きっかけ

Az-305の問題集をUdemyで解いていた時に、Azure証明書認証を使ったポイント対サイトの問題が出てきました。
回答の納得感が得られなったので、実機で触ってみようと思いました。

参考資料

Azure 証明書認証を使用したポイント対サイト VPN 接続を構成する: Azure portal

手順

基本的には公式の手順に従って実施します。
本記事では、画像を添えながらの補足です。
なお、仮想ネットワークゲートウェイは作成に45分ほどかかります。先に作成だけ行い、完了するまで証明書などの手順を実施するのがベターです。

VNetの作成

Vnetとサブネットを作成します。CIDRなどは公式の手順通りです。

仮想ネットワークゲートウェイの作成

こちらは、オンプレ（ポイント）とVNet（サイト）を接続するときのゲートウェイになります。
仮想ネットワークゲートウェイの作成が完了したら、後続で作成したルート証明書をアップロードしてください。

証明書の作成

証明書はユーザが作成する必要があります。
参考資料の手順に従って実施してください。
証明書の作成を確認する際には、windows+rから、certmgr.mscを入力してください。
証明書マネージャーが開くので、そこから確認できます。（対象のフォルダは参考資料記載のため省略します）

VPNクライアントのダウンロード

クライアント（の構成ファイル）のダウンロードが、Azure Portalから実施できます。
.zipでダウンロードされますので、適当なフォルダからインストールしてください。

接続のテスト

Windows の左下の虫眼鏡アイコンから、「VPN」と入力してください。
追加したVnet1が存在するので、接続を押下してテストしてください。

(オプション) VMへの接続

VNet1には、過去の手順でfrontendサブネットを作成しています。
ここに、適当なVMを作成して、プライベートIPでの接続をテストしてみましょう。
接続のテストが完了していれば、問題なく接続できるはずです。

• 接続可能なときのVM側でのipconfig
  

• P2Sを切断した直後
  セッション接続中と出ますね。
  

詰まったところ

Q. ルート証明書は自分で作成する必要があるのか？
A. YES。Azure Portalから作成できると思ったが叶わず。Power Shellを使ってください。

Q. 仮想ネットワークゲートウェイは停止できる？
A. No。課金を止めるには削除するしかない。個人利用はツライ。

Q. 証明書を作成するときに出てくる数字の羅列は何？（画像参照）

A. 作成する証明書をCAの証明書として識別するための記述のようです。参考

Q. クライアントのインストール時に、'azurebox32.ico' が必要ですというエラーが出ます。
A. 公式の対処方法をご参照ください。パスに日本語が入っているとエラーになるみたいです。

Q. ルート証明書とクライアント証明書の違いは？
A. ルート証明書は、サーバ証明書の発行元が怪しいものではないですよ。という身元を証明するためのもの。証明書が正しいと言われても、その発行元が怪しければ意味がないですよね。今回で言うと、VNet側から受け取る証明書の認証局の確認をするために使われています。