今回は P2S VPN で Windows デバイスを接続していきます。事前に VPN ゲートウェイの作成が完了していることを前提とします。
証明書の作成
自己署名ルート証明書の作成
P2S VPN の実装にはルート証明書が必要です。本番環境ではきちんとしたエンタープライズ向け証明書が推奨ですが、検証環境なので自己署名で用意します。
Windows デバイスで管理者権限で PowerShell を起動します。次のコマンドでルート証明書を作成します。コマンドが成功すると現在のユーザーの証明書ストアに”P2SRootCert”という名前のルート証明書が作成されます。
$cert = New-SelfSignedCertificate -Type Custom -KeySpec Signature `
-Subject "CN=P2SRootCert" -KeyExportPolicy Exportable `
-HashAlgorithm sha256 -KeyLength 2048 `
-CertStoreLocation "Cert:\CurrentUser\My" -KeyUsageProperty Sign -KeyUsage CertSign
クライアント証明書の作成
次は先ほどの自己署名ルート証明書で署名したクライアント証明書を作成します。このクライアント証明書は、P2S VPN 接続するデバイスに配布します。コマンドが成功すると現在のユーザーの証明書ストアに”P2SChildCert”という名前のクライアント証明書が作成されます。
New-SelfSignedCertificate -Type Custom -DnsName P2SChildCert -KeySpec Signature `
-Subject "CN=P2SChildCert" -KeyExportPolicy Exportable `
-HashAlgorithm sha256 -KeyLength 2048 `
-CertStoreLocation "Cert:\CurrentUser\My" `
-Signer $cert -TextExtension @("2.5.29.37={text}1.3.6.1.5.5.7.3.2")
P2S VPN ゲートウェイの設定
ルート証明書のエクスポート
証明書を作成したデバイスの証明書ストアにて、自己署名ルート証明書を右クリックし、[エクスポート]をクリックします。
[証明書のエクスポートウィザード]にて、[秘密キーのエクスポート]で[いいえ、秘密キーをエクスポートしません]を選択し、[次へ]をクリックします。
[エクスポートファイルの作成]にて、[Base 64 encoded X.509 (.CER)]を選択し、[次へ]をクリックします。
[エクスポートするファイル]にて、保存するファイル名を指定し、[次へ]をクリックします。
[証明書のエクスポート ウィザードの完了]にて、設定内容を確認して[完了]をクリックします。
[正しくエスポートされました。]というメッセージのウィンドウで[OK]をクリックします。
エクスポートした証明書をメモ帳などで開き、中の文字列をコピーしておきます。
VPN ゲートウェイの設定
Azure ポータルにて、VPN ゲートウェイリソースを選択し、[ユーザー VPN 構成]をクリックします。パラメーターを指定し、[保存]をクリックします。
- [アドレス プール]:P2S VPN で接続したデバイスに割り当てるアドレス範囲を指定します。
- [ルート証明書]
- [名前]:ルート証明書の識別名を指定します。
- [公開証明書データ]:コピーしたルート証明書の文字列を貼り付けます。
P2S VPN 接続
VPN クライアントのダウンロード
VPN ゲートウェイの[ユーザー VPN 構成]で、[VPN クライアントのダウンロード]をクリックします。VPN クライアントの構成情報をダウンロードします。ZIP 形式のファイルがダウンロードされます。
VPN クライアントのインストール
Windows デバイスで ZIP 形式のファイルを展開し、環境にあったクライアントをインストールします。
確認ウィンドウで[はい]をクリックします。
インストールが完了したら、[設定]>[ネットワークとインターネット]>[VPN]をクリックします。
接続する VNET 名を選択し、[接続]をクリックします。
VPN の接続を行います。
初回接続時は接続マネージャーに対する管理者特権を確認されます。[続行]をクリックします。
状態が[接続済み]となっていることを確認します。
ネットワークインターフェースを確認すると、P2S VPN 用のインターフェースに IP アドレスが割り振られていることを確認します。
> ipconfig
PPP アダプター SNY-LAB-CORE-JPE-VNET:
接続固有の DNS サフィックス . . . . .:
IPv4 アドレス . . . . . . . . . . . .: 172.17.255.1
サブネット マスク . . . . . . . . . .: 255.255.255.255
デフォルト ゲートウェイ . . . . . . .:
コメント