P2S VPN Gateway sertifika kimlik doğrulaması için sunucu ayarlarını yapılandırma

Bu makale, Windows, Linux veya macOS çalıştıran tek tek istemci bilgisayarlardan Bir Azure sanal ağına (VNet) güvenli bir şekilde bağlanmanızı sağlamak için gerekli VPN Gateway noktadan siteye (P2S) sunucu ayarlarını yapılandırmanıza yardımcı olur. P2S VPN bağlantıları, uzak bir konumdan sanal ağınıza bağlanmak istediğinizde (örneğin, evden veya konferanstan iletişim kurduğunuzda) kullanışlıdır. Sanal ağa bağlanması gereken yalnızca birkaç istemciniz olduğunda siteden siteye (S2S) VPN yerine P2S de kullanabilirsiniz.

P2S bağlantıları için VPN cihazı veya genel kullanıma yönelik IP adresi gerekmez. P2S için çeşitli yapılandırma seçenekleri vardır. Noktadan siteye VPN hakkında daha fazla bilgi için bkz . Noktadan siteye VPN hakkında.

Bu makaledeki adımlar, Azure VPN ağ geçidinizi noktadan siteye sertifika kimlik doğrulaması için yapılandırmak üzere Azure portalını kullanır.

P2S Azure sertifika kimlik doğrulaması bağlantıları aşağıdaki öğeleri kullanır:

• Rota tabanlı VPN ağ geçidi (ilke tabanlı değil). VPN türü hakkında daha fazla bilgi için bkz . VPN Gateway ayarları.
• Azure’a yüklenmiş bir kök sertifikanın ortak anahtarı (.cer dosyası). Sertifika karşıya yüklendikten sonra güvenilir bir sertifika olarak kabul edilir ve kimlik doğrulaması için kullanılır.
• Kök sertifikasından oluşturulan bir istemci sertifikası. Sanal ağa bağlanacak her istemci bilgisayarda yüklü olan istemci sertifikası. Bu sertifika, istemci kimlik doğrulaması için kullanılır.
• VPN istemcisi yapılandırma dosyaları. VPN istemcisi, VPN istemcisi yapılandırma dosyaları kullanılarak yapılandırılır. Bu dosyalar, istemcinin sanal ağa bağlanması için gerekli bilgileri içerir. Bağlanan her istemcinin yapılandırma dosyalarındaki ayarlar kullanılarak yapılandırılması gerekir.

Önkoşullar

Bu makalede, oluşturmak istediğiniz P2S yapılandırması, kullanmak istediğiniz kimlik doğrulama yöntemi ve bağlanan VPN istemcileri ile uyumlu yol tabanlı bir VPN ağ geçidi oluşturduğunuz varsayılır.

• Henüz bir VPN ağ geçidiniz yoksa bkz. VPN ağ geçidi oluşturma ve yönetme, ardından noktadan siteye VPN ağ geçidi ayarlarını yapılandırmak için bu sayfaya geri dönün.
• İhtiyacınız olan P2S yapılandırmasını belirlemeye yardımcı olmak için VPN istemci tablosuna bakın.
• Temel SKU kullanan bir VPN ağ geçidiniz varsa, Temel SKU'nun P2S sınırlamaları olduğunu ve IKEv2 veya RADIUS kimlik doğrulamasını desteklemediğini anlayın. Daha fazla bilgi için Ağ geçidi SKU'ları hakkında bkz.

Sertifika oluşturma

Sertifikalar Azure tarafından noktadan siteye VPN bağlantısı üzerinden sanal ağa bağlanan istemcilerin kimliğini doğrulamak için kullanılır. Kök sertifika edindiğinizde, ortak anahtar bilgilerini Azure'a yüklersiniz. Bunun üzerine, kök sertifika P2S üzerinden sanal ağa bağlantı için Azure tarafından 'güvenilir' olarak görülür.

Ayrıca, güvenilen kök sertifikadan istemci sertifikaları da oluşturur ve bunları her bir istemci bilgisayara yüklersiniz. İstemci sertifikası, sanal ağa bir bağlantı başlattığında istemcinin kimliğini doğrulamak için kullanılır.

Noktadan siteye ağ geçidi ayarlarını yapılandırmadan önce kök sertifika oluşturulup ayıklanmalıdır.

Kök sertifika oluşturma

Kök sertifika için .cer dosyasını alın. Kurumsal çözümle oluşturulmuş bir kök sertifika kullanabilir (önerilir) veya otomatik olarak imzalanan bir sertifika oluşturabilirsiniz. Kök sertifikayı oluşturduktan sonra, genel sertifika verilerini (özel anahtar değil) Base64 kodlanmış X.509 .cer dosyası olarak dışarı aktarın. Bu dosyayı daha sonra Azure'a yüklersiniz.

• Kurumsal sertifika: Kurumsal bir çözüm kullanıyorsanız mevcut sertifika zincirinizi kullanabilirsiniz. Kullanmak istediğiniz kök sertifika için .cer dosyasını alın.

• Otomatik olarak imzalanan kök sertifika: Kurumsal sertifika çözümü kullanmıyorsanız, otomatik olarak imzalanan bir kök sertifika oluşturun. Aksi takdirde, oluşturduğunuz sertifikalar P2S bağlantılarınızla uyumlu olmaz ve istemciler bağlanmaya çalıştıklarında bir bağlantı hatası alır. Azure PowerShell, MakeCert veya OpenSSL kullanabilirsiniz. Aşağıdaki makalelerdeki adımlar, uyumlu bir otomatik olarak imzalanan kök sertifikanın nasıl oluşturulacağı açıklanmaktadır:

  • Windows 10 veya üzeri için PowerShell yönergeleri: Bu yönergeler, Windows 10 veya üzeri çalıştıran bir bilgisayarda PowerShell gerektirir. Kök sertifikadan oluşturulan istemci sertifikaları tüm desteklenen P2S istemcilere yüklenebilir.
  • MakeCert yönergeleri: Windows 10 veya üzerini çalıştıran bir bilgisayara erişiminiz yoksa sertifika oluşturmak için MakeCert kullanın. MakeCert kullanımdan kaldırılmış olsa da sertifika oluşturmak için bunu kullanmaya devam edebilirsiniz. Kök sertifikadan oluşturduğunuz istemci sertifikaları desteklenen herhangi bir P2S istemcisine yüklenebilir.
  • Linux - OpenSSL yönergeleri
  • Linux - strongSwan yönergeleri

İstemci sertifikaları oluşturma

Noktadan siteye bağlantısı olan bir sanal ağa bağladığınız her istemci bilgisayarda bir istemci sertifikası yüklü olmalıdır. Kök sertifikadan oluşturur ve her istemci bilgisayara yüklersiniz. Geçerli bir istemci sertifikası yüklemezseniz, istemci sanal ağa bağlanmaya çalıştığında kimlik doğrulaması başarısız olur.

Her istemci için benzersiz bir sertifika oluşturabileceğiniz gibi, birden çok istemci için aynı sertifikayı da kullanabilirsiniz. Benzersiz istemci sertifikaları oluşturmanın avantajı, tek bir sertifikayı iptal edebiliyor olmanızdır. Aksi takdirde, birden çok istemci kimlik doğrulaması yapmak için aynı istemci sertifikasını kullanır ve bunu iptal ederseniz, bu sertifikayı kullanan her istemci için yeni sertifikalar oluşturmanız ve yüklemeniz gerekir.

aşağıdaki yöntemleri kullanarak istemci sertifikaları oluşturabilirsiniz:

• Kurumsal sertifika:

  • Kurumsal sertifika çözümü kullanıyorsanız ortak ad değeri biçiminde name@contoso.combir istemci sertifikası oluşturun. Etki alanı adı\kullanıcı adı biçimi yerine bu biçimi kullanın.

  • İstemci sertifikasının, kullanıcı listesindeki ilk öğe olarak İstemci Kimlik Doğrulaması'nın listelendiği bir kullanıcı sertifikası şablonunu temel aldığından emin olun. Sertifikaya çift tıklayıp Ayrıntılar sekmesinde Gelişmiş Anahtar Kullanımı'nı görüntüleyerek sertifikayı denetleyin.

• Otomatik olarak imzalanan kök sertifika: Oluşturduğunuz istemci sertifikalarının P2S bağlantılarınızla uyumlu olması için aşağıdaki P2S sertifika makalelerinden birinde yer alan adımları izleyin.

  Otomatik olarak imzalanan bir kök sertifikadan bir istemci sertifikası oluşturduğunuzda, otomatik olarak bunu oluşturmak için kullandığınız bilgisayara yüklenir. Başka bir istemci bilgisayara bir istemci sertifikası yüklemek istiyorsanız, sertifika zincirinin tamamıyla birlikte .pfx dosyası olarak dışarı aktarın. Bunu yaptığınızda, istemcinin kimlik doğrulaması için gereken kök sertifika bilgilerini içeren bir .pfx dosyası oluşturulur.

  Bu makalelerdeki adımlar, daha sonra dışarı aktarabileceğiniz ve dağıtabileceğiniz uyumlu bir istemci sertifikası oluşturur.

  • Windows 10 veya üzeri PowerShell yönergeleri: Bu yönergeler, sertifika oluşturmak için Windows 10 veya üzerini ve PowerShell'i gerektirir. Oluşturulan sertifikalar desteklenen herhangi bir P2S istemcisine yüklenebilir.

  • MakeCert yönergeleri: Sertifika oluşturmak için Windows 10 veya sonraki bir bilgisayara erişiminiz yoksa MakeCert kullanın. MakeCert kullanımdan kaldırılmış olsa da sertifika oluşturmak için bunu kullanmaya devam edebilirsiniz. Oluşturulan sertifikaları desteklenen herhangi bir P2S istemcisine yükleyebilirsiniz.

  • Linux: Bakınız strongSwan veya OpenSSL yönergeleri.

VPN istemcisi adres havuzunu ekleme

İstemci adres havuzu, belirttiğiniz özel IP adresleri aralığıdır. Noktadan siteye VPN üzerinden bağlanan istemciler bu aralıktan dinamik olarak bir IP adresi alır. Bağlandığınız şirket içi konum veya bağlanmak istediğiniz sanal ağ ile çakışmayan bir özel IP adresi aralığı kullanın. Birden çok protokol yapılandırıyorsanız ve SSTP protokollerden biriyse, yapılandırılan adres havuzu yapılandırılmış protokoller arasında eşit olarak bölünür.

1. Azure portalında VPN ağ geçidinize gidin.
2. Ağ geçidi sayfanızın sol bölmesinde Noktadan siteye yapılandırma seçeneğini seçin.
3. Noktadan siteye yapılandırma sayfasında Şimdi yapılandır'a tıklayın.
4. Noktadan siteye yapılandırma sayfasında Adres havuzu yapılandırma kutusunu görürsünüz.
5. Adres havuzu kutusuna, kullanmak istediğiniz özel IP adresi aralığını ekleyin. Örneğin, adres aralığını 172.16.201.0/24 eklerseniz, VPN istemcileri bu aralıktaki IP adreslerinden birini alır. En düşük alt ağ maskesi etkin/pasif için 29 bit ve etkin/etkin yapılandırma için 28 bittir.

Aralığı ekledikten sonra, gerekli ayarların geri kalanını yapılandırmak için sonraki bölümlere geçin.

Tüneli ve kimlik doğrulama türünü belirtin

Bu bölümde, tünel türünü ve kimlik doğrulama türünü belirtirsiniz. Bu ayarlar karmaşık hale gelebilir. Açılan listeden IKEv2 ve OpenVPN(SSL) veya IKEv2 ve SSTP (SSL) gibi birden çok tünel türü içeren seçenekleri belirleyebilirsiniz. Yalnızca belirli tünel türleri ve kimlik doğrulama türleri bileşimleri kullanılabilir.

Tünel türü ve kimlik doğrulama türü, Azure'a bağlanmak için kullanmak istediğiniz VPN istemci yazılımına karşılık gelir. Farklı işletim sistemlerinden bağlanan çeşitli VPN istemcileriniz varsa tünel türünü ve kimlik doğrulama türünü planlamak önemlidir. Aşağıdaki tabloda, VPN istemci yazılımıyla ilgili olarak kullanılabilir tünel türleri ve kimlik doğrulama türleri gösterilmektedir.

VPN istemci tablosu

Kimlik doğrulama yöntemi	Tünel türü	İstemci İşletim Sistemi	VPN istemcisi
Sertifika
	IKEv2, SSTP	Windows	Yerel VPN istemcisi
	IKEv2	macOS	Yerel VPN istemcisi
	IKEv2	Linux	strongSwan
	OpenVPN	Windows	Azure VPN istemcisi OpenVPN istemci sürümü 2.x OpenVPN istemci sürümü 3.x
	OpenVPN	macOS	OpenVPN istemcisi
	OpenVPN	iOS	OpenVPN istemcisi
	OpenVPN	Linux	Azure VPN İstemcisi OpenVPN istemcisi
Microsoft Entra Kimlik
	OpenVPN	Windows	Azure VPN istemcisi
	OpenVPN	macOS	Azure VPN İstemcisi
	OpenVPN	Linux	Azure VPN İstemcisi

Dikkat

Noktadan siteye yapılandırma sayfasında tünel türü veya kimlik doğrulama türü görmüyorsanız, ağ geçidiniz Temel SKU kullanıyordur. Temel SKU, IKEv2 veya RADIUS kimlik doğrulamasını desteklemez. Bu ayarları kullanmak istiyorsanız farklı bir ağ geçidi SKU'su kullanarak ağ geçidini silmeniz ve yeniden oluşturmanız gerekir.

1. Tünel türü için, kullanmak istediğiniz tünel türünü seçin. Bu alıştırma için açılan listeden IKEv2 ve OpenVPN(SSL) seçeneklerini belirleyin.

2. Kimlik doğrulama türü için açılan listeden Azure sertifikası'nı seçin.

   

Başka bir genel IP adresi ekleme

Eğer etkin-aktif modda bir ağ geçidiniz varsa, noktadan siteye bağlantı için üçüncü bir genel IP adresi belirtmeniz gerekir. Örnekte, VNet1GWpip3 örnek değerini kullanarak üçüncü genel IP adresini oluşturuyoruz. Ağ geçidiniz aktif-aktif modda değilse başka bir genel IP adresi eklemenize gerek yok.

Ortak anahtar bilgilerini kök sertifika olarak yükleyin

Bu bölümde, genel kök sertifika verilerini Azure'a yüklersiniz. Genel sertifika verileri karşıya yüklendikten sonra Azure, bağlanan istemcilerin kimliğini doğrulamak için bu verileri kullanır. Bağlanan istemciler, güvenilen kök sertifikadan oluşturulmuş yüklü bir istemci sertifikasına sahiptir.

1. Önceki adımlarda kök sertifikayı Base-64 ile kodlanmış X.509 (.CER) dosyası olarak dışa aktardığınızdan emin olun. Sertifikayı metin düzenleyiciyle açabilmek için bu biçimde dışa aktarmanız gerekir. Özel anahtarı dışarı aktarmanız gerekmez.

2. Sertifikayı Not Defteri gibi bir metin düzenleyiciyle açın. Sertifika verilerini kopyalarken, metni tek bir sürekli satır olarak kopyaladığınızdan emin olun:

   

3. Sanal ağ geçidi - Noktadan siteye yapılandırma > sayfanıza, Kök sertifika bölümünde gidin. Bu bölüm yalnızca kimlik doğrulama türü için Azure sertifikası seçtiyseniz görünür.

4. Kök sertifika bölümünde en fazla 20 güvenilen kök sertifika ekleyebilirsiniz.

   • Sertifika verilerini Genel sertifika verileri alanına yapıştırın.
   • Sertifikayı adlandırın .

   

5. Bu alıştırma için ek yollar gerekli değildir. Özel yönlendirme özelliği hakkında daha fazla bilgi için bkz . Özel yolları tanıtma.

6. Tüm yapılandırma ayarlarını kaydetmek için sayfanın üst kısmındaki Kaydet'i seçin. Yapılandırma ayarları dağıtımı tamamlandıktan sonra VPN istemcisi yapılandırma paketini oluşturabilir ve indirebilirsiniz.

VPN istemci profili yapılandırma dosyaları oluşturma

VPN istemcileri için gerekli tüm yapılandırma ayarları bir VPN istemcisi profili yapılandırma zip dosyasında bulunur. VPN istemci profili yapılandırma dosyaları, sanal ağ için P2S VPN ağ geçidi yapılandırmasına özeldir. Dosyaları oluşturduktan sonra P2S VPN yapılandırmasında vpn protokolü türü veya kimlik doğrulama türü değişiklikleri gibi değişiklikler varsa, yeni VPN istemci profili yapılandırma dosyaları oluşturmanız ve yeni yapılandırmayı bağlanmak istediğiniz tüm VPN istemcilerine uygulamanız gerekir. P2S bağlantıları hakkında daha fazla bilgi için bkz . Noktadan siteye VPN hakkında.

PowerShell kullanarak veya Azure portalını kullanarak istemci profili yapılandırma dosyaları oluşturabilirsiniz. Aşağıdaki örneklerde her iki yöntem de gösterilmektedir. Her iki yöntem de aynı zip dosyasını döndürür.

Azure portal

1. Azure portalında, bağlanmak istediğiniz sanal ağın sanal ağ geçidine gidin.

2. Sanal ağ geçidi sayfasında Noktadan siteye yapılandırma'yı seçerek Noktadan siteye yapılandırma sayfasını açın.

3. Noktadan siteye yapılandırma sayfasının üst kısmında VPN istemcisini indir'i seçin. Bu, VPN istemci yazılımını indirmez, VPN istemcilerini yapılandırmak için kullanılan yapılandırma paketini oluşturur. İstemci yapılandırma paketinin oluşturulması birkaç dakika sürer. Bu süre boyunca paket oluşturulana kadar herhangi bir gösterge göremeyebilirsiniz.

   

4. Yapılandırma paketi oluşturulduktan sonra tarayıcınız bir istemci yapılandırma zip dosyasının kullanılabilir olduğunu gösterir. Ağ geçidinizle aynı adla adlandırılır.

5. Klasörleri görüntülemek için dosyanın sıkıştırmasını açın. VPN istemcinizi yapılandırmak için bu dosyaların bazılarını veya tümünü kullanacaksınız. Oluşturulan dosyalar, P2S sunucusunda yapılandırdığınız kimlik doğrulaması ve tünel türü ayarlarına karşılık gelir.

VPN istemcilerini yapılandırma ve Azure'a bağlanma

VPN istemcilerinizi yapılandırma ve Azure'a bağlanma adımları için Tünel ve kimlik doğrulama türünü belirtme bölümündeki VPN istemci tablosuna bakın. Tabloda, VPN istemci yazılımını yapılandırmaya yönelik ayrıntılı adımlar sağlayan makalelerin bağlantıları yer alır.

Güvenilen kök sertifika ekleme veya kaldırma

Azure’da güvenilen kök sertifikayı ekleyebilir veya kaldırabilirsiniz. Kök sertifikayı kaldırdığınızda, bu kökten oluşturulmuş bir sertifikaya sahip istemciler kimlik doğrulaması yapamaz ve sonuç olarak bağlanamaz. Bir istemcinin kimlik doğrulaması yapmasını ve bağlanmasını istiyorsanız, Azure’da güvenilen (karşıya yüklenmiş) bir kök sertifikadan oluşturulmuş yeni bir istemci sertifikası yüklemeniz gerekir.

Azure'a en fazla 20 güvenilen kök sertifika .cer dosyası ekleyebilirsiniz. Yönergeler için Güvenilen kök sertifika yükleme bölümüne bakın.

Güvenilir kök sertifikasını kaldırmak için:

1. Sanal ağ geçidinizin Noktadan siteye yapılandırma sayfasına gidin.
2. Sayfanın Kök sertifika bölümünde, kaldırmak istediğiniz sertifikayı bulun.
3. Sertifikanın yanındaki elipsi seçin ve ardından Kaldır'ı seçin.

İstemci sertifikasını iptal etme

İstemci sertifikalarını iptal edebilirsiniz. Sertifika iptal listesi, tek tek istemci sertifikalarını temel alarak P2S bağlantısını seçmeli olarak reddetmenizi sağlar. Bu, güvenilen kök sertifika kaldırma işleminden farklıdır. Azure’dan güvenilen bir kök sertifika .cer dosyasını kaldırırsanız, geri alınan kök sertifika tarafından oluşturulan/imzalanan tüm istemci sertifikalarının erişimi iptal edilir. Kök sertifika yerine bir istemci sertifikasını iptal ettiğinizde, kök sertifikadan oluşturulan diğer sertifikaların kimlik doğrulaması için kullanılmaya devam etmesine izin verir.

Genellikle ekip ve kuruluş düzeylerinde erişimi yönetmek için kök sertifika kullanılırken ayrı kullanıcılar üzerinde ayrıntılı erişim denetimi için iptal edilen istemci sertifikaları kullanılır.

Parmak izini iptal listesine ekleyerek bir istemci sertifikasını iptal edebilirsiniz.

1. İstemci sertifikasının parmak izini alın. Daha fazla bilgi için bkz. Bir Sertifikanın Parmak İzini alma.
2. Bilgileri bir metin düzenleyicisine kopyalayın ve sürekli bir dize olması için tüm boşlukları kaldırın.
3. Sanal ağ geçidi Noktadan siteye yapılandırma sayfasına gidin. Bu, güvenilen kök sertifika yüklemek için kullandığınız sayfanın aynısıdır.
4. İptal edilen sertifikalar bölümünde, sertifika için bir kolay ad girin (bu, sertifikanın genel adı olmak zorunda değildir).
5. Parmak izi dizesini kopyalayın ve Parmak izi alanına yapıştırın.
6. Parmak izi doğrulanır ve otomatik olarak iptal listesine eklenir. Ekranda listenin güncelleştirildiğini belirten bir ileti görünür.
7. Güncelleştirme tamamlandıktan sonra sertifika artık bağlanmak için kullanılamaz. Bu sertifikayı kullanarak bağlanmaya çalışan istemciler sertifikanın artık geçerli olmadığını belirten bir ileti alır.

Noktadan siteye hakkında SSS

Sık sorulan sorular için bakınız SSS.

Sonraki adımlar

Bağlantınız tamamlandıktan sonra sanal ağlarınıza sanal makineler ekleyebilirsiniz. Daha fazla bilgi için bkz. Sanal Makineler. Ağ ve sanal makineler hakkında daha fazla bilgi edinmek için, bkz. Azure ve Linux VM ağına genel bakış.

P2S sorun giderme bilgileri için Azure noktadan siteye bağlantı sorun giderme.