Konfigurace uživatelských klientů VPN P2S – ověřování certifikátů – macOS a iOS

  • Článek

Tento článek vám pomůže připojit se k Azure Virtual WAN z operačního systému macOS nebo iOS přes uživatelskou VPN P2S pro konfigurace, které používají ověřování certifikátů. Pokud se chcete připojit z operačního systému iOS nebo macOS přes tunel OpenVPN, použijte klienta OpenVPN. Pokud se chcete připojit z operačního systému macOS přes tunel IKEv2, použijte klienta VPN, který je nativně nainstalovaný na počítači Mac.

Než začnete

  • Ujistěte se, že jste dokončili potřebné kroky konfigurace v kurzu Vytvoření připojení VPN uživatele P2S pomocí Azure Virtual WAN.

  • Generování konfiguračních souborů klienta VPN: Konfigurační soubory klienta VPN, které vygenerujete, jsou specifické pro profil sítě VPN uživatele Virtual WAN, který stáhnete. Virtual WAN má dva různé typy konfiguračních profilů: na úrovni sítě WAN (globální) a na úrovni centra. Pokud po vygenerování souborů dojde k nějakým změnám konfigurace sítě VPN typu P2S nebo změníte na jiný typ profilu, musíte vygenerovat nové konfigurační soubory klienta VPN a použít novou konfiguraci pro všechny klienty VPN, ke kterým se chcete připojit. Viz Generování konfiguračních souborů klienta VPN uživatele.

  • Získání certifikátů: Následující části vyžadují certifikáty. Ujistěte se, že máte informace o klientském certifikátu i certifikátu kořenového serveru. Další informace najdete v tématu Generování a export certifikátů .

IKEv2 – nativní klient – kroky pro macOS

Po vygenerování a stažení konfiguračního balíčku klienta VPN ho rozbalte a zobrazte si složky. Při konfiguraci nativních klientů macOS použijete soubory ve složce Generic . Pokud je v bráně nakonfigurovaný IKEv2, složka Generic je k dispozici. Všechny informace, které potřebujete ke konfiguraci nativního klienta VPN, najdete ve složce Generic . Pokud složku Generic nevidíte, ujistěte se, že jedním z typů tunelů je IKEv2, a pak znovu stáhněte konfigurační balíček.

Složka Generic obsahuje následující soubory.

  • VpnSettings.xml, který obsahuje důležitá nastavení, jako je adresa serveru a typ tunelu.
  • VpnServerRoot.cer, který obsahuje kořenový certifikát potřebný k ověření brány Azure VPN během instalace připojení P2S.

Pomocí následujícího postupu nakonfigurujte nativního klienta VPN v systému Mac pro ověřování certifikátů. Tyto kroky je potřeba provést na každém počítači Mac, který chcete připojit k Azure.

Instalace certifikátů

Kořenový certifikát

  1. Zkopírujte soubor kořenového certifikátu VpnServerRoot.cer do počítače Mac. Poklikejte na certifikát. V závislosti na operačním systému se certifikát buď automaticky nainstaluje, nebo se zobrazí stránka Přidat certifikáty .
  2. Pokud se zobrazí stránka Přidat certifikáty , klikněte v části Klíčenky na šipky a v rozevíracím seznamu vyberte přihlásit .
  3. Kliknutím na Přidat soubor naimportujete.

Klientský certifikát

Klientský certifikát se používá k ověřování a je povinný. Obvykle stačí kliknout na klientský certifikát a nainstalovat ho. Další informace o instalaci klientského certifikátu najdete v tématu Instalace klientského certifikátu.

Ověření instalace certifikátu

Ověřte, že je nainstalovaný klientský i kořenový certifikát.

  1. Otevřete Přístup ke svazku klíčů.
  2. Přejděte na kartu Certifikáty .
  3. Ověřte, že je nainstalovaný klientský i kořenový certifikát.

Konfigurace profilu klienta VPN

  1. Přejděte na Předvolby systému –> Síť. Na stránce Síť klikněte na + a vytvořte nový profil připojení klienta VPN pro připojení P2S k virtuální síti Azure.

    Snímek obrazovky s oknem Síť pro kliknutí na znaménko plus

  2. Na stránce Vybrat rozhraní klikněte na šipky vedle položky Interface:. V rozevíracím seznamu klikněte na VPN.

    Snímek obrazovky s oknem Síť s možností vybrat rozhraní, je vybraná síť VPN.

  3. V části Typ sítě VPN v rozevíracím seznamu klikněte na IKEv2. Do pole Název služby zadejte popisný název profilu a klikněte na Vytvořit.

    Snímek obrazovky s oknem Síť s možností vybrat rozhraní, vybrat typ sítě VPN a zadat název služby

  4. Přejděte na profil klienta VPN, který jste stáhli. Ve složce Generic otevřete souborVpnSettings.xml pomocí textového editoru. V tomto příkladu vidíte, že se tento profil klienta VPN připojuje k profilu sítě WAN a že typy vpn jsou IKEv2 a OpenVPN. I když jsou uvedené dva typy vpn, tento klient VPN se připojí přes IKEv2. Zkopírujte hodnotu značky VpnServer .

    Snímek obrazovky ukazuje otevřený soubor VpnSettings.xml se zvýrazněnou značkou VpnServer.

  5. Vložte hodnotu značky VpnServer do polí Adresa serveru i Vzdálené ID profilu. Místní ID nechte prázdné. Potom klikněte na Nastavení ověřování....

    Snímek obrazovky znázorňující informace o serveru vložené do polí

Konfigurace nastavení ověřování

Big Sur a novější

  1. Na stránce Nastavení ověřování klikněte v poli Nastavení ověřování na šipky a vyberte Certifikát.

    Snímek obrazovky s nastavením ověřování s vybraným certifikátem

  2. Kliknutím na Vybrat otevřete stránku Zvolit identitu .

    Snímek obrazovky a klikněte na Vybrat.

  3. Na stránce Zvolit identitu se zobrazí seznam certifikátů, ze které si můžete vybrat. Pokud si nejste jistí, který certifikát použít, můžete vybrat Zobrazit certifikát a zobrazit další informace o jednotlivých certifikátech. Klikněte na správný certifikát a pak klikněte na Pokračovat.

    Snímek obrazovky s vlastnostmi certifikátu

  4. Na stránce Nastavení ověřování ověřte, že je zobrazený správný certifikát, a pak klikněte na OK.

    Snímek obrazovky s dialogovým oknem Zvolit identitu, kde můžete vybrat správný certifikát.

Catalina

Pokud používáte Catalina, použijte tyto kroky nastavení ověřování:

  1. V části Nastavení ověřování zvolte Žádné.

  2. Klikněte na Certifikát, klikněte na Vybrat a klikněte na správný klientský certifikát, který jste nainstalovali dříve. Pak klikněte na OK.

Zadat certifikát

  1. Do pole Místní ID zadejte název certifikátu. V tomto příkladu je to P2SChildCertMac.

    Snímek obrazovky ukazuje hodnotu místního ID.

  2. Kliknutím na Použít uložte všechny změny.

Připojit

  1. Kliknutím na Připojit spusťte připojení P2S k virtuální síti Azure. Možná budete muset zadat heslo řetězce klíčů "login".

    Snímek obrazovky s tlačítkem připojit

  2. Po navázání připojení se stav zobrazí jako Připojeno a můžete zobrazit IP adresu, která byla natažena z fondu adres klienta VPN.

    Snímek obrazovky ukazuje Připojeno.

OpenVPN Client – kroky pro macOS

Následující příklad používá TunnelBlick.

Důležité

Protokol OpenVPN podporuje pouze macOS 10.13 a novější.

Poznámka

Klient OpenVPN verze 2.6 se zatím nepodporuje.

  1. Stáhněte a nainstalujte klienta OpenVPN, například TunnelBlick.

  2. Pokud jste to ještě neudělali, stáhněte si balíček profilu klienta VPN z Azure Portal.

  3. Rozbalte profil. Otevřete konfigurační soubor vpnconfig.ovpn ze složky OpenVPN v textovém editoru.

  4. V části klientského certifikátu P2S vyplňte veřejný klíč klientského certifikátu P2S v kódování Base-64. V certifikátu ve formátu PEM můžete otevřít soubor .cer a zkopírovat klíč base64 mezi hlavičkami certifikátu.

  5. V části privátního klíče vyplňte privátní klíč klientského certifikátu P2S v kódování Base-64. Informace o extrahování privátního klíče najdete v tématu Export privátního klíče na lokalitě OpenVPN.

  6. Neměňte žádná další pole. S použitím vyplněné konfigurace ve vstupu klienta se připojte k síti VPN.

  7. Poklikáním na soubor profilu vytvořte profil v Tunnelblicku.

  8. Spusťte Tunnelblick ze složky applications.

  9. Klikněte na ikonu Tunnelblick na hlavním panelu systému a vyberte připojit.

Klient OpenVPN – kroky pro iOS

Následující příklad používá OpenVPN Connect z App Storu.

Důležité

Protokol OpenVPN podporuje pouze iOS 11.0 a novější.

Poznámka

Klient OpenVPN verze 2.6 se zatím nepodporuje.

  1. Nainstalujte klienta OpenVPN (verze 2.4 nebo novější) z App Storu. Verze 2.6 se zatím nepodporuje.

  2. Pokud jste to ještě neudělali, stáhněte si balíček profilu klienta VPN z Azure Portal.

  3. Rozbalte profil. Otevřete konfigurační soubor vpnconfig.ovpn ze složky OpenVPN v textovém editoru.

  4. V části klientského certifikátu P2S vyplňte veřejný klíč klientského certifikátu P2S v kódování Base-64. V certifikátu ve formátu PEM můžete otevřít soubor .cer a zkopírovat klíč base64 mezi hlavičkami certifikátu.

  5. V části privátního klíče vyplňte privátní klíč klientského certifikátu P2S v kódování Base-64. Informace o extrahování privátního klíče najdete v tématu Export privátního klíče na lokalitě OpenVPN.

  6. Neměňte žádná další pole.

  7. Odešlete e-mail se souborem profilu (.ovpn) na váš e-mailový účet, který je nakonfigurovaný v poštovní aplikaci na vašem iPhonu.

  8. Otevřete e-mail v poštovní aplikaci na iPhonu a klepněte na připojený soubor.

    Snímek obrazovky se zprávou připravenou k odeslání

  9. Pokud možnost Kopírovat do OpenVPN nevidíte, klepněte na Další.

    Snímek obrazovky ukazuje, jak můžete klepnout na další.

  10. Klepněte na Kopírovat do OpenVPN.

    Snímek obrazovky ukazuje, že se má zkopírovat do OpenVPN.

  11. Klepněte na PŘIDAT na stránce Importovat profil .

    Snímek obrazovky znázorňující import profilu

  12. Klepněte na PŘIDAT na stránce Importovaný profil .

    Snímek obrazovky znázorňující importovaný profil

  13. Spusťte aplikaci OpenVPN a posuňte přepínač na stránce Profil doprava a připojte se.

    Snímek obrazovky ukazuje snímek, který se má připojit.

Další kroky

Kurz: Vytvoření připojení VPN uživatele P2S pomocí Azure Virtual WAN