Konfigurieren von Point-to-Site-VPN-Clients – Zertifikatauthentifizierung – macOS und iOS

  • Artikel

In diesem Artikel erfahren Sie, wie Sie mithilfe von VPN Gateway P2S (Point-to-Site) und Zertifikatauthentifizierung eine Verbindung mit Ihrem virtuellen Azure-Netzwerk (VNet) herstellen. Dieser Artikel enthält mehrere Schritte abhängig vom für Ihre P2S-Konfiguration ausgewählten Tunneltyp, vom Betriebssystem und vom VPN-Client, der für die Verbindungsherstellung verwendet wird.

Beachten Sie bei der Arbeit mit Zertifikatauthentifizierung Folgendes:

  • Für den Tunneltyp IKEv2 können Sie sich mit dem VPN-Client verbinden, der nativ auf dem macOS-System installiert ist.

  • Für den Tunneltyp OpenVPN können Sie einen OpenVPN-Client verwenden.

  • Azure VPN Client ist nicht für macOS und iOS verfügbar, wenn Zertifikatauthentifizierung verwendet wird, auch wenn Sie den Tunneltyp OpenVPN für Ihre P2S-Konfiguration ausgewählt haben.

Vorbereitung

Stellen Sie vor Beginn sicher, dass Sie sich im richtigen Artikel befinden. In der folgenden Tabelle sind die Konfigurationsartikel aufgeführt, die für Azure VPN Gateway P2S-VPN-Clients verfügbar sind. Die Schritte unterscheiden sich je nach Authentifizierungstyp, Tunneltyp und Clientbetriebssystem.

Authentifizierung Tunneltyp Erstellen von Konfigurationsdateien Konfigurieren des VPN-Clients
Azure-Zertifikat IKEv2, SSTP Windows Nativer VPN-Client
Azure-Zertifikat OpenVPN Windows - OpenVPN-Client
- Azure VPN Client
Azure-Zertifikat IKEv2, OpenVPN macOS-iOS macOS-iOS
Azure-Zertifikat IKEv2, OpenVPN Linux Linux
Microsoft Entra ID OpenVPN (SSL) Windows Windows
Microsoft Entra ID OpenVPN (SSL) macOS macOS
RADIUS – Zertifikat - Artikel Artikel
RADIUS – Kennwort - Artikel Artikel
RADIUS – andere Methoden - Artikel Artikel

Wichtig

Ab dem 1. Juli 2018 wird die Unterstützung für TLS 1.0 und 1.1 vom Azure-VPN-Gateway entfernt. Das VPN-Gateway unterstützt dann nur noch TLS 1.2. Nur Point-to-Site-Verbindungen sind betroffen, Site-to-Site-Verbindungen sind nicht betroffen. Wenn Sie TLS für Point-to-Site-VPNs auf Clients unter Windows 10 oder höher verwenden, müssen Sie keine Maßnahmen ergreifen. Bei Verwendung von TLS für Point-to-Site-Verbindungen auf Windows 7- und Windows 8-Clients finden Sie die Updateanweisungen unter VPN-Gateway – häufig gestellte Fragen.

Generieren von Zertifikaten

Zur Zertifikatauthentifizierung muss auf jedem Clientcomputer ein Clientzertifikat installiert sein. Das zu verwendende Clientzertifikat muss mit dem privaten Schlüssel exportiert werden und alle Zertifikate im Zertifizierungspfad enthalten. Darüber hinaus müssen Sie für einige Konfigurationen auch Stammzertifikatinformationen installieren.

Informationen zur Verwendung von Zertifikaten finden Sie unter Point-to-Site: Generieren und Exportieren von Zertifikaten – Linux.

Generieren der VPN-Clientkonfigurationsdateien

Alle erforderlichen Konfigurationseinstellungen für die VPN-Clients sind in einer ZIP-Datei für die VPN-Clientprofilkonfiguration enthalten. Sie können Konfigurationsdateien für Clientprofile mithilfe von PowerShell oder mithilfe des Azure-Portals erstellen. Mit beiden Methoden wird die gleiche ZIP-Datei zurückgegeben.

Die von Ihnen generierten Konfigurationsdateien für VPN-Clientprofile gelten speziell für die P2S-VPN-Gatewaykonfiguration für das virtuelle Netzwerk. Wenn nach dem Generieren der Dateien Änderungen an der P2S-VPN-Konfiguration vorgenommen werden, z. B. Änderungen am VPN-Protokolltyp oder am Authentifizierungstyp, müssen Sie neue Konfigurationsdateien für die VPN-Clientprofile generieren und die neue Konfiguration auf alle VPN-Clients anwenden, mit denen Sie eine Verbindung herstellen möchten. Weitere Informationen zu P2S-Verbindungen finden Sie unter Informationen zu Point-to-Site-VPN.

So werden Dateien im Azure-Portal generiert

  1. Navigieren Sie im Azure-Portal zum VNET-Gateway für das virtuelle Netzwerk, mit dem Sie eine Verbindung herstellen möchten.

  2. Wählen Sie auf der Seite des Gateways für virtuelle Netzwerke die Option Point-to-Site-Konfiguration aus, um die Seite „Point-to-Site-Konfiguration“ zu öffnen.

  3. Wählen Sie oben auf der Seite Point-to-Site-Konfiguration die Option VPN-Client herunterladen aus. Dadurch wird keine VPN-Clientsoftware heruntergeladen, sondern das Konfigurationspaket generiert, das zum Konfigurieren von VPN-Clients verwendet wird. Es dauert einige Minuten, bis das Clientkonfigurationspaket generiert wird. Während dieser Zeit sehen Sie möglicherweise keine Anzeichen, bis das Paket generiert ist.

    Screenshot: Seite „Point-to-Site-Konfiguration“

  4. Sobald das Konfigurationspaket generiert ist, zeigt Ihr Browser an, dass eine ZIP-Datei für die Clientkonfiguration verfügbar ist. Sie hat denselben Namen wie Ihr Gateway.

  5. Entzippen Sie die Datei, um die Ordner anzuzeigen. Sie verwenden einige oder alle dieser Dateien, um Ihren VPN-Client zu konfigurieren. Die generierten Dateien entsprechen den Authentifizierungs- und Tunneltypeinstellungen, die Sie auf dem P2S-Server konfiguriert haben.

Konfigurieren Sie als Nächstes den VPN-Client. Wählen Sie dazu eine der folgenden Anleitungen aus:

IKEv2: nativer VPN-Client – Schritte für macOS

In den folgenden Abschnitten können Sie den nativen VPN-Client konfigurieren, der bereits als Teil von macOS installiert ist. Diese Art von Verbindung funktioniert nur über IKEv2.

Dateien anzeigen

Entzippen Sie die Datei, um die Ordner anzuzeigen. Wenn Sie native macOS-Clients konfigurieren, verwenden Sie die Dateien im Ordner Generic. Der Ordner „Generic“ wird bereitgestellt, wenn IKEv2 auf dem Gateway konfiguriert wurde. Alle Informationen, die Sie zum Konfigurieren des nativen VPN-Clients benötigen, finden Sie im Ordner Generic. Wenn der Ordner „Generic“ nicht angezeigt wird, überprüfen Sie die folgenden Elemente, und generieren Sie die ZIP-Datei anschließend erneut.

  • Überprüfen Sie den Tunneltyp für Ihre Konfiguration. Wahrscheinlich wurde IKEv2 nicht als Tunneltyp ausgewählt.
  • Vergewissern Sie sich auf dem VPN-Gateway, dass die SKU nicht „Basic“ lautet. Die Basic-SKU für VPN Gateway unterstützt IKEv2 nicht. Wählen Sie dann IKEv2 aus, und generieren Sie die ZIP-Datei erneut, um den Ordner „Allgemein“ zu erhalten.

Der Ordner Generic enthält die folgenden Dateien.

  • VpnSettings.xml. Diese Datei enthält wichtige Einstellungen wie Serveradresse und Tunneltyp.
  • VpnServerRoot.cer: Diese Datei enthält das Stammzertifikat, das zum Überprüfen des Azure-VPN-Gateways während der P2S-Verbindungseinrichtung erforderlich ist.

Führen Sie die folgenden Schritte aus, um den nativen VPN-Client auf dem Mac für die Zertifkatauthentifizierung zu konfigurieren. Diese Schritte müssen auf jedem Mac ausgeführt werden, für den Sie eine Verbindung mit Azure herstellen möchten.

Installieren von Zertifikaten

Stammzertifikat

  1. Kopieren Sie die Stammzertifikatdatei VpnServerRoot.cer auf Ihren Mac. Doppelklicken Sie auf das Zertifikat. Je nach Betriebssystem wird das Zertifikat entweder automatisch installiert, oder die Seite Zertifikate hinzufügen wird angezeigt.
  2. Wenn Sie die Seite Zertifikate hinzufügen sehen, klicken Sie für Keychain: auf die Pfeile und wählen im Dropdownmenü Anmelden aus.
  3. Klicken Sie auf Hinzufügen, um die Datei zu importieren.

Clientzertifikat

Ein Clientzertifikat wird für die Authentifizierung verwendet und ist erforderlich. Normalerweise müssen Sie nur auf das Clientzertifikat klicken, um es zu installieren. Weitere Informationen zum Installieren eines Clientzertifikats finden Sie unter Installieren eines Clientzertifikats.

Überprüfen der Zertifikatinstallation

Stellen Sie sicher, dass sowohl das Client- als auch das Stammzertifikat installiert sind.

  1. Öffnen Sie Keychainzugriff.
  2. Wechseln Sie zur Registerkarte Zertifikate.
  3. Stellen Sie sicher, dass sowohl das Client- als auch das Stammzertifikat installiert sind.

Konfigurieren des VPN-Clientprofils

  1. Navigieren Sie zu Systemeinstellungen -> Netzwerk. Klicken Sie auf der Seite „Netzwerk“ auf +, um ein neues VPN-Clientverbindungsprofil für eine P2S-Verbindung mit dem virtuellen Azure-Netzwerk zu erstellen.

    Screenshot mit Fenster „Netzwerk“, in dem auf „+“ geklickt wird.

  2. Klicken Sie auf der Seite Schnittstelle auswählen auf die Pfeile neben Schnittstelle:. Klicken Sie in der Dropdownliste auf VPN.

    Screenshot: Fenster „Netzwerk“ mit der Option zum Auswählen einer Schnittstelle und ausgewählter Option „VPN“

  3. Klicken Sie für VPN-Typ in der Dropdownliste auf IKEv2. Geben Sie im Feld Dienstname einen Anzeigenamen für das Profil an, und klicken Sie dann auf Erstellen.

    Screenshot: Fenster „Netzwerk“ mit der Option zum Auswählen einer Schnittstelle und eines VPN-Typs und Eingeben eines Dienstnamens

  4. Wechseln Sie zum von Ihnen heruntergeladenen VPN-Clientprofil. Öffnen Sie im Ordner Generic die Datei VpnSettings.xml in einem Text-Editor. Im Beispiel können Sie Informationen zu Tunneltyp und Serveradresse einsehen. Obwohl zwei VPN-Typen aufgeführt sind, stellt dieser VPN-Client eine Verbindung über IKEv2 her. Kopieren Sie den Wert des Tags VpnServer.

    Screenshot: Geöffnete Datei „VpnSettings.xml“ mit hervorgehobenem Tag „VpnServer“

  5. Fügen Sie den VpnServer-Tagwert in die Felder Serveradresse und Remote-ID des Profils ein. Lassen Sie Lokale ID leer. Klicken Sie dann auf Authentifizierungseinstellungen....

    Screenshot mit den in die Felder eingefügten Serverinformationen.

Konfigurieren der Authentifizierungseinstellungen

Konfigurieren Sie die Authentifizierungseinstellungen. Es gibt zwei Sätze von Anweisungen. Wählen Sie die Anweisungen aus, die Ihrer Betriebssystemversion entsprechen.

Big Sur und höher

  1. Klicken Sie auf der Seite Authentifizierungseinstellungen für das Feld „Authentifizierungseinstellungen“ auf die Pfeile, und wählen Sie Zertifikat aus.

    Screenshot: „Authentifizierungseinstellungen“ mit ausgewählter Option „Zertifikat“

  2. Klicken Sie auf Select (Auswählen), um die Seite Choose An Identity (Identität auswählen) zu öffnen.

    Screenshot mit Klicken auf „Aufwählen“.

  3. Die Seite Choose An Identity (Identität auswählen) zeigt eine Liste mit Zertifikaten zur Auswahl an. Wenn Sie nicht sicher sind, welches Zertifikat Sie verwenden sollen, können Sie auf Zertifikat anzeigen klicken, um weitere Informationen zu den einzelnen Zertifikaten anzuzeigen. Wählen Sie das richtige Zertifikat aus, und klicken Sie auf Weiter.

    Screenshot mit den Zertifikateigenschaften.

  4. Überprüfen Sie auf der Seite Authentifizierungseinstellungen, ob das richtige Zertifikat angezeigt wird, und klicken Sie dann auf OK.

    Screenshot des Dialogfelds „Choose An Identity“ (Identität auswählen), in dem Sie das richtige Zertifikat auswählen können

Catalina

Wenn Sie Catalina verwenden, befolgen Sie für die Authentifizierungseinstellungen diese Schritte:

  1. Wählen Sie für Authentifizierungseinstellungen die Option Ohne aus.

  2. Wählen Sie Zertifikat aus, klicken Sie auf Auswählen, und wählen Sie das Clientzertifikat aus, das Sie zuvor installiert haben. Klicken Sie dann auf OK.

Angeben des Zertifikats

  1. Geben Sie im Feld Lokale ID den Namen des Zertifikats ein. Dieser lautet in diesem Beispiel P2SChildCertMac.

    Screenshot: Wert der lokalen ID

  2. Wählen Sie Übernehmen aus, um alle Änderungen zu speichern.

Verbinden

  1. Klicken Sie dann auf Verbinden, um die P2S-Verbindung mit dem virtuellen Azure-Netzwerk zu starten. Sie müssen möglicherweise Ihr Keychainkennwort für die Anmeldung eingeben.

    Screenshot: Schaltfläche „Verbinden“

  2. Sobald die Verbindung hergestellt ist, wird der Status Verbunden angezeigt, und Sie können die IP-Adresse anzeigen, die aus dem Adresspool des VPN-Clients gepullt wurde.

    Screenshot: Verbunden

OpenVPN: Schritte für macOS

Im folgende Beispiel wird TunnelBlick verwendet.

Wichtig

Nur MacOS 10.13 und höher wird mit dem OpenVPN-Protokoll unterstützt.

Hinweis

OpenVPN-Client Version 2.6 wird noch nicht unterstützt.

  1. Laden Sie einen OpenVPN-Client wie z. B. Tunnelblick herunter, und installieren Sie ihn.

  2. Falls noch nicht geschehen, laden Sie das Paket mit dem VPN-Clientprofil aus dem Azure-Portal herunter.

  3. Entzippen Sie das Profil. Öffnen Sie in einem Text-Editor im Ordner „OpenVPN“ die Konfigurationsdatei „vpnconfig.ovpn“.

  4. Füllen Sie den Abschnitt „P2S client certificate“ mit dem öffentlichen Schlüssel für das P2S-Clientzertifikat in Base64 aus. In einem Zertifikat im PEM-Format können Sie die CER-Datei öffnen und den Base64-Schlüssel zwischen den Zertifikatskopfzeilen herauskopieren.

  5. Füllen Sie den Abschnitt „Private key“ mit dem privaten Schlüssel für das P2S-Clientzertifikat in Base64 aus. Informationen zum Extrahieren eines privaten Schlüssels finden Sie auf der OpenVPN-Website unter Exportieren des privaten Schlüssels.

  6. Ändern Sie keine anderen Felder. Verwenden Sie die ausgefüllte Konfiguration in der Clienteingabe, um eine Verbindung mit dem VPN herzustellen.

  7. Doppelklicken Sie auf die Profildatei, um das Profil in Tunnelblick zu erstellen.

  8. Starten Sie Tunnelblick im Anwendungsordner.

  9. Klicken Sie im Systembereich der Taskleiste auf das Symbol von Tunnelblick, und wählen Sie „Verbinden“ aus.

OpenVPN: Schritte für iOS

Im folgenden Beispiel wird OpenVPN Connect aus dem App Store verwendet.

Wichtig

Nur iOS 11.0 und höher wird mit dem OpenVPN-Protokoll unterstützt.

Hinweis

OpenVPN-Client Version 2.6 wird noch nicht unterstützt.

  1. Installieren Sie den OpenVPN-Client (Version 2.4 oder höher) aus dem App Store. Version 2.6 wird noch nicht unterstützt.

  2. Falls noch nicht geschehen, laden Sie das Paket mit dem VPN-Clientprofil aus dem Azure-Portal herunter.

  3. Entzippen Sie das Profil. Öffnen Sie in einem Text-Editor im Ordner „OpenVPN“ die Konfigurationsdatei „vpnconfig.ovpn“.

  4. Füllen Sie den Abschnitt „P2S client certificate“ mit dem öffentlichen Schlüssel für das P2S-Clientzertifikat in Base64 aus. In einem Zertifikat im PEM-Format können Sie die CER-Datei öffnen und den Base64-Schlüssel zwischen den Zertifikatskopfzeilen herauskopieren.

  5. Füllen Sie den Abschnitt „Private key“ mit dem privaten Schlüssel für das P2S-Clientzertifikat in Base64 aus. Informationen zum Extrahieren eines privaten Schlüssels finden Sie auf der OpenVPN-Website unter Exportieren des privaten Schlüssels.

  6. Ändern Sie keine anderen Felder.

  7. Senden Sie Profildatei (.ovpn) an Ihr in der Mail-App auf Ihrem iPhone konfiguriertes E-Mail-Konto.

  8. Öffnen Sie die E-Mail in der Mail-App auf dem iPhone, und tippen Sie auf die angefügte Datei.

    Screenshot: Nachricht bereit zum Senden.

  9. Tippen Sie auf More (Mehr) wenn die Option Copy to OpenVPN (In OpenVPN kopieren) nicht angezeigt wird.

    Screenshot: Tippen auf „More“ (Mehr).

  10. Tippen Sie auf Copy to OpenVPN (In OpenVPN kopieren).

    Screenshot: „Copy to OpenVPN“ (In OpenVPN kopieren).

  11. Tippen Sie auf ADD (Hinzufügen) auf der Seite Import Profile (Profil importieren).

    Screenshot: „Import Profile“ (Profil importieren).

  12. Tippen Sie auf ADD (Hinzufügen) auf der Seite Importes Profile (Importiertes Profil).

    Screenshot: „Imported Profile“ (Importiertes Profil).

  13. Starten Sie die OpenVPN-App, und schieben Sie den Schalter auf der Seite Profile nach rechts, um eine Verbindung herzustellen.

    Screenshot: Schieben des Schalters, um eine Verbindung herzustellen.

Nächste Schritte

Kehren Sie für weitere Schritte zum ursprünglichen Point-to-Site-Artikel zurück, den Sie verwendet haben.