Workflow für das Konfigurieren von Point-to-Site-VPN-Clients: Zertifikatauthentifizierung – Windows
Dieser Artikel führt Sie durch den Workflow und die Schritte zum Konfigurieren von VPN-Clients für virtuelle P2S-Verbindungen (Point-to-Site), welche die Zertifikatauthentifizierung verwenden. Diese Schritte werden aus den vorherigen Artikeln fortgesetzt, in denen die Einstellungen für den VPN-Gateway-Point-to-Site-Server konfiguriert wurden. In diesem Artikel generieren Sie die Clientkonfigurationsdateien und installieren die erforderlichen Clientzertifikate, die für die Authentifizierung verwendet werden.
Voraussetzungen
In diesem Artikel wird davon ausgegangen, dass Sie Ihr VPN-Gateway bereits für die P2S-Zertifikatauthentifizierung erstellt und konfiguriert haben. Die Schritte finden Sie unter Konfigurieren von Servereinstellungen für P2S-VPN-Gatewayverbindungen – Zertifikatauthentifizierung.
Stellen Sie vor Beginn des Workflows sicher, dass Sie sich im richtigen Artikel befinden. In der folgenden Tabelle sind die Konfigurationsartikel aufgeführt, die für Azure VPN Gateway P2S-VPN-Clients verfügbar sind. Die Schritte unterscheiden sich je nach Authentifizierungstyp, Tunneltyp und Clientbetriebssystem.
| Authentifizierung | Tunneltyp | Erstellen von Konfigurationsdateien | Konfigurieren des VPN-Clients |
|---|---|---|---|
| Azure-Zertifikat | IKEv2, SSTP | Windows | Nativer VPN-Client |
| Azure-Zertifikat | OpenVPN | Windows | - OpenVPN-Client - Azure VPN Client |
| Azure-Zertifikat | IKEv2, OpenVPN | macOS-iOS | macOS-iOS |
| Azure-Zertifikat | IKEv2, OpenVPN | Linux | Linux |
| Microsoft Entra ID | OpenVPN (SSL) | Windows | Windows |
| Microsoft Entra ID | OpenVPN (SSL) | macOS | macOS |
| RADIUS – Zertifikat | - | Artikel | Artikel |
| RADIUS – Kennwort | - | Artikel | Artikel |
| RADIUS – andere Methoden | - | Artikel | Artikel |
Workflow
In diesem Artikel beginnen wir mit dem Generieren von VPN-Clientkonfigurationsdateien und Clientzertifikaten:
Konfigurieren des VPN-Clients. Die Schritte zum Konfigurieren Ihres VPN-Clients hängen vom Tunneltyp für Ihr P2S-VPN-Gateway und vom VPN-Client auf dem Clientcomputer ab. Links werden zu Konfigurationsartikeln für den jeweiligen Tunnel und den entsprechenden Client bereitgestellt.
- IKEv2 und SSTP – nativer VPN-Client: Wenn Ihr P2S-VPN-Gateway für die Verwendung von IKEv2/SSTP und Zertifikatauthentifizierungen konfiguriert ist, stellen Sie eine Verbindung mit Ihrem VNet her, indem Sie den nativen VPN-Client verwenden, der Teil Ihres Windows-Betriebssystems ist. Diese Konfiguration erfordert keine zusätzliche Clientsoftware. Die Schritte finden Sie unter IKEv2 und SSTP – systemeigener VPN-Client.
- OpenVPN – Azure VPN Client: Wenn Ihr P2S VPN-Gateway für die Verwendung eines OpenVPN-Tunnels und einer Zertifikatauthentifizierung konfiguriert ist, haben Sie die Möglichkeit, die Verbindung entweder über Azure VPN Client oder den OpenVPN-Client herzustellen.
1. Generieren der VPN-Clientkonfigurationsdateien
Alle erforderlichen Konfigurationseinstellungen für die VPN-Clients sind in einer ZIP-Datei für die VPN-Clientprofilkonfiguration enthalten. Sie können Konfigurationsdateien für Clientprofile mithilfe von PowerShell oder mithilfe des Azure-Portals erstellen. Mit beiden Methoden wird die gleiche ZIP-Datei zurückgegeben.
Die von Ihnen generierten Clientprofil-Konfigurationsdateien gelten speziell für die P2S-VPN-Gatewaykonfiguration für das VNet. Wenn nach dem Generieren der Dateien Änderungen an der P2S-VPN-Konfiguration vorgenommen werden, z. B. Änderungen am VPN-Protokolltyp oder am Authentifizierungstyp, müssen Sie neue Konfigurationsdateien für die VPN-Clientprofile generieren und die neue Konfiguration auf alle VPN-Clients anwenden, die Sie verbinden möchten. Weitere Informationen zu P2S-Verbindungen finden Sie unter Informationen zu Point-to-Site-VPN.
PowerShell
Beim Generieren von VPN-Clientkonfigurationsdateien ist für „-AuthenticationMethod“ der Wert „EapTls“ angegeben. Erstellen Sie die VPN-Clientkonfigurationsdateien mit dem folgenden Befehl:
$profile=New-AzVpnClientConfiguration -ResourceGroupName "TestRG" -Name "VNet1GW" -AuthenticationMethod "EapTls"
$profile.VPNProfileSASUrl
Kopieren Sie die URL in Ihren Browser, um die ZIP-Datei herunterzuladen.
Azure-Portal
Navigieren Sie im Azure-Portal zum VNET-Gateway für das virtuelle Netzwerk, mit dem Sie eine Verbindung herstellen möchten.
Wählen Sie auf der Seite des Gateways für virtuelle Netzwerke die Option Point-to-Site-Konfiguration aus, um die Seite „Point-to-Site-Konfiguration“ zu öffnen.
Wählen Sie oben auf der Seite Point-to-Site-Konfiguration die Option VPN-Client herunterladen aus. Dadurch wird keine VPN-Clientsoftware heruntergeladen, sondern das Konfigurationspaket generiert, das zum Konfigurieren von VPN-Clients verwendet wird. Es dauert einige Minuten, bis das Clientkonfigurationspaket generiert wird. Während dieser Zeit sehen Sie möglicherweise keine Anzeichen, bis das Paket generiert ist.
Sobald das Konfigurationspaket generiert ist, zeigt Ihr Browser an, dass eine ZIP-Datei für die Clientkonfiguration verfügbar ist. Sie hat denselben Namen wie Ihr Gateway.
Entzippen Sie die Datei, um die Ordner anzuzeigen. Sie verwenden einige oder alle dieser Dateien, um Ihren VPN-Client zu konfigurieren. Die generierten Dateien entsprechen den Authentifizierungs- und Tunneltypeinstellungen, die Sie auf dem P2S-Server konfiguriert haben.
2. Generieren von Clientzertifikaten
Für die Zertifikatauthentifizierung muss auf jedem Clientcomputer ein Clientzertifikat installiert sein. Das zu verwendende Clientzertifikat muss mit dem privaten Schlüssel exportiert werden und alle Zertifikate im Zertifizierungspfad enthalten. Darüber hinaus müssen Sie für einige Konfigurationen auch Stammzertifikatinformationen installieren.
In vielen Fällen können Sie das Clientzertifikat durch Doppelklicken direkt auf dem Clientcomputer installieren. Für bestimmte OpenVPN-Clientkonfigurationen müssen Sie jedoch möglicherweise Informationen aus dem Clientzertifikat extrahieren, um die Konfiguration abzuschließen.
- Informationen zur Verwendung von Zertifikaten finden Sie unter Generieren und Exportieren von Zertifikaten für Point-to-Site-Verbindungen mithilfe von PowerShell.
- Öffnen Sie Benutzerzertifikate verwalten, um ein installiertes Clientzertifikat anzuzeigen. Das Clientzertifikat ist unter Current User\Personal\Certificates gespeichert.
3. Konfigurieren des VPN-Clients
Konfigurieren Sie als Nächstes den VPN-Client. Wählen Sie dazu eine der folgenden Anleitungen aus:
| Tunnel | VPN-Client |
|---|---|
| IKEv2 und SSTP | Schritte für den nativen VPN-Client |
| OpenVPN | Schritte für Azure VPN Client |
| OpenVPN | Schritte für den OpenVPN-Client |
Nächste Schritte
Kehren Sie für weitere Schritte zum ursprünglichen P2S-Artikel zurück, den Sie verwendet haben.