다음을 통해 공유

P2S VPN Gateway 인증서 인증을 위한 서버 설정 구성

  • 아티클

이 문서는 Windows, Linux 또는 macOS를 실행하는 개별 클라이언트를 Azure VNet(가상 네트워크)에 안전하게 연결하는 데 필요한 VPN Gateway P2S(지점 및 사이트 간) 서버 설정을 구성하는 데 도움이 됩니다. P2S VPN 연결은 집이나 회의에서 재택 근무하는 경우와 같이 원격 위치에서 가상 네트워크에 연결하려는 경우에 유용합니다. 가상 네트워크에 연결해야 하는 클라이언트가 몇 개뿐인 경우 S2S(사이트 간) VPN 대신 P2S를 사용할 수도 있습니다.

P2S 연결에는 VPN 디바이스나 공용 IP 주소가 필요하지 않습니다. P2S에 사용할 수 있는 다양한 구성 옵션이 있습니다. 지점 및 사이트 간 VPN에 대한 자세한 내용은 지점 및 사이트 간 VPN 정보를 참조하세요.

컴퓨터에서 Azure 가상 네트워크로 연결하는 방법을 보여 주는 지점 및 사이트 간 연결 다이어그램

이 문서의 단계에서는 Azure Portal을 사용하여 지점 및 사이트 간의 인증서 인증을 위해 Azure VPN Gateway를 구성합니다.

P2S Azure 인증서 인증 연결은 다음 항목을 사용합니다.

  • 경로 기반 VPN Gateway(정책 기반 아님) VPN 형식에 대한 자세한 내용은 VPN Gateway 설정을 참조하세요.
  • Azure에 업로드된 루트 인증서에 대한 공개 키(.cer 파일)입니다. 인증서가 업로드되면 신뢰할 수 있는 인증서로 간주되며 인증에 사용됩니다.
  • 루트 인증서에서 생성된 클라이언트 인증서. 클라이언트 인증서는 VNet에 연결할 각 클라이언트 컴퓨터에 설치됩니다. 이 인증서는 클라이언트 인증을 위해 사용 됩니다.
  • VPN 클라이언트 구성 파일. VPN 클라이언트는 VPN 클라이언트 구성 파일을 사용하여 구성됩니다. 이러한 파일에는 클라이언트를 VNet에 연결하는 데 필요한 정보가 포함됩니다. 연결되는 각 클라이언트는 구성 파일에서 설정을 사용하여 구성해야 합니다.

필수 조건

이 문서에서는 다음 필수 조건을 가정합니다.

  • Azure 가상 네트워크
  • 만들려는 P2S 구성 및 연결 VPN 클라이언트와 호환되는 경로 기반 VPN 게이트웨이입니다. 필요한 P2S 구성을 확인하려면 VPN 클라이언트 테이블을 참조 하세요. 게이트웨이에서 기본 SKU를 사용하는 경우 기본 SKU에 P2S 제한이 있으며 IKEv2 또는 RADIUS 인증을 지원하지 않는다는 것을 이해합니다. 자세한 내용은 게이트웨이 SKU 정보를 참조하세요.

만들려는 P2S 구성과 호환되는 작동하는 VPN 게이트웨이가 아직 없는 경우 VPN 게이트웨이 만들기 및 관리를 참조하세요. 호환되는 VPN Gateway를 만든 다음 이 문서로 돌아와 P2S 설정을 구성합니다.

인증서 생성

인증서는 Azure에서 지점 및 사이트간 VPN 연결을 통해 가상 네트워크에 연결하는 클라이언트를 인증하는 데 사용됩니다. 루트 인증서를 얻었으면 Azure에 공개 키 정보를 업로드합니다. 그러면 루트 인증서는 P2S를 통한 가상 네트워크 연결을 위해 Azure에서 '신뢰할 수 있는' 것으로 간주됩니다.

또한 신뢰할 수 있는 루트 인증서에서 클라이언트 인증서를 생성한 후 각 클라이언트 컴퓨터에 인증서를 설치합니다. 클라이언트 인증서는 가상 네트워크에 대한 연결을 시작할 때 해당 클라이언트를 인증하는 데 사용됩니다.

지점 및 사이트 간 게이트웨이 설정을 구성하기 전에 루트 인증서를 생성하고 추출해야 합니다.

루트 인증서 생성

루트 인증서용 .cer 파일을 가져옵니다. 엔터프라이즈 솔루션을 사용하여 생성된 루트 인증서를 사용하거나(추천) 자체 서명된 인증서를 생성할 수 있습니다. 루트 인증서가 만들어지면 공용 인증서 데이터(프라이빗 키 아님)를 Base64로 인코딩된 X.509 .cer 파일로 내보냅니다. 이 파일은 나중에 Azure에 업로드합니다.

  • 엔터프라이즈 인증서: 엔터프라이즈 솔루션을 사용하는 경우 기존 인증서 체인을 사용할 수 있습니다. 사용하려는 루트 인증서용 .cer 파일을 획득합니다.

  • 자체 서명된 루트 인증서: 엔터프라이즈 인증서 솔루션을 사용하지 않는 경우 자체 서명된 루트 인증서를 만듭니다. 그렇지 않으면 만든 인증서가 P2S 연결과 호환되지 않으며, 연결하려고 할 때 연결 오류 메시지가 클라이언트에 표시됩니다. Microsoft Azure PowerShell, MakeCert, 또는 OpenSSL을 사용할 수 있습니다. 다음 문서의 단계에서는 호환되는 자체 서명된 루트 인증서를 생성하는 방법을 설명합니다.

    • Windows 10 이상에 대한 PowerShell 지침: 이러한 지침에서는 Windows 10 이상을 실행하는 컴퓨터에 PowerShell이 필요합니다. 루트 인증서에서 생성된 클라이언트 인증서는 지원되는 모든 P2S 클라이언트에 설치할 수 있습니다.
    • MakeCert 지침: Windows 10 이상을 실행하는 컴퓨터에 액세스할 수 없는 경우 MakeCert를 사용하여 인증서를 생성합니다. MakeCert는 더 이상 사용되지 않지만, 인증서를 생성하는 데에는 여전히 사용할 수 있습니다. 루트 인증서에서 생성한 클라이언트 인증서는 지원되는 모든 P2S 클라이언트에 설치할 수 있습니다.
    • Linux - OpenSSL 지침
    • Linux - StrongSwan 지침

클라이언트 인증서 생성

지점 및 사이트 간 연결을 사용하여 VNet에 연결하는 각 클라이언트 컴퓨터에는 클라이언트 인증서가 설치되어 있어야 합니다. 이 인증서는 루트 인증서에서 생성하여 각 클라이언트 컴퓨터에 설치합니다. 유효한 클라이언트 인증서를 설치하지 않으면 클라이언트에서 VNet에 연결하려고 할 때 인증이 실패합니다.

연결할 각 클라이언트에 대해 고유한 인증서를 생성하거나 여러 클라이언트에서 동일한 인증서를 사용할 수 있습니다. 고유한 클라이언트 인증서를 생성하면 단일 인증서를 해지할 수 있는 장점이 있습니다. 그렇지 않으면 여러 클라이언트에서 인증하는 데 동일한 클라이언트 인증서를 사용하지만 이 인증서를 철회하는 경우 해당 인증서를 사용하는 모든 클라이언트에 대해 새 인증서를 생성하여 설치해야 합니다.

클라이언트 인증서는 다음 메서드를 사용하여 생성할 수 있습니다.

  • 엔터프라이즈 인증서:

    • 엔터프라이즈 인증서 솔루션을 사용하는 경우 클라이언트 인증서를 일반적인 이름 값 형식(name@yourdomain.com)으로 생성합니다. 도메인 이름\사용자 이름 형식 대신 이 형식을 사용합니다.

    • 클라이언트 인증서가 사용자 목록의 첫 번째 항목으로 나열된 클라이언트 인증이 있는 사용자 인증서 템플릿을 기반으로 하는지 확인합니다. 인증서를 두 번 클릭하고 세부 정보 탭에서 확장된 키 사용을 확인하여 해당 인증서를 확인합니다.

  • 자체 서명된 루트 인증서: 다음 P2S 인증서 문서 중 하나의 단계에 따라 생성하는 클라이언트 인증서가 P2S 연결과 호환될 수 있도록 합니다.

    자체 서명된 루트 인증서에서 클라이언트 인증서를 생성하는 경우 이를 생성하는 데 사용한 컴퓨터에 자동으로 설치됩니다. 다른 클라이언트 컴퓨터에 클라이언트 인증서를 설치하려면 전체 인증서 체인과 함께 .pfx 파일로 내보냅니다. 이렇게 하면 클라이언트에서 인증하는 데 필요한 루트 인증서 정보가 포함된 .pfx 파일이 만들어집니다.

    이 문서의 단계를 통해 호환되는 클라이언트 인증서를 생성하고 이를 내보내어 배포할 수 있습니다.

    • Windows 10 이상 PowerShell 지침: 이 지침을 사용하려면 Windows 10 이상이 필요하고 PowerShell에서 인증서를 생성해야 합니다. 생성된 인증서는 지원되는 모든 P2S 클라이언트에 설치할 수 있습니다.

    • MakeCert 지침: 인증서 생성을 위해 Windows 10 이상 컴퓨터에 액세스할 수 없는 경우 MakeCert를 사용합니다. MakeCert는 더 이상 사용되지 않지만, 인증서를 생성하는 데에는 여전히 사용할 수 있습니다. 생성된 인증서는 지원되는 모든 P2S 클라이언트에 설치할 수 있습니다.

    • Linux: strongSwan 또는 OpenSSL 지침을 참조하세요.

VPN 클라이언트 주소 풀 추가

클라이언트 주소 풀은 사용자가 지정한 개인 IP 주소 범위입니다. 지점 및 사이트 간 VPN을 통해 연결하는 클라이언트는 동적으로 이 범위의 IP 주소를 수신합니다. 연결 원본이 되는 온-프레미스 위치 또는 연결 대상이 되는 VNet과 겹치지 않는 개인 IP 주소 범위를 사용합니다. 여러 프로토콜을 구성하고 SSTP가 프로토콜 중 하나인 경우 구성된 주소 풀이 구성된 프로토콜 간에 동일하게 분할됩니다.

  1. Azure Portal에서 VPN Gateway로 이동합니다.

  2. 게이트웨이 페이지의 왼쪽 창에서 지점 및 사이트 간 구성을 선택합니다.

  3. 지금 구성을 클릭하여 구성 페이지를 엽니다.

    지점 및 사이트 간 구성 페이지 - 주소 풀의 스크린샷

  4. 지점-사이트 간 구성 페이지의 주소 풀 상자에서 사용하려는 개인 IP 주소 범위를 추가합니다. VPN 클라이언트는 동적으로 지정된 범위에서 IP 주소를 수신합니다. 최소 서브넷 마스크는 활성/수동 구성의 경우 29비트이고 활성/활성 구성의 경우 28비트입니다.

  5. 추가 설정을 구성하려면 다음 섹션을 계속 진행합니다.

터널 및 인증 유형 지정

이 섹션에서는 터널 유형 및 인증 유형을 지정합니다. 이러한 설정은 복잡해질 수 있습니다. 드롭다운에서 IKEv2, OpenVPN(SSL) 또는 IKEv2 및 SSL(SSTP)과 같은 여러 터널 형식이 포함된 옵션을 선택할 수 있습니다. 터널 유형 및 인증 유형의 특정 조합만 사용할 수 있습니다.

터널 유형 및 인증 유형은 Azure에 연결하는 데 사용할 VPN 클라이언트 소프트웨어에 해당해야 합니다. 다양한 VPN 클라이언트가 다른 운영 체제에서 연결하는 경우 터널 유형 및 인증 유형을 계획하는 것이 중요합니다. 다음 표에서는 VPN 클라이언트 소프트웨어와 관련된 사용 가능한 터널 유형 및 인증 유형을 보여줍니다.

VPN 클라이언트 테이블

인증 터널 종류 클라이언트 OS VPN 클라이언트
인증서
IKEv2, SSTP Windows 네이티브 VPN 클라이언트
IKEv2 macOS 네이티브 VPN 클라이언트
IKEv2 Linux strongSwan
OpenVPN Windows Azure VPN 클라이언트
OpenVPN 클라이언트 버전 2.x
OpenVPN 클라이언트 버전 3.x
OpenVPN macOS OpenVPN 클라이언트
OpenVPN iOS OpenVPN 클라이언트
OpenVPN Linux Azure VPN Client
OpenVPN 클라이언트
Microsoft Entra ID
OpenVPN Windows Azure VPN 클라이언트
OpenVPN macOS Azure VPN Client
OpenVPN Linux Azure VPN Client

참고 항목

지점 및 사이트 간 구성 페이지에서 터널 유형 또는 인증 유형이 표시되지 않으면 게이트웨이에서 기본 SKU를 사용하고 있는 것입니다. 기본 SKU는 IKEv2 또는 RADIUS 인증을 지원하지 않습니다. 해당 설정을 사용하려면 다른 게이트웨이 SKU를 사용하여 게이트웨이를 삭제하고 다시 만들어야 합니다.

  1. 터널 형식의 경우 사용하려는 터널 유형을 선택합니다. 이 연습에서는 드롭다운에서 IKEv2 및 OpenVPN(SSL)을 선택합니다.

  2. 인증 유형의 경우 드롭다운에서 Azure 인증서를 선택합니다.

    지점 및 사이트 간 구성 페이지 - 인증 유형의 스크린샷

다른 공용 IP 주소 추가

활성-활성 모드 게이트웨이가 있는 경우 지점 및 사이트 간의 구성을 위해 세 번째 공용 IP 주소를 지정해야 합니다. 이 예제에서는 예제 값 VNet1GWpip3을 사용하여 세 번째 공용 IP 주소를 만듭니다. 게이트웨이가 활성-활성 모드가 아닌 경우 다른 공용 IP 주소를 추가할 필요가 없습니다.

지점 및 사이트 간의 구성 페이지- 공용 IP 주소의 스크린샷

루트 인증서 공개 키 정보 업로드

이 섹션에서는 공용 루트 인증서 데이터를 Azure에 업로드합니다. 공용 인증서 데이터가 업로드되면 Azure는 이를 사용하여 연결 클라이언트를 인증합니다. 연결 클라이언트에는 신뢰할 수 있는 루트 인증서에서 생성된 설치된 클라이언트 인증서가 있습니다.

  1. 이전 단계에서 루트 인증서를 Base-64 인코딩된 X.509(.CER) 파일로 내보내야 합니다. 이 형식으로 내보내야 텍스트 편집기에서 인증서를 열 수 있습니다. 프라이빗 키를 내보낼 필요가 없습니다.

  2. 메모장과 같은 텍스트 편집기에서 인증서를 엽니다. 인증서 데이터를 복사할 때 텍스트를 한 줄 연속 줄로 복사해야 합니다.

    인증서의 데이터 스크린샷.

  3. 루트 인증서 섹션의 가상 네트워크 게이트웨이 -> 지점 및 사이트 간의 구성 페이지 이동합니다. 이 섹션은 인증 유형에 대해 Azure 인증서를 선택한 경우에만 표시됩니다.

  4. 루트 인증서 섹션에서 최대 20개의 신뢰할 수 있는 루트 인증서를 추가할 수 있습니다.

    • 인증서 데이터를 공용 인증서 데이터 필드에 붙여넣습니다.
    • 인증서의 이름을 지정합니다.

    인증서 데이터 필드의 스크린샷

  5. 이 연습에는 추가 경로가 필요하지 않습니다. 사용자 지정 라우팅 기능에 대한 자세한 내용은 사용자 지정 경로 보급을 참조하세요.

  6. 페이지 위쪽에서 저장을 선택하여 모든 구성 설정을 저장합니다.

VPN 클라이언트 프로필 구성 파일 생성

VPN 클라이언트에 필요한 모든 구성 설정은 VPN 클라이언트 프로필 구성 zip 파일에 포함되어 있습니다. VPN 클라이언트 프로필 구성 파일은 가상 네트워크에 대한 P2S VPN 게이트웨이 구성과 관련이 있습니다. 파일을 생성한 후 VPN 프로토콜 유형 또는 인증 유형 변경과 같이 P2S VPN 구성을 변경한 경우 새 VPN 클라이언트 프로필 구성 파일을 생성하고 연결하려는 모든 VPN 클라이언트에 새 구성을 적용해야 합니다. P2S 연결에 대한 자세한 내용은 지점 및 사이트 간 VPN 정보를 참조하세요.

클라이언트 프로필 구성 파일은 PowerShell 또는 Azure Portal을 사용하여 생성할 수 있습니다. 다음 예에서는 두 가지 방법을 모두 보여 줍니다. 두 메서드 모두 동일한 zip 파일을 반환합니다.

Azure Portal

  1. Azure Portal에서 연결하려는 가상 네트워크의 가상 네트워크 게이트웨이로 이동합니다.

  2. 가상 네트워크 게이트웨이에서 지점 및 사이트 간 구성을 클릭하여 지점 및 사이트 간 구성 페이지를 엽니다.

  3. 지점 및 사이트 간 구성 페이지의 맨 위에서 VPN 클라이언트 다운로드를 선택합니다. 이는 VPN 클라이언트 소프트웨어를 다운로드 하지 않으며 VPN 클라이언트를 구성하는 데 사용되는 구성 패키지를 생성합니다. 클라이언트 구성 패키지를 생성하는 데 몇 분이 소요됩니다. 이 시간 동안에는 패킷이 생성될 때까지 표시가 표시되지 않을 수 있습니다.

    지점 및 사이트 간 구성 페이지 스크린샷

  4. 구성 패키지가 생성되면 브라우저에 클라이언트 구성 zip 파일을 사용할 수 있음이 표시됩니다. 게이트웨이와 동일한 이름이 지정됩니다.

  5. 파일의 압축을 풀어 폴더를 확인합니다. 이러한 파일의 일부 또는 전부를 사용하여 VPN 클라이언트를 구성합니다. 생성된 파일은 P2S 서버에서 구성한 인증과 터널 유형 설정에 해당합니다.

VPN 클라이언트 구성 및 Azure에 연결

VPN 클라이언트를 구성하고 Azure에 연결하는 단계는 터널 및 인증 유형 지정 섹션의 VPN 클라이언트 테이블을 참조하세요. 이 표에는 VPN 클라이언트 소프트웨어를 구성하는 자세한 단계를 제공하는 문서에 대한 링크가 포함되어 있습니다.

신뢰할 수 있는 루트 인증서 추가 또는 제거

Azure에서 신뢰할 수 있는 루트 인증서를 추가 및 제거할 수 있습니다. 루트 인증서를 제거하면 해당 루트에서 생성된 인증서가 있는 클라이언트는 인증할 수 없으므로 연결할 수 없습니다. 클라이언트를 인증하고 연결하려는 경우 Azure에 (업로드된)신뢰할 수 있는 루트 인증서에서 생성된 새 클라이언트 인증서를 설치해야 합니다.

Azure에 최대 20개의 신뢰할 수 있는 루트 인증서 .cer 파일을 추가할 수 있습니다. 지침은 신뢰할 수 있는 루트 인증서 업로드 섹션을 참조하세요.

신뢰할 수 있는 루트 인증서를 제거하려면 다음을 수행합니다.

  1. 가상 네트워크 게이트웨이에 대한 지점 및 사이트 간 구성 페이지로 이동합니다.
  2. 페이지의 루트 인증서 섹션에서 제거할 인증서를 찾습니다.
  3. 인증서 옆의 줄임표를 선택한 다음, 제거를 선택합니다.

클라이언트 인증서 해지

클라이언트 인증서를 해지할 수 있습니다. 인증서 해지 목록을 사용하면 필요에 따라 개별 클라이언트 인증서를 기반으로 하는 P2S 연결을 거부할 수 있습니다. 이것은 신뢰할 수 있는 루트 인증서를 제거하는 것과 다릅니다. Azure에서 신뢰할 수 있는 루트 인증서 .cer를 제거하면, 해지된 루트 인증서로 생성/서명된 모든 클라이언트 인증서에 대한 액세스 권한도 해지됩니다. 루트 인증서가 아닌 클라이언트 인증서를 해지하면 루트 인증서에서 생성된 다른 인증서를 인증에 계속 사용할 수 있습니다.

해지된 클라이언트 인증서를 사용하는 동안 개별 사용자의 세분화된 액세스 제어를 위해 일반적으로 루트 인증서를 사용하여 팀 또는 조직 수준에서 액세스를 관리합니다.

해지 목록에 지문을 추가하여 클라이언트 인증서를 해지할 수 있습니다.

  1. 클라이언트 인증서 지문을 검색합니다. 자세한 내용은 인증서의 지문을 검색하는 방법을 참조하세요.
  2. 텍스트 편집기에 정보를 복사하고 연속 문자열이 되도록 공백을 모두 제거합니다.
  3. 가상 네트워크 게이트웨이 지점 및 사이트 간 구성 페이지로 이동합니다. 신뢰할 수 있는 루트 인증서를 업로드하는 데 사용한 것과 동일한 페이지입니다.
  4. 해지된 인증서 섹션에서 인증서에 대한 이름(인증서 CN이 아니어도 됨)을 입력합니다.
  5. 지문 문자열을 지문 필드에 복사하여 붙여 넣습니다.
  6. 지문의 유효성이 검사되고 해당 지문이 해지 목록에 자동으로 추가됩니다. 목록이 업데이트되고 있음을 알리는 메시지가 화면에 표시됩니다.
  7. 업데이트가 완료된 후에는 인증서를 더 이상 연결에 사용할 수 없습니다. 이 인증서를 사용하여 연결하려는 클라이언트는 인증서가 더 이상 유효하지 않다고 하는 메시지를 받습니다.

지점 및 사이트 간 연결 FAQ

자주 묻는 질문은 FAQ를 참조하세요.

다음 단계

연결이 완료되면 가상 네트워크에 가상 머신을 추가할 수 있습니다. 자세한 내용은 Virtual Machines를 참조하세요. 네트워킹 및 가상 머신에 대한 자세한 내용은 Azure 및 Linux VM 네트워크 개요를 참조하세요.

P2S 문제 해결 정보는 Azure 지점 및 사이트 간 연결 문제 해결을 참조하세요.