近年、リモートワークの普及に伴い、セキュアなネットワーク接続の重要性が高まっています。Microsoft Azureの仮想ネットワークゲートウェイを用いたPoint to Site (P2S) VPNは、遠隔地から安全に企業のネットワークリソースにアクセスするための解決策として注目されています。本記事では、Azureの仮想ネットワークゲートウェイでクライアント証明書がサポートされていることから、Azure VPNを利用した際のクライアント証明書認証の設定手順とその検証結果について詳細に記載します。これにより、Azureを使用している企業がリモートアクセスのセキュリティを強化するための参考情報を提供します。
事前準備
事前準備として、Azure仮想インスタンス1つ、そのインスタンスが接続する仮想ネットワークを作成し、そこに仮想ネットワークゲートウェイ(VPN GW)を構築します。
今回は、以下のような構成で試します。
仮想ネットワークゲートウェイは以下のように作成しました。
続いて、[ポイント対サイトの構成]を設定していきます。
クライアント証明書認証に関するポイントは以下のとおりです。
- 認証の種類は、「Azure証明書」を選択
- ルート証明書の箇所には、ルート証明書と中間CA証明書を設定
テスト用CAについてはこちらからダウンロードが可能です。
ダウンロードしたファイルをテキストエディタで開き、最初の行と最後の行("-----BEGIN CERTIFICATE-----"と"-----END CERTIFICATE-----")を除いたものが対象データになります。
設定が終わったら、保存してVPNクライアントをダウンロードし、クライアントにインストールします。
※テスト用CAや専用プライベートCAで証明書を発行した場合は、ルートCAを自身の証明書ストア(信頼されたルート証明機関)に追加する必要があります。
VPN接続
事前準備を済ませたらVPN接続を試みてみます。
接続に成功し、仮想マシンへの疎通も確認できています。
Azure Portalの「ポイント対サイト セッション」でVPN接続ユーザを確認できます。
証明書を失効したい場合は、Azure Portalで失効する証明書の拇印を入力します。
CAが提供する失効情報(CRL・OCSP)は使われません。
拇印は証明書データから取得することができます。Windowsでみるとスペースで区切られますが、Azure Portalに入力する際にはスペースは省きます。
その証明書を持つクライアントからの接続は拒否されます。
証明書がない場合は以下のエラーになります(クライアント証明書を発行したルートCAの証明書が信頼されていない場合も同じエラーになります)
まとめ
この記事では、Azure VPNを使用したクライアント証明書認証の設定方法とその検証結果について詳しく説明しました。証明書に基づく認証は、セキュリティを大幅に強化することができるため、リモートアクセス環境を安全に保つ上で非常に有効です。
ただし、今回のAzure VPNの設定では発行CAのチェーン確認のみとなっているので、この場合は弊社の専用プライベートCAサービスを使うほうが現実的かもしれません。弊社の専用プライベートCAサービスに興味がございましたら、詳細情報や導入の相談について、いつでも弊社の営業窓口までお問い合わせください。
関連する記事
Windows PCで証明書認証する場合のMicrosoft Entra CBAの設定方法(2023.10.05)
不正アクセス事例から学ぶ、VPN接続のセキュリティ強化(2021.04.06)