关于网关根证书迁移和 P2S VPN 配置文件更新

Azure 会定期轮换用于点到站点 (P2S) VPN 连接的 VPN 网关所使用的根证书。 根证书迁移 (也称为 根证书轮换)是将 VPN 网关从旧根证书转换为新证书的计划过程。 Microsoft在每个迁移之前提供提前通知。

Important

此更改会影响所有 P2S 客户端,而不仅仅是使用证书身份验证的客户端。

在迁移过程中,VPN 网关将其服务器证书更新为由新根证书签名的服务器证书。 网关在过渡期内同时附加了旧证书和新证书。 在迁移截止时间日期,将删除旧证书,并且只有新证书对客户端连接有效。

若要维护连接,必须 生成并重新分发 更新的 P2S VPN 客户端配置文件,以便客户端具有新的根证书信息。 迁移截止时间之后,包含仅包含旧证书信息的配置文件的客户端无法连接。

以下常见问题解答部分可帮助你确定你是否受到影响、要执行的操作以及查找更新 P2S VPN 客户端配置文件的说明的位置。

FAQ

一般信息

是否需要迁移网关根证书,还是自动进行?

Azure迁移后端上的网关根证书。 但是,必须在迁移截止时间之前生成更新的 VPN 客户端配置文件并将其分发给用户,以在迁移后保持连接。

即使未对 P2S VPN 使用证书身份验证,我是否需要更新 VPN 客户端配置文件?

Yes. 无论为 P2S VPN 配置的身份验证方法如何,网关证书都用于身份验证。

为什么需要更新 VPN 客户端配置文件?

更新后的配置文件包含迁移后与网关建立信任所需的根证书信息。 如果没有连接,网关迁移到新证书后,P2S VPN 连接将失败。 VPN 客户端配置文件更新过程与用于影响 P2S VPN 的任何网关配置更改相同,例如添加身份验证方法或更改隧道类型。 在这种情况下,更改涉及网关的根证书,它是所有 P2S VPN 连接进行身份验证的关键组成部分。

证书迁移是否更改了 VPN 网关配置?

No. 隧道类型、身份验证方法、地址池和路由配置保持不变。 只需更新客户端配置文件。

最终用户是否会遇到连接中断?

如果最终用户未安装新配置文件,则迁移网关证书后将无法连接。

先决条件和权限

如何知道是否需要采取行动?

你会收到来自 Azure 的通知,指出你的网关受到了影响。 如果收到此通知,请按照 “如何更新点到站点 VPN 客户端”中的步骤操作。

谁可以下载更新的 VPN 客户端配置文件?

具有访问虚拟网络网关或虚拟 WAN资源并下载 VPN 客户端配置的 Azure RBAC 权限的任何人都可以生成和下载更新的配置文件。

生成并安装已更新的配置文件

如何生成新的 VPN 客户端配置文件?

有关分步指南,请参阅 如何更新点到站点 VPN 客户端

下载的 ZIP 文件包含哪些内容?

ZIP 文件包含所有受支持的 VPN 客户端类型的更新客户端配置文件文件。 将其解压缩到本地目录以访问配置文件。

是否需要为每个 VPN 客户端类型生成单独的配置文件?

No. 单个下载会生成所有受支持的客户端类型的配置文件。 但是,你必须为每个受影响的网关生成新的配置文件。

如何安装更新的配置文件?

有关安装步骤,请参阅 如何更新点到站点 VPN 客户端

如果此网关的连接配置文件已存在于客户端设备上,该怎么办?

新配置文件不会自动覆盖现有配置文件。 按照 “分发”中的安装步骤安装更新的配置文件 ,将新配置添加到客户端。

分发和部署

谁负责分发更新后的配置描述文件?

负责网关的 VPN 管理员或 IT 团队将更新的配置文件分发给通过 P2S VPN 连接的所有最终用户。

所有用户都需要更新,还是只有部分用户需要更新?

使用 P2S VPN 通过受影响的网关连接的所有最终用户都必须安装更新的配置文件。

我拥有大量用户。 我应该如何处理推出?

对于具有许多 P2S VPN 用户的组织,我们建议你:

  • 尽早生成新配置文件。
  • 使用现有的终端管理工具将更新后的配置文件推送到受管设备上。
  • 使用明确的说明提前向用户传达更改。
  • 在广泛推出之前,先用一个小群体测试新配置文件。
  • 迁移后,监控网关是否存在来自旧配置文件的连接尝试。

我的用户管理自己的 VPN 客户端配置。 我该怎么办?

对于终端用户自行管理其 VPN 配置文件的去中心化组织:

  • 向解释所需操作的所有 P2S VPN 用户发送直接通信。
  • 提供新的配置文件或清晰的下载说明。
  • 在迁移之前设置截止时间。

连接和故障排除

如何验证更新后的配置文件是否正常工作?

安装更新的配置文件后,建立 P2S VPN 连接,并使用Azure资源验证端到端连接。

安装更新的配置文件后,连接失败。 我该怎么办?

请尝试以下步骤:

  1. 确认你在收到更新后的配置文件可用的通知后下载了该文件。
  2. 验证是否使用了正确的配置文件,并导入了客户端类型所需的所有根证书。
  3. 使用 Azure VPN 网关 故障排除文档进行故障排除
  4. 如果问题仍然存在,请创建 Azure 支持 请求

我的 VPN 连接在收到更新通知之前中断。 发生了什么情况?

在某些情况下,在适用于您的网关类型的更新配置文件可用之前,您的 VPN 客户端软件或操作系统可能已不再信任之前的根证书。

若要还原连接,请在客户端设备上安装以前的根证书。 然后,请参阅故障排除文档,并使用更新的配置文件说明监视来自Azure的通知。 如果需要帮助,请联系Azure支持部门

Billing

是否有与此更改相关的成本?

No. 没有与生成或安装新的 VPN 客户端配置文件相关的定价更改。

后续步骤

更新 P2S VPN 客户端配置文件

  • Last updated on