تكوين عملاء VPN من نقطة إلى موقع: مصادقة الشهادة - macOS وiOS

تساعدك هذه المقالة على الاتصال بشبكة Azure الظاهرية (VNet) باستخدام بوابة VPN من نقطة إلى موقع (P2S) ومصادقة الشهادة. هناك مجموعات متعددة من الخطوات في هذه المقالة، اعتمادا على نوع النفق الذي حددته لتكوين P2S ونظام التشغيل وعميل VPN المستخدم للاتصال.

لاحظ ما يلي عند العمل مع مصادقة الشهادة:

• بالنسبة لنوع نفق IKEv2، يمكنك الاتصال باستخدام عميل VPN المثبت أصلا على نظام macOS.

• بالنسبة لنوع نفق OpenVPN، يمكنك استخدام عميل OpenVPN.

• لا يتوفر عميل Azure VPN لنظامي التشغيل macOS وiOS عند استخدام مصادقة الشهادة، حتى إذا حددت نوع نفق OpenVPN لتكوين P2S الخاص بك.

قبل البدء

قبل البدء، تأكد من أنك في المقالة الصحيحة. يعرض الجدول التالي مقالات التكوين المتوفرة لعملاء Azure VPN Gateway P2S VPN. تختلف الخطوات حسب نوع المصادقة ونوع النفق ونظام تشغيل العميل.

المصادقة	نوع النفق	إنشاء ملفات التكوين	تكوين عميل VPN
شهادة Azure	IKEv2، SSTP	Windows	عميل VPN الأصلي
شهادة Azure	OpenVPN	Windows	- عميل OpenVPN - عميل Azure VPN
شهادة Azure	IKEv2، و OpenVPN	macOS-iOS	macOS-iOS
شهادة Azure	IKEv2، و OpenVPN	Linux	Linux
Microsoft Entra ID	OpenVPN (SSL)	Windows	Windows
Microsoft Entra ID	OpenVPN (SSL)	ماك	ماك
RADIUS - شهادة	-	الماده	الماده
RADIUS - رمز الوصول	-	الماده	الماده
RADIUS - طرق أخرى	-	الماده	الماده

هام

بدءًا من 1 يوليو 2018، تتم إزالة الدعم لـ TLS 1.0 و1.1 من بوابة Azure VPN. ستدعم بوابة VPN الإصدار TLS 1.2 فقط. تتأثر الاتصالات من نقطة إلى موقع فقط؛ لن تتأثر الاتصالات من موقع إلى موقع. إذا كنت تستخدم TLS لشبكات VPN من نقطة إلى موقع على عملاء Windows 10 أو أحدث، فلن تحتاج إلى اتخاذ أي إجراء. إذا كنت تستخدم بروتوكول أمان طبقة النقل للاتصالات من نقطة إلى موقع على عملاء Windows 7 وWindows 8، فراجع الأسئلة الشائعة حول بوابة VPN للحصول على إرشادات التحديث.

إنشاء الشهادات

لمصادقة الشهادة، يجب تثبيت شهادة عميل على كل كمبيوتر عميل. يجب تصدير شهادة العميل التي تريد استخدامها باستخدام المفتاح الخاص، ويجب أن تحتوي على جميع الشهادات في مسار الشهادة. بالإضافة إلى ذلك، بالنسبة لبعض التكوينات، ستحتاج أيضا إلى تثبيت معلومات شهادة الجذر.

للحصول على معلومات حول العمل مع الشهادات، راجع نقطة إلى موقع: إنشاء شهادات - Linux.

إنشاء ملفات تكوين عميل VPN

يتم تضمين جميع إعدادات التكوين الضرورية لعملاء VPN في ملف مضغوط لتكوين ملف تعريف عميل VPN. يمكنك إنشاء ملفات تكوين ملف تعريف العميل باستخدام PowerShell، أو باستخدام مدخل Microsoft Azure. يرجع كلا الأسلوبين نفس الملف المضغوط.

ملفات تكوين ملف تعريف عميل VPN التي تنشئها خاصة بتكوين بوابة P2S VPN للشبكة الظاهرية. إذا كانت هناك أي تغييرات على تكوين P2S VPN بعد إنشاء الملفات، مثل التغييرات على نوع بروتوكول VPN أو نوع المصادقة، فأنت بحاجة إلى إنشاء ملفات تكوين ملف تعريف عميل VPN جديدة وتطبيق التكوين الجديد على جميع عملاء VPN الذين تريد توصيلهم. لمزيد من المعلومات حول اتصالات P2S، راجع حول VPN من نقطة إلى موقع.

لإنشاء ملفات باستخدام مدخل Microsoft Azure:

1. في مدخل Microsoft Azure، انتقل إلى بوابة الشبكة الظاهرية للشبكة الظاهرية التي تريد الاتصال بها.

2. في صفحة بوابة الشبكة الظاهرية، حدد تكوين نقطة إلى موقع لفتح صفحة تكوين نقطة إلى موقع.

3. في أعلى صفحة تكوين نقطة إلى موقع، حدد تنزيل عميل VPN. لا تؤدي هذه الخطوة إلى تنزيل برنامج عميل VPN، بل تقوم بإنشاء حزمة التكوين المستخدمة لتكوين عملاء VPN. يستغرق إنشاء حزمة تكوين عميل بضع دقائق. خلال هذا الوقت، قد لا ترى أي مؤشرات حتى يتم إنشاء الحزمة.

   

4. بمجرد إنشاء حزمة التكوين، يشير المستعرض إلى أن ملف مضغوط لتكوين العميل متوفر. تتم تسميته بنفس اسم البوابة لديك.

5. قم بفك ضغط الملف لعرض المجلدات التالية. ستستخدم بعض هذه الملفات أو كلها لتكوين عميل VPN الخاص بك. تتوافق الملفات التي تم إنشاؤها مع إعدادات المصادقة ونوع النفق التي قمت بتكوينها على خادم P2S.

بعد ذلك، قم بتكوين عميل VPN. حدد من الإرشادات التالية:

• IKEv2: عميل VPN الأصلي - خطوات macOS
• OpenVPN: خطوات macOS
• OpenVPN: خطوات iOS

IKEv2: عميل VPN الأصلي - خطوات macOS

تساعدك الأقسام التالية على تكوين عميل VPN الأصلي المثبت بالفعل كجزء من macOS. يعمل هذا النوع من الاتصال عبر IKEv2 فقط.

عرض الملفات

قم بفك ضغط الملف لعرض المجلدات التالية. عند تكوين عملاء macOS الأصليين، يمكنك استخدام الملفات في المجلد العام. يتوفر المجلد العام إذا تم تكوين IKEv2 في البوابة. يمكنك العثور على جميع المعلومات التي تحتاجها لتكوين عميل VPN الأصلي في المجلد Generic. إذا كنت لا ترى المجلد العام، فتحقق من العناصر التالية، ثم قم بإنشاء ملف مضغوط مرة أخرى.

• تحقق من نوع النفق للتكوين الخاص بك. من المحتمل أنه لم يتم تحديد IKEv2 كنوع نفق.
• على بوابة VPN، تحقق من أن SKU ليست «أساسية». The VPN Gateway Basic SKU VPN لا يدعم IKEv2. ثم حدد IKEv2، وقم بإنشاء الملف المضغوط مرة أخرى لاسترداد المجلد «عام».

يحتوي المجلد Generic على الملفات التالية.

• VpnSettings.xml، والذي يحتوي على إعدادات مهمة، مثل عنوان الخادم ونوع النفق.
• VpnServerRoot.cer، الذي يحتوي على شهادة الجذر المطلوبة للتحقق من صحة بوابة Azure VPN أثناء إعداد اتصال من نقطة إلى موقع.

اتبع الخطوات التالية لتكوين عميل VPN الأصلي على Mac لمصادقة الشهادة. يجب إكمال هذه الخطوات على كل جهاز Mac تريد توصيله بـ Azure.

تثبيت الشهادات

شهادة الجذر

1. انسخ إلى ملف الشهادة الجذر - VpnServerRoot.cer - إلى جهاز Mac الخاص بك. انقر نقرًا مزدوجًا فوق الشهادة. سيتم تثبيت الشهادة تلقائياً، أو سترى صفحة إضافة شهادات.
2. إذا رأيت صفحة إضافة شهادات، لسلسلة المفاتيح: انقر فوق الأسهم وحدد تسجيل الدخول من القائمة المنسدلة.
3. انقر فوق إضافة لاستيراد الملف.

شهادة العميل

يتم استخدام شهادة العميل للمصادقة، وهي مطلوبة. عادة، يمكنك فقط النقر فوق شهادة العميل لتثبيتها. للحصول على معلومات حول كيفية تثبيت شهادة عميل، راجع ⁧⁩تثبيت شهادة عميل⁧⁩.

التحقق من تثبيت الشهادة

تحقق من تثبيت كل من العميل والشهادة الجذر.

1. الوصول إلى سلسلة المفاتيح.
2. انتقل إلى علامة التبويب شهادات.
3. تحقق من تثبيت كل من العميل والشهادة الجذر.

تكوين ملف تعريف عميل VPN

1. انتقل إلى تفضيلات النظام -> الشبكة. في صفحة الشبكة، انقر فوق '+' لإنشاء ملف تعريف اتصال عميل VPN جديد لاتصال P2S بشبكة Azure الظاهرية.

   

2. في صفحة تحديد الواجهة، انقر فوق الأسهم إلى جانب الواجهة:. من القائمة المنسدلة، انقر فوق VPN.

   

3. بالنسبة إلى نوع VPN، من القائمة المنسدلة، حدد IKEv2. في حقل اسم الخدمة، حدد اسمًا مألوفًا لملف التعريف، ثم انقر فوق إنشاء.

   

4. انتقل إلى ملف تعريف عميل VPN الذي قمت بتنزيله. في المجلد Generic، افتح الملف VpnSettings.xml باستخدام محرر نص. في المثال، يمكنك مشاهدة معلومات حول نوع النفق وعنوان الخادم. على الرغم من وجود نوعين من VPN مدرجين، سيتصل عميل VPN هذا عبر IKEv2. انسخ قيمة علامة VpnServer.

   

5. الصق قيمة علامة VpnServer في كل من حقلي عنوان الخادم والمعرف البعيد لملف التعريف. اترك Local ID فارغاً. ثم، انقر فوق إعدادات المصادقة....

   

تكوين إعدادات المصادقة

تكوين إعدادات المصادقة. هناك مجموعتان من التعليمات. اختر الإرشادات التي تتوافق مع إصدار نظام التشغيل لديك.

بيغ سور والإحدث

1. في صفحة Authentication Settings، في حقل «Authentication settings»، انقر فوق الأسهم لتحديد Certificate.

   

2. انقر فوق تحديد لفتح صفحة اختيار هوية.

   

3. تعرض صفحة اختيار هوية قائمة بالشهادات للاختيار من بينها. إذا لم تكن متأكداً من الشهادة التي تريد استخدامها، يمكنك تحديد إظهار الشهادة للاطلاع على مزيد من المعلومات حول كل شهادة. انقر فوق الشهادة المناسبة، ثم انقر فوق متابعة.

   

4. في صفحة إعدادات المصادقة، تحقق من إظهار الشهادة الصحيحة، ثم انقر فوق موافق.

   

Catalina

إذا كنت تستخدم Catalina، فاستخدم خطوات إعدادات المصادقة هذه:

1. بالنسبة إلى إعدادات المصادقة، حدد بلا.

2. حدد شهادة، وانقر فوقتحديد، ثم اختر شهادة العميل الصحيحة التي قمت بتثبيتها مسبقاً. ثم انقر فوق موافق.

تحديد الشهادة

1. في الحقل Local ID، حدد اسم الشهادة. في هذا المثال، إنه P2SChildCertMac.

   

2. انقر فوق تطبيق لحفظ كل التغييرات.

اتصال

1. حدد اتصال لبدء اتصال P2S بشبكة Azure الظاهرية. قد تحتاج إلى إدخال كلمة المرور لسلسلة مفاتيح "تسجيل الدخول".

   

2. بمجرد إنشاء الاتصال، تظهر الحالة على أنها متصل، ويمكنك عرض عنوان IP الذي تم سحبه من تجمع عناوين عميل VPN.

   

OpenVPN: خطوات macOS

يستخدم المثال التالي TunnelBlick.

هام

يدعم بروتوكول OpenVPN فقط نظام التشغيل MacOS 10.13 والإصدارات الأحدث.

إشعار

الإصدار 2.6 من OpenVPN Client غير مدعوم حتى الآن.

1. قم بتنزيل عميل OpenVPN وتثبيته، مثل TunnelBlick.

2. إذا لم تكن قد فعلت ذلك بالفعل، فقم بتنزيل حزمة ملف تعريف عميل VPN من مدخل Microsoft Azure.

3. قم بإلغاء ضغط ملف التعريف. افتح ملف التكوين vpnconfig.ovpn من مجلد OpenVPN في محرر نص.

4. املأ قسم شهادة عميل P2S بالمفتاح العام لشهادة عميل P2S في base64. في شهادة بتنسيق PEM، يمكنك فتح ملف .cer ونسخه عبر المفتاح base64 بين عناوين الشهادات.

5. قم بتعبئة قسم المفتاح الخاص بالمفتاح الخاص لشهادة عميل P2S في base64. اطّلع على تصدير مفتاحك الخاص على موقع OpenVPN للحصول على معلومات حول كيفية استخراج مفتاح خاص.

6. لا تغير أي حقول أخرى. استخدم التكوين المعبأ في إدخال العميل للاتصال بـ VPN.

7. انقر نقراً مزدوجاً فوق ملف التعريف لإنشاء ملف التعريف في Tunnelblick.

8. قم بتشغيل Tunnelblick من مجلد التطبيقات.

9. انقر على رمز Tunnelblick في علبة النظام واختر اتصال.

OpenVPN: خطوات iOS

يستخدم المثال التالي OpenVPN Connect من متجر التطبيقات.

هام

يدعم بروتوكول OpenVPN فقط نظام iOS 11.0 والإصدارات الأحدث.

إشعار

الإصدار 2.6 من OpenVPN Client غير مدعوم حتى الآن.

1. قم بتثبيت عميل OpenVPN (الإصدار 2.4 أو الإصدارات الأحدث) من App Store. الإصدار 2.6 غير مدعوم حتى الآن.

2. إذا لم تكن قد فعلت ذلك بالفعل، فقم بتنزيل حزمة ملف تعريف عميل VPN من مدخل Microsoft Azure.

3. قم بإلغاء ضغط ملف التعريف. افتح ملف التكوين vpnconfig.ovpn من مجلد OpenVPN في محرر نص.

4. املأ قسم شهادة عميل P2S بالمفتاح العام لشهادة عميل P2S في base64. في شهادة بتنسيق PEM، يمكنك فتح ملف .cer ونسخه عبر المفتاح base64 بين عناوين الشهادات.

5. قم بتعبئة قسم المفتاح الخاص بالمفتاح الخاص لشهادة عميل P2S في base64. اطّلع على تصدير مفتاحك الخاص على موقع OpenVPN للحصول على معلومات حول كيفية استخراج مفتاح خاص.

6. لا تغير أي حقول أخرى.

7. أرسِل ملف التعريف (.ovpn) بالبريد الإلكتروني إلى حساب بريدك الإلكتروني الذي تم تكوينه في تطبيق البريد على iPhone.

8. افتح البريد الإلكتروني في تطبيق البريد على iPhone، واضغط على الملف المرفق.

   

9. اضغط على More إذا كنت لا ترى خيار Copy to OpenVPN.

   

10. اضغط على Copy to OpenVPN.

    

11. اضغط على ADD في صفحة Import Profile

    

12. اضغط على ADD في صفحة Imported Profile

    

13. قم بتشغيل تطبيق OpenVPN وحرك المفتاح في صفحة Profile مباشرةً للاتصال

    

الخطوات التالية

للحصول على خطوات إضافية، ارجع إلى مقالة نقطة إلى موقع الأصلية التي كنت تعمل منها.

• خطوات تكوين PowerShell.
• خطوات تكوين مدخل Azure.