Sdílet prostřednictvím

Konfigurace klientů VPN typu P2S: Ověřování certifikátů – nativní klient VPN – macOS

  • Článek

Pokud je brána VPN typu point-to-site (P2S) nakonfigurovaná tak, aby používala ověřování pomocí protokolu IKEv2 a certifikátu, můžete se k virtuální síti připojit pomocí nativního klienta VPN, který je součástí operačního systému macOS. Tento článek vás provede postupem konfigurace nativního klienta VPN a připojení k virtuální síti.

Než začnete

Než začnete s konfigurací klienta, ověřte, že jste ve správném článku. Následující tabulka uvádí články o konfiguraci, které jsou k dispozici pro klienty VPN typu P2S služby Azure VPN Gateway. Postup se liší v závislosti na typu ověřování, typu tunelu a klientském operačním systému.

Ověřování Typ tunelového propojení Operační systém klienta Klient VPN
Certifikát
IKEv2, SSTP Windows Nativní klient VPN
IKEv2 macOS Nativní klient VPN
IKEv2 Linux strongSwan
OpenVPN Windows Klient Azure VPN
Klient OpenVPN
OpenVPN macOS Klient OpenVPN
OpenVPN iOS Klient OpenVPN
OpenVPN Linux Klient Azure VPN
Klient OpenVPN
Microsoft Entra ID
OpenVPN Windows Klient Azure VPN
OpenVPN macOS Klient Azure VPN
OpenVPN Linux Klient Azure VPN

Požadavky

Tento článek předpokládá, že jste už provedli následující požadavky:

Workflow

Pracovní postup pro tento článek je následující:

  1. Pokud jste to ještě neudělali, vygenerujte klientské certifikáty.
  2. Zobrazte konfigurační soubory profilu klienta VPN obsažené v konfiguračním balíčku profilu klienta VPN, který jste vygenerovali.
  3. Nainstalujte certifikáty.
  4. Nakonfigurujte nativního klienta VPN, který už máte nainstalovaný operační systém.
  5. Připojte se k Azure.

Vygenerování certifikátů

Pro ověřování certifikátů musí být klientský certifikát nainstalovaný na každém klientském počítači. Klientský certifikát, který chcete použít, musí být exportován s privátním klíčem a musí obsahovat všechny certifikáty v cestě k certifikaci. V některých konfiguracích budete také muset nainstalovat informace o kořenovém certifikátu.

Informace o práci s certifikáty najdete v tématu Point-to-Site: Generování certifikátů – Linux.

Zobrazení konfiguračních souborů profilu klienta VPN

Všechna potřebná nastavení konfigurace pro klienty VPN jsou obsažena v konfiguračním souboru ZIP profilu klienta VPN. Konfigurační soubory profilu klienta můžete vygenerovat pomocí PowerShellu nebo pomocí webu Azure Portal. Obě metody vrátí stejný soubor ZIP.

Konfigurační soubory profilu klienta VPN jsou specifické pro konfiguraci brány VPN typu P2S pro virtuální síť. Pokud se po vygenerování souborů, například změn typu protokolu VPN nebo typu ověřování, změníte konfiguraci P2S VPN, musíte vygenerovat nové konfigurační soubory profilu klienta VPN a použít novou konfiguraci pro všechny klienty VPN, které chcete připojit.

Rozbalte soubor a zobrazte složky. Když konfigurujete nativní klienty macOS, použijete soubory ve složce Generic . Obecná složka se nachází, pokud je v bráně nakonfigurovaný protokol IKEv2. Všechny informace, které potřebujete ke konfiguraci nativního klienta VPN, najdete ve složce Generic . Pokud obecnou složku nevidíte, zkontrolujte následující položky a pak znovu vygenerujte soubor ZIP.

  • Zkontrolujte typ tunelu pro vaši konfiguraci. Je pravděpodobné, že IKEv2 nebyl vybrán jako typ tunelu.
  • Na bráně VPN ověřte, že skladová položka není základní. Skladová položka služby VPN Gateway Basic nepodporuje IKEv2. Pokud chcete, aby se klienti macOS připojili, budete muset bránu znovu sestavit s příslušnou skladovou jednotkou a typem tunelu.

Složka Generic obsahuje následující soubory.

  • VpnSettings.xml, která obsahuje důležitá nastavení, jako je adresa serveru a typ tunelu.
  • VpnServerRoot.cer, který obsahuje kořenový certifikát potřebný k ověření brány Azure VPN během instalace připojení P2S.

Instalace certifikátů

Kořenový certifikát

  1. Zkopírujte soubor kořenového certifikátu – VpnServerRoot.cer – do počítače Mac. Poklikejte na certifikát. V závislosti na vašem operačním systému se certifikát buď automaticky nainstaluje, nebo se zobrazí stránka Přidat certifikáty .
  2. Pokud se zobrazí stránka Přidat certifikáty, klikněte na šipky a v rozevíracím seznamu vyberte přihlášení.
  3. Kliknutím na Přidat soubor naimportujete.

Klientský certifikát

Klientský certifikát se používá k ověřování a vyžaduje se. Obvykle stačí kliknout na klientský certifikát a nainstalovat ho. Další informace o instalaci klientského certifikátu naleznete v tématu Instalace klientského certifikátu.

Ověření instalace certifikátu

Ověřte, že je nainstalovaný klient i kořenový certifikát.

  1. Otevřete přístup ke klíčence.
  2. Přejděte na kartu Certifikáty .
  3. Ověřte, že je nainstalovaný klient i kořenový certifikát.

Konfigurace profilu klienta VPN

  1. Přejděte na Předvolby systému –> Síť. Na stránce Síť kliknutím na + vytvořte nový profil připojení klienta VPN pro připojení P2S k virtuální síti Azure.

    Snímek obrazovky s oknem Síť a kliknutím na +.

  2. Na stránce Vybrat rozhraní klikněte na šipky vedle rozhraní:. V rozevíracím seznamu klikněte na VPN.

    Snímek obrazovky s oknem Síť s možností vybrat rozhraní, je vybrána síť VPN.

  3. U typu sítě VPN v rozevíracím seznamu klikněte na IKEv2. V poli Název služby zadejte popisný název profilu a klikněte na vytvořit.

    Snímek obrazovky s oknem Síť s možností vybrat rozhraní, vybrat typ sítě VPN a zadat název služby

  4. Přejděte do profilu klienta VPN, který jste stáhli. Ve složce Generic otevřete soubor VpnSettings.xml pomocí textového editoru. V tomto příkladu můžete zobrazit informace o typu tunelu a adrese serveru. I když jsou uvedené dva typy VPN, bude se tento klient VPN připojovat přes protokol IKEv2. Zkopírujte hodnotu značky VpnServer .

    Snímek obrazovky ukazuje otevřený soubor VpnSettings.xml se zvýrazněnou značkou VpnServer.

  5. Vložte hodnotu značky VpnServer do polí Adresa serveru i Vzdálené ID profilu. Ponechte místní ID prázdné. Potom klikněte na Nastavení ověřování....

    Snímek obrazovky zobrazuje informace o serveru vložené do polí.

Konfigurace nastavení ověřování

Nakonfigurujte nastavení ověřování.

  1. Na stránce Nastavení ověřování klikněte u pole Nastavení ověřování na šipky a vyberte Certifikát.

    Snímek obrazovky ukazuje nastavení ověřování s vybraným certifikátem.

  2. Kliknutím na vybrat otevřete stránku Zvolit identitu .

    Snímek obrazovky, který chcete vybrat

  3. Na stránce Zvolit identitu se zobrazí seznam certifikátů, ze které si můžete vybrat. Pokud si nejste jistí, který certifikát použít, můžete vybrat Zobrazit certifikát a zobrazit další informace o jednotlivých certifikátech. Klikněte na správný certifikát a potom klikněte na Pokračovat.

    Snímek obrazovky s vlastnostmi certifikátu

  4. Na stránce Nastavení ověřování ověřte, zda je zobrazen správný certifikát, a klikněte na tlačítko OK.

    Snímek obrazovky s dialogovým oknem Zvolit identitu, kde můžete vybrat správný certifikát

Zadání certifikátu

  1. Do pole Místní ID zadejte název certifikátu. V tomto příkladu je to P2SChildCertMac.

    Snímek obrazovky znázorňující hodnotu místního ID

  2. Kliknutím na Použít uložíte všechny změny.

Propojit

  1. Kliknutím na Připojit spustíte připojení P2S k virtuální síti Azure. Možná budete muset zadat heslo řetězce klíčů pro přihlášení.

    Snímek obrazovky ukazuje tlačítko připojit.

  2. Po navázání připojení se stav zobrazí jako Připojeno a můžete zobrazit IP adresu, kterou jste získali z fondu adres klienta VPN.

    Snímek obrazovky ukazuje Připojeno.

Další kroky

Proveďte další nastavení serveru nebo připojení. Viz kroky konfigurace typu Point-to-Site.