问题描述
我无法理解 Azure 点到站点 VPN 的证书要求。我的理解是,每当企业 CA 生成证书时,它都有一个公钥和私钥。因此,当我们将根证书上传到 Azure VPN 时,我们需要同时上传私钥和公钥。我的理解正确吗?此外,只有公钥的根证书必须安装在用户(客户端)机器上。此外,用户(客户端)机器必须有客户端证书,只有公钥,从根证书生成
如果我的理解正确,请告诉我。
解决方法
Azure 点到站点 (P2S) VPN 网关连接可让您从单个客户端计算机创建到虚拟网络的安全连接。 P2S 连接是通过从客户端计算机启动来建立的。
Azure 使用证书对通过点到站点 VPN 连接连接到 VNet 的客户端进行身份验证。
首先需要生成根证书,然后将公钥信息上传到Azure。然后,Azure 将根证书和未来的客户端证书视为“受信任的”,以便通过 P2S 连接到虚拟网络。 (您可以使用通过企业解决方案生成的根证书,也可以生成自签名证书)
然后您需要从受信任的根证书生成客户端证书,并将它们安装在每台客户端计算机上。客户端证书用于在客户端发起与 P2S VPN (VNet) 的连接时对其进行身份验证。
Azure P2S VPN 只需要根证书,客户端机器只需要客户端证书。