Konfigurace klienta VPN pro připojení typu point-to-site: RADIUS – ověřování certifikátů
Pokud se chcete připojit k virtuální síti přes point-to-site (P2S), musíte nakonfigurovat klientské zařízení, ze kterého se budete připojovat. Tento článek vám pomůže vytvořit a nainstalovat konfiguraci klienta VPN pro ověřování certifikátů RADIUS.
Pokud používáte ověřování RADIUS, existuje několik pokynů k ověřování: ověřování certifikátů, ověřování hesla a další metody ověřování a protokoly. Konfigurace klienta VPN se pro každý typ ověřování liší. Ke konfiguraci klienta VPN použijete konfigurační soubory klienta, které obsahují požadovaná nastavení.
Poznámka:
Od 1. července 2018 se začíná rušit podpora protokolu TLS 1.0 a 1.1 ve službě Azure VPN Gateway. Služba VPN Gateway bude podporovat pouze protokol TLS 1.2. Ovlivněná jsou pouze připojení typu point-to-site; Připojení typu site-to-site nebudou ovlivněna. Pokud používáte protokol TLS pro sítě VPN typu point-to-site ve Windows 10 nebo novějších klientech, nemusíte provádět žádnou akci. Pokud používáte protokol TLS pro připojení typu point-to-site v klientech s Windows 7 a Windows 8, přečtěte si nejčastější dotazy ke službě VPN Gateway s pokyny k aktualizaci.
Workflow
Pracovní postup konfigurace pro ověřování protokolu RADIUS P2S je následující:
Získejte konfiguraci klienta VPN pro možnost ověřování podle vašeho výběru a použijte ji k nastavení klienta VPN (tento článek).
Důležité
Pokud po vygenerování konfiguračního profilu klienta VPN typu point-to-site dojde k nějakým změnám, jako je typ protokolu VPN nebo typ ověřování, musíte vygenerovat a nainstalovat novou konfiguraci klienta VPN na zařízeních uživatelů.
Můžete vytvořit konfigurační soubory klienta VPN pro ověřování certifikátů RADIUS, které používají protokol EAP-TLS. Certifikát vydaný podnikem se obvykle používá k ověření uživatele pro síť VPN. Ujistěte se, že všichni připojující uživatelé mají na svých zařízeních nainstalovaný certifikát a že váš server RADIUS může certifikát ověřit.
V příkazech -AuthenticationMethod
je EapTls
. Během ověřování certifikátu klient ověří server RADIUS ověřením jeho certifikátu. -RadiusRootCert
je .cer soubor, který obsahuje kořenový certifikát, který slouží k ověření serveru RADIUS.
Každé klientské zařízení VPN vyžaduje nainstalovaný klientský certifikát. Někdy má zařízení s Windows více klientských certifikátů. Během ověřování to může vést k automaticky otevírané dialogové okno se seznamem všech certifikátů. Uživatel pak musí zvolit certifikát, který se má použít. Správný certifikát lze filtrovat zadáním kořenového certifikátu, ke kterému má klientský certifikát řetězit.
-ClientRootCert
je .cer soubor, který obsahuje kořenový certifikát. Jedná se o volitelný parametr. Pokud zařízení, ze kterého se chcete připojit, má jenom jeden klientský certifikát, nemusíte tento parametr zadávat.
Generování konfiguračních souborů klienta VPN
Konfigurační soubory klienta VPN můžete vygenerovat pomocí webu Azure Portal nebo pomocí Azure PowerShellu.
portál Azure
Přejděte k bráně virtuální sítě.
Klikněte na konfigurace typu Point-to-Site.
Klikněte na Stáhnout klienta VPN.
Vyberte klienta a vyplňte všechny požadované informace. V závislosti na konfiguraci můžete být požádáni o nahrání kořenového certifikátu Radius na portál. Exportujte certifikát v požadovaném kódování X.509 s kódováním Base-64 (. CER) formátujte a otevřete ho pomocí textového editoru, jako je třeba Poznámkový blok. Zobrazí se text podobný následujícímu příkladu. Oddíl zvýrazněný modře obsahuje informace, které zkopírujete a nahrajete do Azure.
Pokud soubor nevypadá podobně jako v příkladu, obvykle to znamená, že jste ho neexportovali pomocí X.509 s kódováním Base-64(. FORMÁT CER. Pokud navíc používáte jiný textový editor než Poznámkový blok, mějte na paměti, že některé editory můžou na pozadí zavést nezamýšlené formátování. To může způsobit problémy při nahrání textu z tohoto certifikátu do Azure.
Kliknutím na tlačítko Stáhnout vygenerujete soubor .zip.
Soubor .zip se stáhne, obvykle do složky Stažené soubory.
Azure PowerShell
Generování konfiguračních souborů klienta VPN pro použití s ověřováním certifikátů Konfigurační soubory klienta VPN můžete vygenerovat pomocí následujícího příkazu:
New-AzVpnClientConfiguration -ResourceGroupName "TestRG" -Name "VNet1GW" -AuthenticationMethod "EapTls" -RadiusRootCert <full path name of .cer file containing the RADIUS root> -ClientRootCert <full path name of .cer file containing the client root> | fl
Spuštění příkazu vrátí odkaz. Zkopírujte a vložte odkaz do webového prohlížeče a stáhněte VpnClientConfiguration.zip. Rozbalte soubor a zobrazte následující složky:
- WindowsAmd64 a WindowsX86: Tyto složky obsahují 64bitové a 32bitové instalační balíčky windows.
- GenericDevice: Tato složka obsahuje obecné informace, které slouží k vytvoření vlastní konfigurace klienta VPN.
Pokud jste už vytvořili konfigurační soubory klienta, můžete je načíst pomocí rutiny Get-AzVpnClientConfiguration
. Pokud ale provedete jakékoli změny konfigurace P2S VPN, jako je typ protokolu VPN nebo typ ověřování, konfigurace se automaticky neaktualizuje. Spuštěním rutiny New-AzVpnClientConfiguration
je nutné vytvořit nový soubor ke stažení konfigurace.
Pokud chcete načíst dříve vygenerované konfigurační soubory klienta, použijte následující příkaz:
Get-AzVpnClientConfiguration -ResourceGroupName "TestRG" -Name "VNet1GW" | fl
Nativní klient VPN pro Windows
Nativního klienta VPN můžete použít, pokud jste nakonfigurovali protokol IKEv2 nebo SSTP.
Vyberte konfigurační balíček a nainstalujte ho na klientské zařízení. Pro 64bitovou architekturu procesoru zvolte instalační balíček VpnClientSetupAmd64 . Pro 32bitovou architekturu procesoru zvolte instalační balíček VpnClientSetupX86 . Pokud se zobrazí automaticky otevírané okno SmartScreen, vyberte Přesto spustit další informace>. Můžete také balíček uložit k instalaci na další klientské počítače.
Každý klient k ověřování vyžaduje klientský certifikát. Nainstalujte klientský certifikát. Informace o klientských certifikátech naleznete v tématu Klientské certifikáty pro point-to-site. Pokud chcete nainstalovat vygenerovaný certifikát, přečtěte si téma Instalace certifikátu na klienty s Windows.
Na klientském počítači přejděte do nastavení sítě a vyberte VPN. Připojení k síti VPN zobrazuje název virtuální sítě, ke které se připojuje.
Nativní klient VPN pro Mac (macOS)
Pro každé zařízení Mac, které se připojuje k virtuální síti Azure, musíte vytvořit samostatný profil. Důvodem je to, že tato zařízení vyžadují, aby se v profilu zadal uživatelský certifikát. Kromě toho můžete použít pouze nativního klienta VPN pro macOS, pokud jste do konfigurace zahrnuli typ tunelu IKEv2. Složka Generic obsahuje všechny informace potřebné k vytvoření profilu:
- VpnSettings.xml obsahuje důležitá nastavení, jako je adresa serveru a typ tunelu.
- VpnServerRoot.cer obsahuje kořenový certifikát, který je nutný k ověření brány VPN během instalace připojení P2S.
- RadiusServerRoot.cer obsahuje kořenový certifikát, který je nutný k ověření serveru RADIUS během ověřování.
Pomocí následujících kroků nakonfigurujte nativního klienta VPN na počítači Mac pro ověřování certifikátů:
Importujte kořenové certifikáty VpnServerRoot a RadiusServerRoot do počítače Mac. Zkopírujte každý soubor na Mac, poklikejte na něj a pak vyberte Přidat.
Každý klient k ověřování vyžaduje klientský certifikát. Nainstalujte klientský certifikát do klientského zařízení.
Otevřete dialogové okno Síť v části Předvolby sítě. Vyberte + , pokud chcete vytvořit nový profil připojení klienta VPN pro připojení P2S k virtuální síti Azure.
Hodnota rozhraní je VPN a hodnota typu VPN je IKEv2. Do pole Název služby zadejte název profilu a pak vyberte Vytvořit a vytvořte profil připojení klienta VPN.
Ve složce Generic zkopírujte ze souboru VpnSettings.xml hodnotu značky VpnServer. Tuto hodnotu vložte do polí Adresa serveru a Vzdálené ID profilu. Pole Místní ID nechte prázdné.
Vyberte Nastavení ověřování a vyberte Certifikát.
Kliknutím na vybrat vyberte certifikát, který chcete použít k ověřování.
Volba Identita zobrazí seznam certifikátů, ze které si můžete vybrat. Vyberte správný certifikát a pak vyberte Pokračovat.
Do pole Místní ID zadejte název certifikátu (z kroku 6). V tomto příkladu je to ikev2Client.com. Potom kliknutím na tlačítko Použít uložte změny.
V dialogovém okně Síť vyberte Použít k uložení všech změn. Pak vyberte Připojit a spusťte připojení P2S k virtuální síti Azure.
Další kroky
Vraťte se do článku konfigurace P2S a ověřte připojení.
Informace o řešení potíží s P2S najdete v tématu Řešení potíží s připojeními Azure typu point-to-site.