Ezgi Can

Microsoft Azure Point-to-Site VPN-Part 1

Virtual Private Network (VPN) temel olarak internet üzerinden ilgili protokollerin kullanılması ile güvenli bir şekilde verilen aktarılma işlemidir. VPN sayesinde şirketler farklı lokasyonlardaki ofislerine internet yolu ile güvenli bir şekilde erişim sağlayabildikleri gibi, yetki verdikleri şirket kullanıcılarının merkez lokasyona yine güvenli bir şekilde bağlanmalarını da sağlayan teknolojidir. VPN teknolojisi sayesinde iletişim maliyetlerinde sağlanan avantaj dışında kesintisiz ve yüksek erişim söz konusudur. Burada iki farklı topoloji düşünülebilir. Bunlardan biri daha önceden de bahsedildiği üzere iki farklı lokasyondaki ofislerin iletişimi yani “Site-to-Site VPN”, bir diğeri de yetkili kullanıcıların belirlenen merkez ofise bağlanmaları yani “Point-to-Site VPN”dir.

Bulut bilişimde büyük önem taşıyan Microsoft Azure teknolojisi ile de firmalar gerek alt yapılarını gerekse de HA senaryolarını Azure ortamında bulunan sanal makinalar üzerine taşımaktadırlar. Bunun dışında Azure üzerinde yer alan PaaS yapısı ile de Azure tarafında IT çalışanlarına sunulan platformu kullanarak kendi hizmetlerini yine kullanıcılara sunabilmektedir. Haliyle merkez lokasyon ile Microsoft Azure tarafında bir ağın oluşturulması gerekmektedir ki bu ihtiyaç VPN teknolojisi ile karşılanmaktadır. Buradan da anlaşıldığı gibi Microsoft Azure ile VPN topolojilerinden “Site to Site VPN” ve “Point to Site VPN”leri yapılandırılabilmektedir. Bu yazıda ise “Point to Site VPN” adım adım anlatılacaktır.

Microsoft Azure ile “Point to Site VPN” yapılmak istenildiği takdirde network ve firewall tarafında herhangi bir konfigürasyonun yapılmasına gerek yoktur. Tek ihtiyaç, client tarafından ilgili sertifikaların ve konfigürasyonların yapılmasıdır. Buradaki sertifika ihtiyacı ise Microsoft Azure Point-to-Site VPN teknolojisinde Secure Socket Tunneling Protokolünün kullanılmasındandır. Gerekli konfigürasyon ayarlamalarının yapılmasından sonra artık yetkili kullanıcılar Microsoft Azure tarafında bulunan makinalara uzak masaüstü ile güvenli erişim sağlamış olacaklardır.

Point-to-Site VPN ve Sertifika

Microsoft Azure, Point-to-site VPN kurulumu sırasında SSTP yapısını kullandığı için Azure ile yapılandırılacak olan Point-to-Site VPN sırasında sertifika gerekmektedir. Burada VPN yapacak olan kullanıcıların kullanacağı personal sertifikaya ve buna ait root sertifikasına ihtiyaç vardır.

Point-to-Site VPN sırasında kullanılacak olan sertifikanın oluşturulması için “Microsoft Visual Studio Express 2013 for Windows Desktop” uygulaması ile sağlanacaktır. Bunun için Microsoft’un sitesine giderek gerekli uygulamanın kurulması ve konfigüre edilmesi gerekmektedir.

p1

Microsoft Visual Studio’nun kurulmasının ardından içerisinde yer alan “Developer Command Prompt for VS2013” ile sertifikaların oluşturulma işlemine başlanacaktır. Gerekli komutların stabil çalışması için ilgili tool’un “Run as administrator” olarak çalıştırılması gerekmektedir.

p2

Şekildeki arayüzde Microsoft Azure tarafından tanımlanacak olan Root sertifikanın oluşturulması için ilgili komut çalıştırılmıştır. “makecert” komutu ile gerekli işlem gerçekleştirilecektir.

p3

Root sertifikasının oluşturulmasından sonra, VPN bağlantısı yapacak kullanıcıların cihazlarına yüklenecek sertifikanın oluşturulma işlemi şekilde görülmektedir. Bunun için yine ilgili root sertfikasına bağlı client sertifikanın oluşturulma işleminde “makecert” komutu kullanılmaktadır.

p4

İlgili sertifikaların oluşturulmasının ardından kullanıcılara ve Microsoft Azure VPN bağlantısına bu sertifikaları tanımlamak için ilk yapılması gereken işlem sertifikaların düzgün şekilde export edilmesidir. Bu sertifikaları gözlemlemek için, mmc konsolundan ilgili kullanıcıya ait sertifika konsolu açılarak “Personal” kısmına gelinir ve oluşturulan sertifikalar görüntülenir. Bundan sonraki adımda ise sertifikaların export edilme işlemine başlanılacaktır.

p5

Root sertifikasının export edilme işlemi ilgili sertifikanın üzerine gelinerek gerçekleştirilir. Şekilde de görüldüğü üzere “All Tasks” başlığı altından “Export” işlemi seçilerek devam edilir.

p6

Root sertifikasının export işlemi sırasında ilgili “Private Key” export edilmez. “Next” seçeneği ile devam edilir.

p7

Şekildeki arayüzde sertikanın export edilirken dosya formatı ile ilgili arayüz yer almaktadır. Root sertikası export edilirken seçilmesi gereken “DER encoded binary X.509” seçeneği olacaktır.

p8 

Sertikanın export etme ile ilgili gerekli konfigürasyon yapıldıktan sonar kullanıcı tarafından kaydedileceği yer belirlenecektir.

p9

p9_2

Şekildeki arayüzde root sertifikanın export edilmesi ile ilgili yapılan işlemlerin özet ekranı yer almaktadır. “Finish” seçeneği seçilerek ilgili sertifikanın export etme işlemi de tamamlanmış olacaktır.

p10

Root sertikasının export edilme işleminden sonra sıra client tarafından VPN bağlantısı sırasında kullanılacak sertifikanın export etme işlemi gerçekleştirilecektir. Şekilde de görüldüğü üzere önceden komutlarla oluşturulan client sertifikanın üzerine gelinerek export etme işlemine başlanacaktır. “All Tasks” seçeneğinin hemen ardından “Export” seçeneği ile devam edilecektir.

p11

Client sertifikanın export edilme işlemi sırasında ilgili private key’de sertifika ile beraber export edilecektir. Bunun için “Yes, export private key” seçeneği ile devam edilir.

p12

Şekildeki arayüzde export edilecek olan client sertifikanın dosya formatı belirlenecektir. Private key’in de sertifika ile export edilmesinden dolayı burada “Personal Information Exchange – PKCS #12 (.PFX)” seçeneği ile devam edilecektir.

p13

Export edilen sertifikanın içerisinde private key’in de olmasından dolayı güvenlik önleminin alınması gerekmektedir. Bunun için şekildeki sihirbaz kullanıcılara iki seçenek sunmaktadır. Bunlardan birisi bu sertifikayı hangi kullanıcı ya da grupların kullanabileceğine dair yetkinin atanacağı bir arayüz iken, bir diğeri de sertifikanın import edilmesi sırasında kullanıcılacak bir parolanın belirlenmesidir.

p14

İlgili sertifikanın hangi lokasyona kayıt edileceğinin belirlendiği arayüz şekildeki gibidir. “Browse” seçeneği ile ilgili lokasyon ve sertifika adının değiştirilme işlemi gerçekleştirilebilir.

p15

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 
Comments

No comments yet.