に関する以下のいずれかの記事の手順に従ってください。

  自己署名ルート証明書からクライアント証明書を生成した場合、お客様が生成に使用したコンピューターにそれが自動的にインストールされます。 クライアント証明書を別のクライアント コンピューターにインストールしたい場合は、それを .pfx ファイルとして、証明書チェーン全体と共にエクスポートします。 そうすることで、クライアントの認証に必要なルート証明書情報が含まれている .pfx ファイルが作成されます。

  これらの記事の手順では、互換性のあるクライアント証明書が生成されます。この証明書をエクスポートして配布できます。

  • Windows 10 以降の PowerShell の手順: これらの手順で証明書を生成するには、Windows 10 以降、および PowerShell が必要です。 生成される証明書は、サポートされている任意の P2S クライアントにインストールできます。

  • MakeCert の手順: 証明書を生成する Windows 10 以降のコンピューターにアクセスできない場合は、MakeCert を使用します。 MakeCert は非推奨になりましたが、まだ証明書を生成するに使用することができます。 生成される証明書は、サポートされている任意の P2S クライアントにインストールできます。

  • Linux の手順。

アドレス プールを追加する

[ポイント対サイト構成] ページには、P2S VPN に必要な構成情報が含まれています。 すべての P2S 設定が構成され、ゲートウェイが更新されると、[ポイント対サイト構成] ページを使用して P2S VPN 設定が表示または変更されます。

1. 前のセクションで作成したゲートウェイに移動します。
2. 左側のウィンドウで、[ポイント対サイト構成] を選択します。
3. [今すぐ構成] をクリックして構成ページを開きます。

クライアント アドレス プールとは、指定するプライベート IP アドレスの範囲です。 ポイント対サイト VPN 経由で接続するクライアントは、この範囲内の IP アドレスを動的に受け取ります。 接続元であるオンプレミスの場所、または接続先とする VNet と重複しないプライベート IP アドレス範囲を使用してください。 複数のプロトコルを構成するとき、SSTP がプロトコルの 1 つの場合、構成後のアドレス プールは構成されるプロトコル間で均等に分割されます。

1. [ポイント対サイトの構成] ページの [アドレス プール] ボックスに、使用するプライベート IP アドレス範囲を追加します。 VPN クライアントには、指定した範囲から動的に IP アドレスが割り当てられます。 最小のサブネット マスクは、アクティブ/パッシブ構成の場合は 29 ビット、アクティブ/アクティブ構成の場合は 28 ビットです。

2. 次に、トンネルの種類と認証の種類を構成します。

トンネルの種類と認証の種類を指定する

注意

[ポイント対サイトの構成] ページで、トンネルの種類も認証の種類も表示されない場合、ご利用のゲートウェイで使用されているのは Basic SKU です。 Basic SKU では、IKEv2 と RADIUS 認証はサポートされません。 これらの設定を使用する場合は、ゲートウェイを削除し、別のゲートウェイ SKU を使って再作成する必要があります。

このセクションでは、トンネルの種類と認証の種類を指定します。 これらの設定は、必要なトンネルの種類と、ユーザーのオペレーティング システムからの接続に使用される VPN クライアント ソフトウェアによっては、複雑になる可能性があります。 この記事の手順では、基本的な構成設定と選択肢について説明します。

ドロップダウンから複数のトンネルの種類を含むオプション ([IKEv2 と OpenVPN (SSL)]、[IKEv2 と SSTP (SSL)] など) を選択できますが、サポートされているのは、特定の組み合わせのトンネルの種類と認証の種類のみです。 たとえば、Microsoft Entra 認証は、トンネルの種類のドロップダウンから OpenVPN (SSL) 選択した場合にのみ使用でき、IKEv2 と OpenVPN (SSL) は使用できません。

さらに、選択したトンネルの種類と認証の種類は、Azure への接続に使用できる VPN クライアント ソフトウェアに影響を与えます。 VPN クライアント ソフトウェアの中には、IKEv2 経由でのみ接続できるものや、OpenVPN 経由でのみ接続できるものがあります。 また、一部のクライアント ソフトウェアでは、特定のトンネルの種類がサポートされているが、選択した認証の種類がサポートされていない場合があります。

したがって、さまざまなオペレーティング システムから接続される多様な VPN クライアントがある場合は、トンネルの種類と認証の種類を計画することが重要となります。 Azure 証明書認証と組み合わせてトンネルの種類を選択する場合は、次の条件を考慮してください。 その他の認証の種類には、それぞれ異なる考慮事項があります。

• Windows:

  • オペレーティング システムに既にインストールされているネイティブ VPN クライアント経由で接続される Windows コンピューターでは、最初に IKEv2 が試行され、接続されない場合は SSTP にフォールバックします (トンネルの種類のドロップダウンから IKEv2 と SSTP の両方を選択した場合)。
  • トンネルの種類 OpenVPN を選択した場合は、OpenVPN クライアントまたは Azure VPN クライアントを使用して接続できます。
  • Azure VPN クライアントでは、カスタム ルートや強制トンネリングなどの追加のオプション構成設定をサポートできます。

• macOS および iOS:

  • iOS および macOS 用のネイティブ VPN クライアントでは、Azure への接続にトンネルの種類 IKEv2 のみを使用できます。
  • 現時点では、トンネルの種類 OpenVPN を選択した場合でも、証明書認証で Azure VPN クライアントはサポートされていません。
  • 証明書認証でトンネルの種類 OpenVPN を使用する場合は、OpenVPN クライアントを使用できます。
  • macOS の場合、OpenVPN トンネルの種類と Microsoft Entra 認証 (証明書認証ではなく) で Azure VPN クライアントを使用できます。

• Android および Linux:

  • Android および Linux 上の strongSwan クライアントでは、接続にトンネルの種類 IKEv2 のみを使用できます。 トンネルの種類 OpenVPN を使用する場合は、別の VPN クライアントを使用します。

トンネルの種類

[ポイント対サイトの構成] ページで、 [トンネルの種類] を選択します。 この演習では、ドロップダウンから [IKEv2 と OpenVPN(SSL)] を選択します。

認証の種類

この演習では、認証の種類として [Azure 証明書] を選択します。 他の認証の種類に関心がある場合は、Microsoft Entra ID と RADIUS に関する記事を参照してください。

ルート証明書の公開キー情報のアップロード

このセクションでは、公開ルート証明書データを Azure にアップロードします。 公開証明書データがアップロードされたら、Azure でそれを使用し、信頼されたルート証明書から生成されたクライアント証明書がインストールされているクライアントを認証できます。

1. ルート証明書を Base 64 でエンコードされた X.509 (.CER) ファイルとして、エクスポートしたことをご確認ください。 証明書をテキスト エディターで開くことができるように、この形式でエクスポートする必要があります。 秘密キーをエクスポートする必要はありません。

2. 証明書をメモ帳などのテキスト エディターで開きます。 証明書データをコピーするときはに、必ず、テキストを復帰や改行のない 1 つの連続した行としてコピーしてください。 復帰や改行を確認するには、テキスト エディターのビューを "記号を表示する/すべての文字を表示する" ように変更することが必要になる場合があります。 次のセクションのみを 1 つの連続した行としてコピーします。

   

3. [ルート証明書] セクションで [仮想ネットワーク ゲートウェイ] -> [ポイント対サイトの構成] ページに移動します。 このセクションは、認証の種類として [Azure 証明書] を選択した場合にのみ表示されます。

4. [ルート証明書] セクションで、最大 20 個の信頼されたルート証明書を追加できます。

   • [公開証明書データ] フィールドに証明書データを貼り付けます。
   • 証明書に名前を付けます。

   

5. この演習では、追加のルートは必要ありません。 カスタム ルーティング機能の詳細については、カスタム ルートのアドバタイズに関するページを参照してください。

6. ページの上部にある [保存] を選択して、構成設定をすべて保存します。

   

エクスポートしたクライアント証明書をインストールする

接続する各 VPN クライアントには、クライアント証明書が必要です。 クライアント証明書を生成すると、通常、使用したコンピューターにクライアント証明書が自動的にインストールされます。 別のコンピューターから P2S 接続を作成する場合は、接続するコンピューターにクライアント証明書をインストールする必要があります。 クライアント証明書をインストールするときに、クライアント証明書のエクスポート時に作成されたパスワードが必要になります。

クライアント証明書が証明書チェーン全体と一緒に .pfx としてエクスポートされている (既定値) ことを確認します。 そうでないと、ルート証明書情報がクライアント コンピューターに存在せず、クライアントは正しく認証されません。

インストールの手順については、クライアント証明書のインストールに関するページを参照してください。

VPN クライアントの構成と Azure への接続

各 VPN クライアントは、生成してダウンロードした VPN クライアント プロファイル構成パッケージ内のファイルを使って構成されます。 構成パッケージには、作成した VPN ゲートウェイに固有の設定が含まれています。 トンネルの種類、証明書、認証の種類を変更するなど、ゲートウェイに変更を加えた場合は、別の VPN クライアント プロファイル構成パッケージを生成して、各クライアントにインストールする必要があります。 そうしないと、VPN クライアントが接続できなくなる可能性があります。

VPN クライアント プロファイル構成パッケージの生成、VPN クライアントの構成、Azure への接続の手順については、以下の記事を参照してください。

• Windows
• macOS-iOS
• Linux

接続を確認するには

ここで紹介する手順は、Windows クライアントに適用されます。

1. VPN 接続がアクティブであることを確認するには、管理者特権でのコマンド プロンプトを開いて、 ipconfig/allを実行します。

2. 結果を表示します。 受信した IP アドレスが、構成で指定したポイント対サイト VPN クライアント アドレス プール内のアドレスのいずれかであることに注意してください。 結果は次の例のようになります。

   PPP adapter VNet1:
      Connection-specific DNS Suffix .:
      Description.....................: VNet1
      Physical Address................:
      DHCP Enabled....................: No
      Autoconfiguration Enabled.......: Yes
      IPv4 Address....................: 172.16.201.3(Preferred)
      Subnet Mask.....................: 255.255.255.255
      Default Gateway.................:
      NetBIOS over Tcpip..............: Enabled
   

仮想マシンに接続するには:

ここで紹介する手順は、Windows クライアントに適用されます。

VM へのリモート デスクトップ接続を作成すると、仮想ネットワークにデプロイされている VM に接続できます。 VM に接続できるかどうかを初めて確認する際に最も良い方法は、その VM のコンピューター名ではなく、プライベート IP アドレスを使って接続してみることです。 この方法であれば、名前の解決が適切に構成されているかではなく、VM に接続できるかどうかをテストすることができます。

1. プライベート IP アドレスを特定します。 VM のプライベート IP アドレスは、Azure portal で VM のプロパティを表示するか、PowerShell を使うと確認できます。

   • Azure portal: Azure portal で VM を見つけます。 VM のプロパティを表示すると、 プライベート IP アドレスが表示されます。

   • PowerShell: この例を使って、リソース グループの VM とプライベート IP アドレスの一覧を表示します。 このコマンドは、使用前に変更を加える必要はありません。

     $VMs = Get-AzVM
     $Nics = Get-AzNetworkInterface | Where-Object VirtualMachine -ne $null
     
     foreach ($Nic in $Nics) {
     $VM = $VMs | Where-Object -Property Id -eq $Nic.VirtualMachine.Id
     $Prv = $Nic.IpConfigurations | Select-Object -ExpandProperty PrivateIpAddress
     $Alloc = $Nic.IpConfigurations | Select-Object -ExpandProperty PrivateIpAllocationMethod
     Write-Output "$($VM.Name): $Prv,$Alloc"
     }
     

2. 仮想ネットワークに接続されていることを確認します。

3. タスク バーの検索ボックスに「RDP」または「リモート デスクトップ接続」と入力して、リモート デスクトップ接続を開きます。 次に、[リモート デスクトップ接続] を選びます。 このほか、PowerShell で mstsc コマンドを使ってリモート デスクトップ接続を開くこともできます。

4. リモート デスクトップ接続で、VM のプライベート IP アドレスを入力します。 [オプションの表示] を選んでその他の設定を調整してから、接続できます。

VPN 接続を使って VM に接続する際に問題が発生した場合には、次の点を確認してください。

• VPN 接続が成功したことを確認します。
• VM のプライベート IP アドレスに接続していることを確認します。
• プライベート IP アドレスを使って VM に接続できるものの、コンピューター名では接続できない場合には、DNS が正しく構成されているかどうかを確認します。 VM の名前解決のしくみについては、VM の名前解決に関するページを参照してください。

詳細については、VM に対するリモート デスクトップ接続のトラブルシューティングに関するページを参照してください。

• VNet に対して DNS サーバーの IP アドレスが指定された後に VPN クライアント構成パッケージが生成されたことを確認します。 DNS サーバーの IP アドレスを更新した場合は、新しい VPN クライアント構成パッケージを生成してインストールしてください。

• 接続元のコンピューターのイーサネット アダプターに割り当てられている IPv4 アドレスを 'ipconfig' を使用して確認します。 その IP アドレスが、接続先の VNet のアドレス範囲内または VPNClientAddressPool のアドレス範囲内にある場合、これを "アドレス空間の重複" といいます。 アドレス空間がこのように重複していると、ネットワーク トラフィックが Azure に到達せずローカル ネットワーク上に留まることになります。

信頼されたルート証明書を追加または削除するには

信頼されたルート証明書を Azure に追加したり、Azure から削除したりできます。 ルート証明書を削除すると、そのルートから証明書を生成したクライアントは認証が無効となり、接続できなくなります。 クライアントの認証と接続を正常に実行できるようにするには、Azure に信頼されている (Azure にアップロードされている) ルート証明書から生成した新しいクライアント証明書をインストールする必要があります。

信頼されたルート証明書 .cer ファイルを最大 20 個まで Azure に追加できます。 手順については、信頼されたルート証明書のアップロードに関するセクションを参照してください。

信頼されたルート証明書を削除するには

1. ご利用の仮想ネットワーク ゲートウェイの [ポイント対サイトの構成] ページに移動します。
2. ページの [ルート証明書] セクションで、削除する証明書を見つけます。
3. 証明書の横にある省略記号を選んでから、 [削除] を選択します。

クライアント証明書を失効させるには

クライアント証明書は失効させることができます。 証明書失効リストを使用すると、個々のクライアント証明書に基づく P2S 接続を選択して拒否することができます。 これは、信頼されたルート証明書を削除することとは異なります。 信頼されたルート証明書 .cer を Azure から削除すると、失効したルート証明書によって生成または署名されたすべてのクライアント証明書のアクセス権が取り消されます。 ルート証明書ではなくクライアント証明書を失効させることで、ルート証明書から生成されたその他の証明書は、その後も認証に使用できます。

一般的な方法としては、ルート証明書を使用してチームまたは組織レベルでアクセスを管理し、失効したクライアント証明書を使用して、個々のユーザーの細かいアクセス制御を構成します。

失効リストに拇印を追加することで、クライアント証明書を失効させることができます。

1. クライアント証明書の拇印を取得します。 詳細については、「方法: 証明書のサムプリントを取得する」を参照してください。
2. 情報をテキスト エディターにコピーし、文字列が 1 つにつながるようにスペースをすべて削除します。
3. 仮想ネットワーク ゲートウェイの [ポイント対サイトの構成] ページに移動します。 このページは、信頼されたルート証明書のアップロードに使用したものです。
4. [失効した証明書] セクションで、証明書のフレンドリ名を入力します (証明書 CN にする必要はありません)。
5. 拇印の文字列をコピーして [拇印] フィールドに貼り付けます。
6. 拇印が検証され、自動的に失効リストに追加されます。 リストが更新されていることを示すメッセージが画面に表示されます。
7. 更新が完了した後は、証明書を接続に使用することができなくなります。 この証明書を使用して接続を試みたクライアントには、証明書が無効になっていることを示すメッセージが表示されます。

ポイント対サイトに関する FAQ

よくあるご質問については、FAQ を参照してください。

次のステップ

接続が完成したら、VNet に仮想マシンを追加することができます。 詳細については、Virtual Machines に関するページを参照してください。 ネットワークと仮想マシンの詳細については、「Azure と Linux の VM ネットワークの概要」を参照してください。

P2S のトラブルシューティング情報については、Azure ポイント対サイト接続のトラブルシューティングに関するページを参照してください。