配置服务器设置,以进行 P2S VPN 网关证书身份验证
本文介绍如何配置所需的 VPN 网关点到站点 (P2S) 服务器设置,以便将运行 Windows、Linux 或 macOS 的单个客户端安全地连接到 Azure 虚拟网络 (VNet)。 若要从远程位置连接到 VNet,例如从家里或会议室进行远程通信,可以使用 P2S VPN 连接。 如果只有少量的客户端需要连接到虚拟网络 (VNet),则你也可使用 P2S VPN,而不使用站点到站点 (S2S) VPN。
P2S 连接不需要 VPN 设备或面向公众的 IP 地址。 可对 P2S 使用各种不同的配置选项。 有关点到站点 VPN 的详细信息,请参阅关于点到站点 VPN。
本文中的步骤将创建一个使用证书身份验证和 Azure 门户的 P2S 配置。 若要使用 Azure PowerShell 创建此配置,请参阅配置 P2S - 证书 - PowerShell 一文。 有关 RADIUS 身份验证的信息,请参阅 P2S RADIUS 一文。 有关 Microsoft Entra 身份验证,请参阅 P2S Microsoft Entra ID 一文。
P2S Azure 证书身份验证连接使用将在此练习中配置的以下项:
- 基于路由的 VPN 网关(并非基于策略)。 有关 VPN 类型的详细信息,请参阅 VPN 网关设置。
- 适用于根证书的公钥(.cer 文件),已上传到 Azure。 上传证书后,该证书将被视为受信任的证书,用于身份验证。
- 从根证书生成的客户端证书。 安装在要连接到 VNet 的每个客户端计算机上的客户端证书。 此证书用于客户端身份验证。
- VPN 客户端配置文件。 使用 VPN 客户端配置文件配置 VPN 客户端。 这些文件包含客户端连接到 VNet 时所需的信息。 必须使用配置文件中的设置对进行连接的每个客户端进行配置。
先决条件
确保拥有 Azure 订阅。 如果还没有 Azure 订阅,可以注册一个试用帐户。
示例值
可使用以下值创建测试环境,或参考这些值以更好地理解本文中的示例:
VNet
- VNet 名称: VNet1
- 地址空间: 10.1.0.0/16
对于此示例,我们只使用一个地址空间。 VNet 可以有多个地址空间。 - 子网名称: FrontEnd
- 子网地址范围: 10.1.0.0/24
- 订阅:如果有多个订阅,请确保使用正确的订阅。
- 资源组: TestRG1
- 位置: 中国北部
虚拟网络网关
- 虚拟网关名称: VNet1GW
- 网关类型: VPN
- VPN 类型:基于路由(P2S 必需)
- SKU:VpnGw2
- 代系: 第 2 代
- 网关子网地址范围: 10.1.255.0/27
- 公共 IP 地址名称:VNet1GWpip
连接类型和客户端地址池
- 连接类型:点到站点
- 客户端地址池: 172.16.201.0/24
使用此点到站点连接连接到 VNet 的 VPN 客户端接收来自客户端地址池的 IP 地址。
创建 VNet
在本部分,你将创建一个 VNet。 有关用于此配置的建议值,请参阅示例值部分。
注意
使用虚拟网络作为跨界体系结构的一部分时,请务必与本地网络管理员进行协调,以划分一个 IP 地址范围专供此虚拟网络使用。 如果 VPN 连接的两端存在重复的地址范围,则会以意外方式路由流量。 此外,若要将此虚拟网络连接到另一个虚拟网络,地址空间不能与另一虚拟网络重叠。 相应地规划网络配置。
登录 Azure 门户。
在门户页顶部的“搜索资源、服务和文档(G+/)”中,输入“虚拟网络”。 从“市场”搜索结果中选择“虚拟网络”以打开“虚拟网络”页面。
在“虚拟网络”页面上,选择“创建”以打开“创建虚拟网络”页面。
在“基本信息”选项卡上的“项目详细信息”和“实例详细信息”中配置虚拟网络设置。 验证输入的值时,将看到一个绿色对勾。 你可以根据自己需要的设置调整示例中显示的值。
- 订阅:确认列出的订阅是正确的。 你可以使用下拉框来更改订阅。
- 资源组:选择一个现有资源组,或选择“新建”以创建一个新资源组。 有关资源组的详细信息,请参阅 Azure 资源管理器概述。
- 名称:输入虚拟网络的名称。
- 区域:选择你的虚拟网络的位置。 该位置决定了部署到此虚拟网络的资源将位于哪里。
选择“下一步”或“安全性”,转到“安全性”选项卡。对于此练习,请保留此页上所有服务的默认值。
选择“IP 地址”以转到“IP 地址”选项卡。在“IP 地址”选项卡上配置设置。
IPv4 地址空间:默认情况下,系统会自动创建一个地址空间。 可以选择该地址空间,将其调整为反映你自己的值。 还可以添加其他地址空间并移除自动创建的默认值。 例如,可以将起始地址指定为“10.1.0.0”,将地址空间大小指定为“/16”。 然后选择“添加”以添加该地址空间。
+ 添加子网:如果你使用默认地址空间,则系统会自动创建一个默认子网。 如果更改地址空间,请在该地址空间中添加一个新子网。 选择“+添加子网”,打开“添加子网”窗口 。 配置以下设置,然后选择页面底部的“添加”以添加这些值。
- 子网名称:例如“FrontEnd”。
- 子网地址范围:此子网的地址范围。 示例为“10.1.0.0”和“/24”。
查看“IP 地址”页并移除不需要的任何地址空间或子网。
选择“审阅 + 创建”,验证虚拟网络设置。
验证设置后,选择“创建”以创建虚拟网络。
创建网关子网
虚拟网络网关需要一个名为“GatewaySubnet”的特定子网。 网关子网是虚拟网络的 IP 地址范围的一部分,其中包含虚拟网络网关资源和服务使用的 IP 地址。 指定一个大小为 /27 或更大的网关子网。
- 在虚拟网络页面的左侧窗格中,选择“子网”以打开“子网”页面。
- 在页面顶部,选择“+ 网关子网”以打开“添加子网”窗格。
- 名称将自动输入为“GatewaySubnet”。 根据需要调整 IP 地址范围值。 例如“10.1.255.0/27”。
- 不要调整该页面上的其他值。 选择页面底部的“保存”以保存子网。
创建 VPN 网关
在此步骤中,为 VNet 创建虚拟网络网关。 创建网关通常需要 45 分钟或更长的时间,具体取决于所选的网关 SKU。
注意
基本网关 SKU 不支持 IKEv2 或 RADIUS 身份验证。 如果你计划将 Mac 客户端连接到 VNet,请不要使用基本 SKU。
在“搜索资源、服务和文档(G+/)”中,输入“虚拟网络网关”。 在市场搜索结果中找到“虚拟网络网关”,选择它以打开“创建虚拟网络网关”页面。
在“基本信息”选项卡上,填写“项目详细信息”和“实例详细信息”的值 。
订阅:从下拉列表中选择要使用的订阅。
资源组:在此页上选择虚拟网络时,会自动填充此设置。
名称:为网关命名。 为网关命名与为网关子网命名不同。 它是要创建的网关对象的名称。
区域:选择要在其中创建此资源的区域。 网关的区域必须与虚拟网络相同。
网关类型:选择“VPN”。 VPN 网关使用虚拟网络网关类型“VPN” 。
SKU:从下拉列表中选择支持你想要使用的功能的网关 SKU。 请参阅网关 SKU。 在门户中,下拉列表中提供的 SKU 取决于你选择的
VPN type
。 基本 SKU 只能使用 Azure CLI 或 PowerShell 进行配置。代系:选择想要使用的代系。 建议使用第 2 代 SKU。 有关详细信息,请参阅网关 SKU。
虚拟网络:从下拉列表中选择要将此网关添加到的虚拟网络。 如果看不到要为其创建网关的虚拟网络,请确保在以前的设置中选择了正确的订阅和区域。
“网关子网地址范围”或“子网”:创建 VPN 网关时需要网关子网。
此时,此字段可能显示各种不同的设置选项,具体取决于虚拟网络地址空间,以及是否已为虚拟网络创建名为 GatewaySubnet 的子网。
如果你没有网关子网,并且此页面上也未显示用于创建网关子网的选项,请返回到你的虚拟网络并创建网关子网。 然后,返回到此页面并配置 VPN 网关。
指定“公共 IP 地址”的值。 这些设置指定与 VPN 网关关联的公共 IP 地址对象。 创建 VPN 网关后,会将公共 IP 地址分配给此对象。 仅当删除并重新创建网关时,主公共 IP 地址才会发生更改。 该地址不会因为 VPN 网关大小调整、重置或其他内部维护/升级而更改。
- 公共 IP 地址类型:如果显示此选项,请选择“标准”。 “基本”公共 IP 地址 SKU 仅支持“基本”SKU VPN 网关。
- 公共 IP 地址:让“新建” 保持选中状态。
- 公共 IP 地址名称:在文本框中,输入公共 IP 地址实例的名称。
- 公共 IP 地址 SKU:将自动选择设置。
- 分配:分配通常是自动选择的。 对于标准 SKU,分配始终为“静态”。
- 启用主动-主动模式:选择“已禁用”。 仅当创建主动-主动网关配置时,才启用此设置。
- 配置 BGP:除非你的配置特别需要此设置,否则请选择“已禁用”。 如果确实需要此设置,则默认 ASN 为 65515,但可以更改此值。
选择“查看 + 创建” ,运行验证。
验证通过后,选择“创建”以部署 VPN 网关。
可以在网关的“概述”页上查看部署状态。 创建网关后,可以通过在门户中查看 VNet,来查看已分配给网关的 IP 地址。 网关显示为连接的设备。
重要
不支持网关子网上的网络安全组 (NSG)。 将网络安全组关联到此子网可能会导致虚拟网络网关(VPN 和 ExpressRoute 网关)停止按预期方式工作。 有关网络安全组的详细信息,请参阅什么是网络安全组?
生成证书
Azure 使用证书对通过点到站点 VPN 连接连接到 VNet 的客户端进行身份验证。 获得根证书后,即可将公钥信息上传到 Azure。 然后,Azure 就会将该根证书视为通过 P2S 连接到 VNet 时需要使用的“受信任”证书。
也可从受信任的根证书生成客户端证书,然后将其安装在每个客户端计算机上。 当客户端发起与 VNet 的连接时,需使用客户端证书对客户端进行身份验证。
在配置点到站点网关设置之前,必须生成并提取根证书。
生成根证书
获取根证书的 .cer 文件。 你可以使用通过企业解决方案生成的根证书(推荐),或者生成自签名证书。 创建根证书后,将公共证书数据(不是私钥)作为 Base64 编码的 X.509 .cer 文件导出。 稍后,请将此文件上传到 Azure。
企业证书: 如果使用的是企业级解决方案,可以使用现有的证书链。 获取要使用的根证书的 .cer 文件。
自签名根证书: 如果使用的不是企业证书解决方案,请创建自签名根证书。 否则,创建的证书将不兼容 P2S 连接,客户端会在尝试进行连接时收到连接错误。 可以使用 Azure PowerShell、MakeCert 或 OpenSSL。 以下文章中的步骤介绍了如何生成兼容的自签名根证书:
- 适用于 Windows 10 或更高版本的 PowerShell 说明:这些说明要求运行 Windows 10 或更高版本的计算机上具有 PowerShell。 从根证书生成的客户端证书可以安装在任何受支持的 P2S 客户端上。
- MakeCert 说明:如果无法访问运行 Windows 10 或更高版本的计算机,则可使用 MakeCert 生成证书。 虽然 MakeCert 已弃用,但仍可使用它来生成证书。 从根证书生成的客户端证书可以安装在任何受支持的 P2S 客户端上。
- Linux - OpenSSL 说明
- Linux - strongSwan 说明
生成客户端证书
在使用点到站点连接连接到 VNet 的每台客户端计算机上,必须安装客户端证书。 请从根证书生成它,然后将它安装在每个客户端计算机上。 如果未安装有效的客户端证书,则当客户端尝试连接到 VNet 时,身份验证会失败。
可以为每个客户端生成唯一证书,也可以对多个客户端使用同一证书。 生成唯一客户端证书的优势是能够吊销单个证书。 否则,如果多个客户端使用相同的客户端证书进行身份验证而你将其撤销,则需为所有使用该证书的客户端生成并安装新证书。
可以通过以下方法生成客户端证书:
企业证书:
如果使用的是企业证书解决方案,请使用通用名称值格式 name@yourdomain.com 生成客户端证书, 而不要使用“域名\用户名”格式。
请确保客户端证书基于“用户”证书模板,该模板将“客户端身份验证”列为用户列表中的第一项。 检查证书的方式是:双击证书,然后在“详细信息”选项卡中查看“增强型密钥用法” 。
自签名根证书: 按照下述某篇 P2S 证书文章中的步骤操作,使创建的客户端证书兼容 P2S 连接。
从自签名根证书生成客户端证书时,该证书会自动安装在用于生成该证书的计算机上。 如果想要在另一台客户端计算机上安装客户端证书,请以 .pfx 文件格式导出该证书以及整个证书链。 这样做会创建一个 .pfx 文件,其中包含的根证书信息是客户端进行身份验证所必需的。
这些文章中的步骤可生成兼容的客户端证书,然后你可以导出和分发该证书。
适用于 Windows 10 或更高版本 PowerShell 的说明:按照这些说明进行操作时,需要使用 Windows 10(或更高版本)和 PowerShell 来生成证书。 生成的证书可以安装在任何受支持的 P2S 客户端上。
适用于 MakeCert 的说明:如果无权访问用于生成证书的 Windows 10 或更高版本计算机,则可使用 MakeCert。 虽然 MakeCert 已弃用,但仍可使用它来生成证书。 可以将生成的证书安装在任何受支持的 P2S 客户端上。
Linux:请参阅 strongSwan 或 OpenSSL 说明。
添加地址池
“点到站点配置”页包含 P2S VPN 所需的配置信息。 配置所有 P2S 设置并更新网关后,可使用“点到站点配置”页来查看或更改 P2S VPN 设置。
- 转到在上一部分创建的网关。
- 在左侧窗格中选择“点到站点配置”。
- 单击“立即配置”,打开配置页。
客户端地址池是指定的专用 IP 地址的范围。 通过点到站点 VPN 进行连接的客户端动态接收此范围内的 IP 地址。 使用专用 IP 地址范围时,该范围不得与要通过其进行连接的本地位置重叠,也不得与要连接到其中的 VNet 重叠。 如果配置了多个协议,并且 SSTP 是其中一个协议,则配置的地址池将在配置的协议之间平均分配。
在“点到站点”配置页的“地址池”框中,添加要使用的专用 IP 地址范围。 VPN 客户端动态接收指定范围内的 IP 地址。 主动/被动配置的最小子网掩码为 29 位,主动/主动配置的最小子网掩码为 28 位。
接下来,配置隧道和身份验证类型。
指定隧道和身份验证类型
注意
如果“点到站点配置”页上未显示隧道类型或身份验证类型,则表示网关使用的是基本 SKU。 基本 SKU 不支持 IKEv2 或 RADIUS 身份验证。 若要使用这些设置,需要删除网关,然后使用另一网关 SKU 重新创建网关。
在本部分,你将指定隧道类型和身份验证类型。 这些设置可能会变得复杂,具体取决于你需要的隧道类型,以及用于从用户操作系统建立连接的 VPN 客户端软件。 本文中的步骤会引导你完成基本配置设置和选择。
可以从下拉列表中选择包含多种隧道类型的选项 - 例如“IKEv2 和 OpenVPN(SSL)”或“IKEv2 和 SSTP (SSL)”,但是,仅支持隧道类型和身份验证类型的特定组合。 例如,仅当从隧道类型下拉列表中选择“OpenVPN (SSL)”而不是“IKEv2 和 OpenVPN(SSL)”时,才能使用 Microsoft Entra 身份验证。
此外,隧道类型和身份验证类型对应于可用于连接到 Azure 的 VPN 客户端软件。 例如,一个 VPN 客户端软件应用程序可能只能通过 IKEv2 进行连接,而另一个应用程序只能通过 OpenVPN 进行连接。 有些客户端软件虽然支持特定的隧道类型,但可能不支持你选择的身份验证类型。
如你所知,当有各种不同的 VPN 客户端从不同的操作系统进行连接时,规划隧道类型和身份验证类型非常重要。 选择隧道类型与 Azure 证书身份验证的组合时,请考虑以下准则。 其他身份验证类型有不同的注意事项。
Windows:
- 通过操作系统中已安装的本机 VPN 客户端进行连接的 Windows 计算机会首先尝试 IKEv2,如果无法连接,则它们将回退到 SSTP(如果你在隧道类型下拉列表中同时选择了 IKEv2 和 SSTP)。
- 如果选择了 OpenVPN 隧道类型,则可以使用 OpenVPN 客户端或 Azure VPN 客户端进行连接。
- Azure VPN 客户端支持可选配置设置,例如自定义路由和强制隧道。
macOS:
- 适用于 macOS 的原生 VPN 客户端只能使用 IKEv2 隧道类型连接到 Azure。
- 如果你想要将 OpenVPN 隧道类型与证书身份验证结合使用,可以使用 OpenVPN 客户端。
Linux:
- 适用于 Linux 的 Azure VPN 客户端支持 OpenVPN 隧道类型。
- Android 和 Linux 上的 strongSwan 客户端只能使用 IKEv2 隧道类型进行连接。
隧道和身份验证类型
对于“隧道类型”,请选择你想要使用的隧道类型。 对于本练习,请从下拉列表中选择“IKEv2 和 OpenVPN(SSL)”。
对于“身份验证类型”,请选择要使用的身份验证类型。 在本练习中,请从下拉列表中选择“Azure 证书”。 如果你对其他身份验证类型感兴趣,请参阅有关 Microsoft Entra ID 和 RADIUS 的文章。
其他 IP 地址
如果你有使用可用性区域 SKU (AZ SKU) 的主动-主动模式网关,则需要第三个公共 IP 地址。 如果此设置不适用于你的网关,则无需添加其他 IP 地址。
上传根证书的公钥信息
在本部分中,你会将公共根证书数据上传到 Azure。 上传公共证书数据后,Azure 即可使用该数据对已安装客户端证书(根据受信任的根证书生成)的客户端进行身份验证。
确保在前面的步骤中,已将根证书导出为 Base-64 编码的 X.509 (.CER) 文件。 需要以这种格式导出证书,以便使用文本编辑器打开该证书。 不需要导出私钥。
使用记事本之类的文本编辑器打开该证书。 复制证书数据时,请确保将文本复制为一个连续行:
转到“虚拟网络网关”->“点到站点配置”页中的“根证书”部分。 仅当已选择“Azure 证书”作为身份验证类型时,此部分才可见。
在“根证书”部分,最多可以添加 20 个受信任的根证书。
- 将证书数据粘贴到“公共证书数据”字段中。
- 将证书命名。
本练习不需要其他路由。 有关自定义路由功能的详细信息,请参阅播发自定义路由。
选择页面顶部的“保存”,保存所有配置设置。
生成 VPN 客户端配置文件
VPN 客户端的所有必需配置设置都包含在 VPN 客户端配置文件 zip 文件中。 VPN 客户端配置文件特定于 VNet 的 P2S VPN 网关配置。 如果生成文件后 P2S VPN 配置有任何更改,例如 VPN 协议类型或身份验证类型出现更改,则需要生成新的 VPN 客户端配置文件,并将新配置应用到所有要连接的 VPN 客户端。 有关 P2S 配置的详细信息,请参阅关于点到站点 VPN。
可使用 PowerShell 或 Azure 门户生成客户端配置文件。 以下示例展示了这两种方法。 两种方法之一都会返回相同的 zip 文件。
Azure 门户
在 Azure 门户中,转到要连接到的虚拟网络的虚拟网络网关。
在虚拟网络网关页上,选择“点到站点配置”以打开“点到站点配置”页。
在“点到站点配置”页的顶部,选择“下载 VPN 客户端”。 这不会下载 VPN 客户端软件,它将生成用来配置 VPN 客户端的配置包。 需要几分钟才能生成客户端配置包。 在此期间,在包生成前,可能不会显示任何指示。
生成配置包后,浏览器将显示有一个客户端配置 zip 文件可用。 其名称与网关名称相同。
解压缩该文件,查看文件夹。 你将使用其中一些或全部文件来配置 VPN 客户端。 生成的文件对应于你在 P2S 服务器上配置的身份验证和隧道类型设置。
PowerShell
生成 VPN 客户端配置文件时,“-AuthenticationMethod”的值为“EapTls”。 使用以下命令生成 VPN 客户端配置文件:
$profile=New-AzVpnClientConfiguration -ResourceGroupName "TestRG" -Name "VNet1GW" -AuthenticationMethod "EapTls"
$profile.VPNProfileSASUrl
将 URL 复制到浏览器以下载 zip 文件。
配置 VPN 客户端并连接到 Azure
有关配置 VPN 客户端并连接到 Azure 的步骤,请参阅以下文章:
身份验证 | 隧道类型 | 客户端 OS | VPN 客户端 |
---|---|---|---|
证书 | |||
IKEv2、SSTP | Windows | 本机 VPN 客户端 | |
IKEv2 | macOS | 本机 VPN 客户端 | |
IKEv2 | Linux | strongSwan | |
OpenVPN | Windows | Azure VPN 客户端 OpenVPN 客户端 |
|
OpenVPN | macOS | OpenVPN 客户端 | |
OpenVPN | Linux | Azure VPN 客户端 OpenVPN 客户端 |
|
Microsoft Entra ID | |||
OpenVPN | Windows | Azure VPN 客户端 |
验证连接
这些说明适用于 Windows 客户端。
如果要验证用户的 VPN 连接是否处于活动状态,请打开提升的命令提示符,并运行 ipconfig/all。
查看结果。 请注意,收到的 IP 地址是在配置中指定的点到站点 VPN 客户端地址池中的地址之一。 结果与以下示例类似:
PPP adapter VNet1: Connection-specific DNS Suffix .: Description.....................: VNet1 Physical Address................: DHCP Enabled....................: No Autoconfiguration Enabled.......: Yes IPv4 Address....................: 172.16.201.3(Preferred) Subnet Mask.....................: 255.255.255.255 Default Gateway.................: NetBIOS over Tcpip..............: Enabled
连接到虚拟机
这些说明适用于 Windows 客户端。
你可以通过建立与 VM 的远程桌面连接来连接部署到虚拟网络的 VM。 若要通过初始验证来确认能否连接到 VM,最好的方式是使用其专用 IP 地址而不是计算机名称进行连接。 这种方式测试的是能否进行连接,而不是测试名称解析是否已正确配置。
定位专用 IP 地址。 如需查找 VM 的专用 IP 地址,可以通过在 Azure 门户中查看 VM 的属性或通过使用 PowerShell 实现。
Azure 门户:在 Azure 门户中找到你的 VM。 查看 VM 的属性。 专用 IP 地址已列出。
PowerShell:通过此示例查看资源组中 VM 的列表及其专用 IP 地址。 在使用此示例之前不需对其进行修改。
$VMs = Get-AzVM $Nics = Get-AzNetworkInterface | Where-Object VirtualMachine -ne $null foreach ($Nic in $Nics) { $VM = $VMs | Where-Object -Property Id -eq $Nic.VirtualMachine.Id $Prv = $Nic.IpConfigurations | Select-Object -ExpandProperty PrivateIpAddress $Alloc = $Nic.IpConfigurations | Select-Object -ExpandProperty PrivateIpAllocationMethod Write-Output "$($VM.Name): $Prv,$Alloc" }
验证是否已连接到虚拟网络。
通过在任务栏上的搜索框中输入“RDP”或“远程桌面连接”,打开远程桌面连接。 然后选择“远程桌面连接”。 也可在 PowerShell 中使用
mstsc
命令来打开远程桌面连接。在“远程桌面连接”中,输入 VM 的专用 IP 地址。 你可以选择“显示选项”来调整其他设置,然后进行连接。
如果无法通过 VPN 连接连接到 VM,请检查以下各项:
- 验证 VPN 连接是否成功。
- 验证是否已连接到 VM 的专用 IP 地址。
- 如果可以使用专用 IP 地址连接到 VM,但不能使用计算机名称进行连接,则请验证是否已正确配置 DNS。 若要详细了解如何对 VM 进行名称解析,请参阅针对 VM 的名称解析。
若要详细了解 RDP 连接,请参阅排查远程桌面连接到 VM 的问题。
验证是否在为 VNet 指定 DNS 服务器 IP 地址之后,才生成 VPN 客户端配置包。 如果更新了 DNS 服务器 IP 地址,请生成并安装新的 VPN 客户端配置包。
使用“ipconfig”来检查分配给以太网适配器的 IPv4 地址,该适配器所在的计算机正是你要从其进行连接的计算机。 如果该 IP 地址位于要连接到的 VNet 的地址范围内,或者位于 VPNClientAddressPool 的地址范围内,则称为地址空间重叠。 当地址空间以这种方式重叠时,网络流量不会抵达 Azure,而是呆在本地网络中。
添加或删除可信根证书
可以在 Azure 中添加和删除受信任的根证书。 删除根证书时,如果客户端的证书是从该根生成的,则客户端不能进行身份验证,因此无法进行连接。 如果希望客户端进行身份验证和连接,则需安装新客户端证书,该证书是从委托(上传)给 Azure 的根证书生成的。
最多可以将 20 个受信任的根证书 .cer 文件添加到 Azure。 有关说明,请参阅上传受信任的根证书部分。
若要删除受信任的根证书,请执行以下操作:
- 导航到虚拟网络网关的“点到站点配置”页。
- 在页面的“根证书”部分,找到要删除的证书。
- 选择证书旁边的省略号图标,然后选择“删除”。
吊销客户端证书
可以吊销客户端证书。 通过证书吊销列表,可以选择性地拒绝基于单个客户端证书的 P2S 连接。 这不同于删除受信任的根证书。 如果从 Azure 中删除受信任的根证书 .cer,它会吊销由吊销的根证书生成/签名的所有客户端证书的访问权限。 吊销客户端证书而非根证书后,可继续使用从根证书生成的其他证书进行身份验证。
常见的做法是使用根证书管理团队或组织级别的访问权限,并使用吊销的客户端证书针对单个用户进行精细的访问控制。
可以通过将指纹添加到吊销列表来吊销客户端证书。
- 检索客户端证书指纹。 有关详细信息,请参阅如何检索证书的指纹。
- 将信息复制到一个文本编辑器,删除所有空格,使之成为一个连续的字符串。
- 导航到虚拟网关的“点到站点配置”页。 此页面正是用来上传受信任的根证书的页面。
- 在“吊销的证书”部分,输入证书的友好名称(不必是证书 CN)。
- 将指纹字符串复制并粘贴到“指纹”字段。
- 指纹将进行验证,并会自动添加到吊销列表。 屏幕上会显示一条消息,指出列表正在进行更新。
- 更新完成后,不再可以使用证书来连接。 客户端在尝试使用此证书进行连接时,会收到一条消息,指出证书不再有效。
点到站点常见问题解答
有关常见问题解答,请参阅常见问题解答。
后续步骤
连接完成后,可将虚拟机添加到 VNet。 有关详细信息,请参阅虚拟机。 若要详细了解网络和虚拟机,请参阅 Azure 和 Linux VM 网络概述。
有关 P2S 故障排除信息,请参阅排查 Azure 点到站点连接问题。