Konfigurace klientů VPN typu point-to-site: ověřování certifikátů – macOS a iOS
Tento článek vám pomůže připojit se k virtuální síti Azure pomocí brány VPN Gateway typu point-to-site (P2S) a ověřování certifikátů. V tomto článku je několik sad kroků v závislosti na typu tunelu, který jste vybrali pro konfiguraci P2S, operační systém a klienta VPN, který se používá pro připojení.
Při práci s ověřováním certifikátu si všimněte následujících věcí:
Pro typ tunelu IKEv2 se můžete připojit pomocí klienta VPN, který je nativně nainstalován v systému macOS.
Pro typ tunelu OpenVPN můžete použít klienta OpenVPN.
Klient Azure VPN není při použití ověřování certifikátů k dispozici pro macOS a iOS, i když jste pro konfiguraci P2S vybrali typ tunelu OpenVPN.
Než začnete
Než začnete, ověřte, že jste ve správném článku. Následující tabulka uvádí články o konfiguraci, které jsou k dispozici pro klienty VPN typu P2S služby Azure VPN Gateway. Postup se liší v závislosti na typu ověřování, typu tunelu a klientském operačním systému.
| Ověřování | Typ tunelového propojení | Generování konfiguračních souborů | Konfigurace klienta VPN |
|---|---|---|---|
| Certifikát Azure | IKEv2, SSTP | Windows | Nativní klient VPN |
| Certifikát Azure | OpenVPN | Windows | - Klient OpenVPN - Klient Azure VPN |
| Certifikát Azure | IKEv2, OpenVPN | macOS-iOS | macOS-iOS |
| Certifikát Azure | IKEv2, OpenVPN | Linux | Linux |
| Microsoft Entra ID | OpenVPN (SSL) | Windows | Windows |
| Microsoft Entra ID | OpenVPN (SSL) | macOS | macOS |
| RADIUS – certifikát | - | Článek | Článek |
| RADIUS – heslo | - | Článek | Článek |
| RADIUS – jiné metody | - | Článek | Článek |
Důležité
Od 1. července 2018 se začíná rušit podpora protokolu TLS 1.0 a 1.1 ve službě Azure VPN Gateway. Služba VPN Gateway bude podporovat pouze protokol TLS 1.2. Ovlivněná jsou pouze připojení typu point-to-site; Připojení typu site-to-site nebudou ovlivněna. Pokud používáte protokol TLS pro sítě VPN typu point-to-site ve Windows 10 nebo novějších klientech, nemusíte provádět žádnou akci. Pokud používáte protokol TLS pro připojení typu point-to-site v klientech s Windows 7 a Windows 8, přečtěte si nejčastější dotazy ke službě VPN Gateway s pokyny k aktualizaci.
Vygenerování certifikátů
Pro ověřování certifikátů musí být klientský certifikát nainstalovaný na každém klientském počítači. Klientský certifikát, který chcete použít, musí být exportován s privátním klíčem a musí obsahovat všechny certifikáty v cestě k certifikaci. V některých konfiguracích budete také muset nainstalovat informace o kořenovém certifikátu.
Informace o práci s certifikáty najdete v tématu Point-to-Site: Generování certifikátů – Linux.
Generování konfiguračních souborů klienta VPN
Všechna potřebná nastavení konfigurace pro klienty VPN jsou obsažena v konfiguračním souboru ZIP profilu klienta VPN. Konfigurační soubory profilu klienta můžete vygenerovat pomocí PowerShellu nebo pomocí webu Azure Portal. Obě metody vrátí stejný soubor ZIP.
Konfigurační soubory profilu klienta VPN, které vygenerujete, jsou specifické pro konfiguraci brány VPN typu P2S pro virtuální síť. Pokud se po vygenerování souborů, například změn typu protokolu VPN nebo typu ověřování, změníte konfiguraci P2S VPN, musíte vygenerovat nové konfigurační soubory profilu klienta VPN a použít novou konfiguraci pro všechny klienty VPN, které chcete připojit. Další informace o připojeních P2S najdete v tématu Informace o síti VPN typu point-to-site.
Generování souborů pomocí webu Azure Portal:
Na webu Azure Portal přejděte do brány virtuální sítě pro virtuální síť, ke které se chcete připojit.
Na stránce brány virtuální sítě vyberte konfiguraci typu Point-to-Site a otevřete stránku konfigurace typu Point-to-Site.
V horní části stránky konfigurace point-to-site vyberte Stáhnout klienta VPN. Tím se nestahuje klientský software VPN, vygeneruje konfigurační balíček použitý ke konfiguraci klientů VPN. Generování konfiguračního balíčku klienta trvá několik minut. Během této doby se nemusí zobrazovat žádné indikace, dokud se paket nevygeneruje.
Po vygenerování konfiguračního balíčku prohlížeč indikuje, že je k dispozici konfigurační soubor ZIP klienta. Jmenuje se stejný název jako brána.
Rozbalte soubor a zobrazte složky. K konfiguraci klienta VPN použijete některé nebo všechny tyto soubory. Vygenerované soubory odpovídají nastavení typu ověřování a tunelu, které jste nakonfigurovali na serveru P2S.
Dále nakonfigurujte klienta VPN. Vyberte z následujících pokynů:
IKEv2: Nativní klient VPN – kroky pro macOS
Následující části vám pomůžou nakonfigurovat nativního klienta VPN, který je už nainstalovaný jako součást macOS. Tento typ připojení funguje jenom přes protokol IKEv2.
Prohlížení souborů
Rozbalte soubor a zobrazte složky. Když konfigurujete nativní klienty macOS, použijete soubory ve složce Generic . Obecná složka se nachází, pokud je v bráně nakonfigurovaný protokol IKEv2. Všechny informace, které potřebujete ke konfiguraci nativního klienta VPN, najdete ve složce Generic . Pokud obecnou složku nevidíte, zkontrolujte následující položky a pak znovu vygenerujte soubor ZIP.
- Zkontrolujte typ tunelu pro vaši konfiguraci. Je pravděpodobné, že IKEv2 nebyl vybrán jako typ tunelu.
- Na bráně VPN ověřte, že skladová položka není základní. Skladová položka služby VPN Gateway Basic nepodporuje IKEv2. Pak vyberte IKEv2 a znovu vygenerujte soubor ZIP pro načtení obecné složky.
Složka Generic obsahuje následující soubory.
- Vpn Nastavení.xml, která obsahuje důležitá nastavení, jako je adresa serveru a typ tunelu.
- VpnServerRoot.cer, který obsahuje kořenový certifikát potřebný k ověření brány Azure VPN během instalace připojení P2S.
Pomocí následujícího postupu nakonfigurujte nativního klienta VPN na Počítači Mac pro ověřování certifikátů. Tyto kroky musí být dokončeny na všech počítačích Mac, které se chcete připojit k Azure.
Instalace certifikátů
Kořenový certifikát
- Zkopírujte do kořenového souboru certifikátu – VpnServerRoot.cer – do počítače Mac. Poklikejte na certifikát. V závislosti na vašem operačním systému se certifikát buď automaticky nainstaluje, nebo se zobrazí stránka Přidat certifikáty .
- Pokud se zobrazí stránka Přidat certifikáty, klikněte na šipky a v rozevíracím seznamu vyberte přihlášení.
- Kliknutím na Přidat soubor naimportujete.
Klientský certifikát
Klientský certifikát se používá k ověřování a vyžaduje se. Obvykle stačí kliknout na klientský certifikát a nainstalovat ho. Další informace o instalaci klientského certifikátu naleznete v tématu Instalace klientského certifikátu.
Ověření instalace certifikátu
Ověřte, že je nainstalovaný klient i kořenový certifikát.
- Otevřete přístup ke klíčence.
- Přejděte na kartu Certifikáty .
- Ověřte, že je nainstalovaný klient i kořenový certifikát.
Konfigurace profilu klienta VPN
Přejděte na Předvolby systému –> Síť. Na stránce Síť kliknutím na + vytvořte nový profil připojení klienta VPN pro připojení P2S k virtuální síti Azure.
Na stránce Vybrat rozhraní klikněte na šipky vedle rozhraní:. V rozevíracím seznamu klikněte na VPN.
U typu sítě VPN v rozevíracím seznamu klikněte na IKEv2. V poli Název služby zadejte popisný název profilu a klikněte na vytvořit.
Přejděte do profilu klienta VPN, který jste stáhli. Ve složce Generic otevřete soubor Vpn Nastavení.xml pomocí textového editoru. V tomto příkladu můžete zobrazit informace o typu tunelu a adrese serveru. I když jsou uvedené dva typy VPN, bude se tento klient VPN připojovat přes protokol IKEv2. Zkopírujte hodnotu značky VpnServer .
Vložte hodnotu značky VpnServer do polí Adresa serveru i Vzdálené ID profilu. Ponechte místní ID prázdné. Potom klikněte na Nastavení ověřování....
Konfigurace nastavení ověřování
Nakonfigurujte nastavení ověřování. Existují dvě sady instrukcí. Zvolte pokyny, které odpovídají vaší verzi operačního systému.
Big Sur a novější
Na stránce Nastavení ověřování klikněte u pole Nastavení ověřování na šipky a vyberte Certifikát.
Kliknutím na vybrat otevřete stránku Zvolit identitu .
Na stránce Zvolit identitu se zobrazí seznam certifikátů, ze které si můžete vybrat. Pokud si nejste jistí, který certifikát použít, můžete vybrat Zobrazit certifikát a zobrazit další informace o jednotlivých certifikátech. Klikněte na správný certifikát a potom klikněte na Pokračovat.
Na stránce Ověřování Nastavení ověřte, zda je zobrazen správný certifikát, a klikněte na tlačítko OK.
Catalina
Pokud používáte Catalina, použijte tyto kroky nastavení ověřování:
Pro ověřování Nastavení zvolte Žádné.
Klepněte na tlačítko Certifikát, klepněte na tlačítko Vybrat a klepněte na správný klientský certifikát, který jste nainstalovali dříve. Pak klikněte na OK.
Zadání certifikátu
Do pole Místní ID zadejte název certifikátu. V tomto příkladu je to P2SChildCertMac.
Kliknutím na Použít uložíte všechny změny.
Propojit
Kliknutím na Připojení spusťte připojení P2S k virtuální síti Azure. Možná budete muset zadat heslo řetězce klíčů pro přihlášení.
Po navázání připojení se stav zobrazí jako Připojení a můžete zobrazit IP adresu, kterou jste získali z fondu adres klienta VPN.
OpenVPN: kroky pro macOS
Následující příklad používá TunnelBlick.
Důležité
Protokol OpenVPN podporuje pouze MacOS 10.13 a novější.
Poznámka:
Klient OpenVPN verze 2.6 se zatím nepodporuje.
Stáhněte a nainstalujte klienta OpenVPN, například TunnelBlick.
Pokud jste to ještě neudělali, stáhněte si balíček profilu klienta VPN z webu Azure Portal.
Rozbalte profil. Otevřete konfigurační soubor vpnconfig.ovpn ze složky OpenVPN v textovém editoru.
V části klientského certifikátu P2S vyplňte veřejný klíč klientského certifikátu P2S v kódování Base-64. V certifikátu ve formátu PEM můžete otevřít soubor .cer a zkopírovat klíč base64 mezi hlavičkami certifikátu.
V části privátního klíče vyplňte privátní klíč klientského certifikátu P2S v kódování Base-64. Informace o extrahování privátního klíče najdete v tématu Export privátního klíče na webu OpenVPN.
Neměňte žádná jiná pole. S použitím vyplněné konfigurace ve vstupu klienta se připojte k síti VPN.
Poklikáním na soubor profilu vytvořte profil v Tunnelblicku.
Spusťte Tunnelblick ze složky aplikací.
Klikněte na ikonu Tunnelblick na hlavním panelu systému a vyberte připojit.
OpenVPN: kroky pro iOS
Následující příklad používá OpenVPN Připojení z App Storu.
Důležité
Protokol OpenVPN podporuje pouze iOS 11.0 a vyšší.
Poznámka:
Klient OpenVPN verze 2.6 se zatím nepodporuje.
Nainstalujte klienta OpenVPN (verze 2.4 nebo vyšší) z App Storu. Verze 2.6 se zatím nepodporuje.
Pokud jste to ještě neudělali, stáhněte si balíček profilu klienta VPN z webu Azure Portal.
Rozbalte profil. Otevřete konfigurační soubor vpnconfig.ovpn ze složky OpenVPN v textovém editoru.
V části klientského certifikátu P2S vyplňte veřejný klíč klientského certifikátu P2S v kódování Base-64. V certifikátu ve formátu PEM můžete otevřít soubor .cer a zkopírovat klíč base64 mezi hlavičkami certifikátu.
V části privátního klíče vyplňte privátní klíč klientského certifikátu P2S v kódování Base-64. Informace o extrahování privátního klíče najdete v tématu Export privátního klíče na webu OpenVPN.
Neměňte žádná jiná pole.
Odešlete e-mailem soubor profilu (.ovpn) vašemu e-mailovému účtu, který je nakonfigurovaný v poštovní aplikaci na vašem i Telefon.
Otevřete e-mail v e-mailové aplikaci na i Telefon a klepněte na připojený soubor.
Pokud možnost Kopírovat do OpenVPN nevidíte, klepněte na Další.
Klepněte na Kopírovat do OpenVPN.
Klepněte na PŘIDAT na stránce Importovat profil .
Klepněte na PŘIDAT na stránce Importovaný profil .
Spusťte aplikaci OpenVPN a posuňte přepínač na stránce Profil doprava, abyste se připojili.
Další kroky
V případě dalších kroků se vraťte k původnímu článku typu point-to-site, ze kterého jste pracovali.