Поделиться через

Настройка параметров сервера для проверки подлинности сертификата P2S VPN-шлюз

  • Статья

Эта статья поможет настроить необходимые параметры сервера VPN-шлюз типа "точка — сеть" (P2S), чтобы обеспечить безопасное подключение отдельных клиентов под управлением Windows, Linux или macOS к виртуальной сети Azure. VPN-подключения P2S полезны, если вы хотите подключиться к виртуальной сети из удаленного расположения, например при телекоммуникации из дома или конференции. Вы также можете использовать P2S вместо VPN типа "сеть — сеть" (S2S), если у вас есть только несколько клиентов, которые должны подключаться к виртуальной сети.

Для подключения P2S не требуется VPN-устройство или общедоступный IP-адрес. Существуют различные варианты конфигурации, доступные для P2S. Дополнительные сведения см. в статье О VPN-подключении типа "точка — сеть".

Схема подключения типа

Действия, описанные в этой статье, используют портал Azure для настройки VPN-шлюза Azure для проверки подлинности сертификата типа "точка — сеть".

Подключения проверки подлинности сертификатов Azure P2S используют следующие элементы:

  • VPN-шлюз на основе маршрутов (не на основе политик). Дополнительные сведения о типе VPN см. в разделе VPN-шлюз параметров.
  • Открытый ключ (CER-файл) для корневого сертификата, импортированный в Azure. После отправки сертификата он считается доверенным сертификатом и используется для проверки подлинности.
  • Сертификат клиента, созданный на основе корневого сертификата. Сертификат клиента, установленный на каждом клиентском компьютере, который будет подключен к виртуальной сети. Этот сертификат используется для проверки подлинности клиента.
  • Файлы конфигурации VPN-клиента. VPN-клиент настраивается с помощью файлов конфигурации VPN-клиента. Эти файлы содержат информацию, необходимую для подключения клиента к виртуальной сети. Перед подключением каждый клиент нужно настроить, используя параметры в файлах конфигурации.

Необходимые компоненты

В этой статье предполагается следующее:

  • Виртуальная сеть Azure.
  • VPN-шлюз на основе маршрутов, совместимый с конфигурацией P2S, которая требуется создать и подключить VPN-клиенты. Чтобы определить необходимую конфигурацию P2S, ознакомьтесь с таблицей VPN-клиента. Если шлюз использует номер SKU "Базовый", понять, что номер SKU уровня "Базовый" имеет ограничения P2S и не поддерживает проверку подлинности IKEv2 или RADIUS. Дополнительные сведения см. в разделе "Сведения о номерах SKU шлюза".

Если у вас еще нет работающего VPN-шлюза, совместимого с конфигурацией P2S, которую вы хотите создать, см. статью "Создание VPN-шлюза и управление ими". Создайте совместимый VPN-шлюз, а затем вернитесь к этой статье для настройки параметров P2S.

Создание сертификатов

Сертификаты используются Azure для проверки подлинности клиентов, подключающихся к виртуальной сети через VPN-подключение типа "точка — сеть". После получения корневого сертификата необходимо отправить сведения об открытом ключе в Azure. После этого действия корневой сертификат считается "доверенным" в Azure для подключения к виртуальной сети через подключение типа "точка — сеть".

Необходимо также создать сертификат клиента на основе доверенного корневого сертификата, а затем установить их на каждом клиентском компьютере. Сертификат клиента используется для проверки подлинности клиента при запуске подключения к виртуальной сети.

Корневой сертификат необходимо создать и извлечь перед настройкой параметров шлюза типа "точка — сеть".

Создание корневого сертификата

Получите CER-файл для корневого сертификата. Используйте корневой сертификат, созданный с помощью корпоративного решения (рекомендуется) или создайте самозаверяющий сертификат. После создания корневого сертификата экспортируйте данные общедоступного сертификата (не закрытый ключ) в виде файла X.509 в формате .cer с кодировкой Base64. Этот файл будет отправлен позже в Azure.

  • Корпоративный сертификат. Если вы используете корпоративное решение центра сертификации, можно применить существующую цепочку сертификатов. Получите CER-файл для корневого сертификата, который нужно использовать.

  • Самозаверяющий корневой сертификат. Если вы не планируете использовать корпоративное решение для создания сертификатов, создайте самозаверяющий корневой сертификат. В противном случае создаваемые сертификаты не будут совместимы с подключениями P2S и клиентами при попытке подключиться. Можно использовать Azure PowerShell, MakeCert или OpenSSL. На шагах, приведенных по следующим ссылкам, описывается, как создать совместимый самозаверяющий корневой сертификат:

    • Инструкции PowerShell для Windows 10 или более поздней версии. Эти инструкции требуют PowerShell на компьютере под управлением Windows 10 или более поздней версии. Сертификаты клиентов, которые создаются из корневого сертификата, можно установить на любом поддерживаемом клиенте P2S.
    • Инструкции MakeCert: используйте MakeCert для создания сертификатов, если у вас нет доступа к компьютеру под управлением Windows 10 или более поздней версии. Хотя это нерекомендуемое средство, его все же можно использовать для создания сертификатов. Сертификаты клиентов, которые вы создаете из корневого сертификата, можно установить на любом поддерживаемом клиенте P2S.
    • Инструкции по Linux — OpenSSL
    • Linux — инструкции strongSwan

Создание сертификатов клиентов

Каждый клиентский компьютер, подключенный к виртуальной сети с подключением типа "точка — сеть", должен иметь сертификат клиента. Его нужно создать из корневого сертификата и установить на каждый клиентский компьютер. Если вы не установите допустимый сертификат клиента, проверка подлинности завершится со сбоем, когда клиент попытается подключиться к виртуальной сети.

Можно создать уникальный сертификат для каждого клиента или использовать один сертификат для нескольких клиентов. Преимущество уникальных клиентских сертификатов заключается в том, что при необходимости можно отозвать один сертификат. В противном случае, если потребуется отозвать сертификат для проверки подлинности, который используют несколько клиентов, вам придется создать и установить новые сертификаты для всех клиентов, которые используют этот сертификат.

Сертификаты клиентов можно создать, используя следующие методы:

  • Корпоративный сертификат.

    • При использовании корпоративного решения для создания сертификатов создайте сертификат клиента с общим именем в формате name@yourdomain.com. Используйте этот формат вместо формата доменное_имя\имя_пользователя.

    • Убедитесь, что сертификат клиента основан на шаблоне сертификата пользователя, в котором первым указан пункт Проверка подлинности клиента. Проверить сертификат можно, дважды щелкнув его и выбрав на вкладке СведенияУлучшенный ключ.

  • Самозаверяющий корневой сертификат. Выполните действия, описанные в следующих статьях о сертификате P2S, чтобы создаваемые сертификаты клиента были совместимы с подключениями P2S.

    Если вы создаете сертификат клиента из самозаверяющего корневого сертификата, он автоматически устанавливается на компьютере, используемом для его создания. Если вы хотите установить сертификат клиента на другом клиентском компьютере, экспортируйте его как PFX-файл вместе со всей цепочкой сертификатов. После экспорта будет создан PFX-файл, содержащий сведения корневого сертификата, необходимые для проверки подлинности клиента.

    Действия, описанные в следующих статьях, помогут создать совместимый сертификат клиента, который можно экспортировать и распространять.

    • Инструкции PowerShell для Windows 10 или более поздней версии. Для создания сертификатов с помощью этих инструкций требуется Windows 10 или более поздней версии и PowerShell. Созданные сертификаты можно установить на любой поддерживаемый клиент P2S.

    • Инструкции для MakeCert. Если у вас нет компьютера с Windows 10 или более поздней версии, создайте сертификаты с помощью MakeCert. Хотя это нерекомендуемое средство, его все же можно использовать для создания сертификатов. Созданные сертификаты можно установить на любом поддерживаемом клиенте P2S.

    • Linux: см . инструкции strongSwan или OpenSSL .

Добавление пула адресов VPN-клиента

Пул адресов клиента представляет собой диапазон частных IP-адресов, указанных вами. Клиенты, которые подключаются через подключение типа "точка — сеть", динамически получают IP-адреса из этого диапазона. Используйте диапазон частных IP-адресов, не пересекающихся с локальным расположением, из которого будет выполняться подключение, или виртуальной сетью, к которой вы хотите подключиться. Если вы настроите несколько протоколов и один из них будет SSTP, то заданный пул адресов поровну разделится между этими протоколами.

  1. В портал Azure перейдите к VPN-шлюзу.

  2. На странице шлюза в левой области выберите конфигурацию "Точка — сеть".

  3. Щелкните Настроить, чтобы открыть страницу настройки.

    Снимок экрана: страница конфигурации

  4. На странице Конфигурация "точка — сеть" в поле Пул адресов добавьте диапазон частных IP-адресов, который вы хотите использовать. VPN-клиенты динамически получают IP-адрес из указанного вами диапазона. Минимальное значение для маски подсети: 29 бит в режиме "активный — пассивный" и 28 бит в режиме "активный — активный".

  5. Перейдите к следующему разделу, чтобы настроить дополнительные параметры.

Указание типа туннеля и проверки подлинности

В этом разделе вы укажете тип туннеля и тип проверки подлинности. Эти параметры могут стать сложными. Вы можете выбрать параметры, содержащие несколько типов туннелей в раскрывающемся списке, например IKEv2 и OpenVPN(SSL) или IKEv2 и SSTP (SSL). Доступны только определенные сочетания типов туннелей и типов проверки подлинности.

Тип туннеля и тип проверки подлинности должны соответствовать программному обеспечению VPN-клиента, которое вы хотите использовать для подключения к Azure. При подключении различных VPN-клиентов из разных операционных систем важно планирование типа туннеля и типа проверки подлинности. В следующей таблице показаны доступные типы туннелей и типы проверки подлинности, связанные с программным обеспечением VPN-клиента.

Таблица VPN-клиента

Проверка подлинности Тип туннеля ОС клиента VPN-клиент
Сертификат
IKEv2, SSTP Windows Собственный VPN-клиент
IKEv2 macOS Собственный VPN-клиент
IKEv2 Linux strongSwan
OpenVPN Windows VPN-клиент Azure
Клиент OpenVPN версии 2.x
Клиент OpenVPN версии 3.x
OpenVPN macOS Клиент OpenVPN
OpenVPN iOS Клиент OpenVPN
OpenVPN Linux VPN-клиент Azure
Клиент OpenVPN
Microsoft Entra ID
OpenVPN Windows VPN-клиент Azure
OpenVPN macOS VPN-клиент Azure
OpenVPN Linux VPN-клиент Azure

Примечание.

Если на странице конфигурации "Точка — сеть" не отображается тип туннеля или тип проверки подлинности, шлюз использует номер SKU "Базовый". SKU «Базовый» не поддерживает проверку подлинности IKEv2 и RADIUS. Если вам нужно использовать эти параметры, удалите и снова создайте шлюз, указав другой SKU шлюза.

  1. В поле "Тип туннеля" выберите тип туннеля, который требуется использовать. В этом упражнении в раскрывающемся списке выберите IKEv2 и OpenVPN(SSL).

  2. Для типа проверки подлинности в раскрывающемся списке выберите сертификат Azure.

    Снимок экрана: страница конфигурации

Добавление другого общедоступного IP-адреса

Если у вас есть шлюз активно-активного режима, необходимо указать третий общедоступный IP-адрес для настройки типа "точка — сеть". В примере мы создадим третий общедоступный IP-адрес с помощью примера значения VNet1GWpip3. Если шлюз не работает в активном режиме, вам не нужно добавлять другой общедоступный IP-адрес.

Снимок экрана: страница конфигурации

Отправка сведений об открытом ключе корневого сертификата

В этом разделе вы узнаете, как отправить данные общедоступного корневого сертификата в Azure. После отправки данных общедоступного сертификата Azure использует его для проверки подлинности подключений клиентов. Клиенты подключения имеют установленный сертификат клиента, созданный из доверенного корневого сертификата.

  1. Убедитесь, что на предыдущих шагах экспортировали корневой сертификат в виде CER-файла X.509 в кодировке Base64. Это позволит открыть сертификат в текстовом редакторе. Экспорт закрытого ключа не требуется.

  2. Откройте сертификат в текстовом редакторе, например в блокноте. При копировании данных сертификата убедитесь, что текст копируется в одну непрерывную строку:

    Снимок экрана: данные в сертификате.

  3. Перейдите на страницу конфигурации шлюза виртуальной сети —> страница конфигурации "точка — сеть" в разделе корневого сертификата . Этот раздел отображается, только если выбран тип проверки подлинности Сертификат Azure.

  4. В разделе Корневой сертификат можно добавить до 20 доверенных корневых сертификатов.

    • Вставьте данные сертификата в поле Данные общедоступного сертификата.
    • Присвойте сертификату имя.

    Снимок экрана: поле сведений о сертификате.

  5. Дополнительные маршруты не нужны для этого упражнения. Дополнительные сведения о пользовательской функции маршрутизации см. в разделе "Объявление настраиваемых маршрутов".

  6. В верхней части страницы нажмите кнопку Сохранить, чтобы сохранить все параметры конфигурации.

Создание файлов конфигурации профиля VPN-клиента

Все необходимые параметры конфигурации для VPN-клиентов содержатся в ZIP-файле конфигурации профиля VPN-клиента. Файлы конфигурации профиля VPN-клиента зависят от конфигурации VPN-шлюза P2S для виртуальной сети. Если после создания файлов есть какие-либо изменения в конфигурации VPN P2S, например изменения типа VPN-протокола или типа проверки подлинности, необходимо создать новые файлы конфигурации профиля VPN-клиента и применить новую конфигурацию ко всем VPN-клиентам, которые требуется подключить. Дополнительные сведения о подключениях P2S см. в статье Сведения о VPN-подключениях типа "точка — сеть".

Файлы конфигурации профиля клиента можно создать с помощью PowerShell или с помощью портал Azure. В следующих примерах показаны оба метода. И в первом, и во втором случае возвращается один и тот же ZIP-файл.

Портал Azure

  1. В портал Azure перейдите к шлюзу виртуальной сети для виртуальной сети, к которой требуется подключиться.

  2. На странице шлюза виртуальной сети выберите элемент Конфигурация "точка — сеть", чтобы открыть страницу этой конфигурации.

  3. В верхней части страницы конфигурации "Точка — сеть" выберите "Скачать VPN-клиент". При этом не скачивается клиентское программное обеспечение для VPN, а создается пакет конфигурации для настройки VPN-клиентов. Пакет конфигурации клиента создается несколько минут. В течение этого времени может не отображаться никаких признаков, пока пакет не будет создан.

    Снимок экрана: страница конфигурации

  4. После создания пакета конфигурации браузер указывает, что zip-файл конфигурации клиента доступен. Он получает такое же имя, как у вашего шлюза.

  5. Распакуйте файл. После этого отобразятся папки. Вы будете использовать некоторые или все эти файлы для настройки VPN-клиента. Созданные файлы соответствуют параметрам типа проверки подлинности и туннеля, настроенным на сервере P2S.

Настройка VPN-клиентов и подключение к Azure

Инструкции по настройке VPN-клиентов и подключению к Azure см . в таблице VPN-клиента в разделе "Указание туннеля и типа проверки подлинности". В таблице содержатся ссылки на статьи, которые содержат подробные инструкции по настройке программного обеспечения VPN-клиента.

Добавление и удаление доверенного корневого сертификата

Вы можете добавлять доверенные корневые сертификаты в Azure, а также удалять их из Azure. При удалении корневого сертификата клиенты, имеющие сертификат, созданный из этого корня, не смогут пройти проверку подлинности, и в результате не удается подключиться. Чтобы клиенты могли проходить аутентификацию и подключаться, необходимо установить новый сертификат клиента, созданный на основе корневого сертификата, который является доверенным для Azure (то есть он передан в Azure).

В Azure можно добавить до 20 CER-файлов доверенных корневых сертификатов. Дополнительные сведения см. в разделе Отправка доверенного корневого сертификата.

Чтобы удалить доверенный корневой сертификат, выполните следующие действия.

  1. Перейдите к странице Конфигурация "точка — сеть" шлюза виртуальной сети.
  2. В разделе страницыRoot certificate (Корневой сертификат) найдите сертификат, который требуется удалить.
  3. Нажмите кнопку с многоточием рядом с сертификатом и выберите Удалить.

Отзыв сертификата клиента

Можно отозвать сертификаты клиента. Список отзыва сертификатов позволяет выборочно запретить подключение P2S на основе отдельных сертификатов клиента. Эта процедура отличается от удаления доверенного корневого сертификата. При удалении доверенного корневого сертификата (CER-файл) из Azure будет запрещен доступ для всех сертификатов клиента, созданных на основе отозванного корневого сертификата или подписанных им. При отмене сертификата клиента, а не корневого сертификата, он позволяет использовать другие сертификаты, созданные из корневого сертификата, для проверки подлинности.

Обычно корневой сертификат используется для управления доступом на уровнях группы или организации, а отозванный сертификат клиента — для точного контроля доступа для отдельных пользователей.

Вы можете отозвать сертификат клиента, добавив отпечаток в список отзыва.

  1. Получите отпечаток сертификата клиента. Дополнительные сведения см. в статье Практическое руководство. Извлечение отпечатка сертификата.
  2. Скопируйте данные в текстовый редактор и удалите все пробелы, чтобы предоставить отпечаток в виде непрерывной строки.
  3. Перейдите к странице шлюза виртуальной сети Point-to-site-configuration (Конфигурация "точка — сеть"). Это та же колонка, которая использовалась для отправки доверенного корневого сертификата.
  4. В разделе Отозванные сертификаты введите понятное имя сертификата (это не должно быть общее имя).
  5. Скопируйте и вставьте строку отпечатка в поле Отпечаток.
  6. Отпечаток будет проверен и автоматически добавлен в список отзыва. На экране появится сообщение о том, что список обновляется.
  7. После применения изменений сертификат больше не будет использоваться для подключения. Клиенты, пытающиеся подключиться с помощью этого сертификата, получат сообщение, что он недействителен.

Часто задаваемые вопросы о подключениях типа "точка — сеть"

Ответы на часто задаваемые вопросы см. в этом разделе.

Следующие шаги

Установив подключение, можно добавить виртуальные машины в виртуальные сети. Дополнительные сведения о виртуальных машинах см. здесь. Дополнительные сведения о сетях и виртуальных машинах см. в статье Azure и Linux: обзор сетей виртуальных машин.

Дополнительные сведения см. в руководстве по устранению неполадок подключения типа "точка — сеть" в Azure.