Partage via

Configurer les clients VPN P2S : authentification par certificat – Client VPN natif : macOS

  • Article

Si votre passerelle VPN point à site (P2S) est configurée pour utiliser l’authentification IKEv2 et une authentification par certificat, vous pouvez vous connecter à votre réseau virtuel en utilisant le client VPN natif qui fait partie de votre système d’exploitation macOS. Cet article vous guide tout au long des étapes permettant de configurer le client VPN natif et de vous connecter à votre réseau virtuel.

Avant de commencer

Avant de commencer à configurer votre client, vérifiez que vous êtes bien sur le bon article. Le tableau suivant présente les articles de configuration disponibles pour les clients VPN P2S de la passerelle Azure VPN. Les étapes diffèrent selon le type d’authentification, le type de tunnel et le système d’exploitation client.

Authentification Type de tunnel Système d’exploitation client Client VPN
Certificat
IKEv2, SSTP Windows Client VPN natif
IKEv2 macOS Client VPN natif
IKEv2 Linux strongSwan
OpenVPN Windows Client VPN Azure
Client OpenVPN
OpenVPN macOS Client OpenVPN
OpenVPN iOS Client OpenVPN
OpenVPN Linux Client VPN Azure
Client OpenVPN
Microsoft Entra ID
OpenVPN Windows Client VPN Azure
OpenVPN macOS Client VPN Azure
OpenVPN Linux Client VPN Azure

Prérequis

Cet article suppose que vous avez déjà effectué les étapes prérequises suivantes :

Workflow

Cet article a été élaboré de la manière suivante :

  1. Générez les certificats clients si vous ne l’avez pas déjà fait.
  2. Affichez les fichiers de configuration du profil client VPN contenus dans le package de configuration du profil client VPN que vous avez généré.
  3. Installez les certificats.
  4. Configurez le client VPN natif déjà installé sur votre système d’exploitation.
  5. Connexion à Azure.

Générer des certificats

Pour l’authentification par certificat, un certificat client doit être installé sur chaque ordinateur client. Le certificat client que vous souhaitez utiliser doit être exporté avec la clé privée et contenir tous les certificats dans le chemin de certification. En outre, pour certaines configurations, vous devez également installer les informations de certificat racine.

Pour plus d’informations sur l’utilisation des certificats, consultez Site de point à point : générer des certificats - Linux.

Afficher les fichiers de configuration de profil de client VPN

Tous les paramètres de configuration nécessaires aux clients VPN sont contenus dans un fichier config zip de client VPN. Vous pouvez générer des fichiers de configuration de profil de client en utilisant PowerShell ou le portail Azure. L’une ou l’autre des méthodes retourne le même fichier zip.

Les fichiers de configuration de profil de client VPN sont spécifiques à la configuration de la passerelle VPN P2S pour le réseau virtuel. Si des modifications ont été apportées à la configuration du VPN P2S après avoir généré les fichiers (modifications apportées au type de protocole VPN ou au type d’authentification, par exemple), vous devez générer les nouveaux fichiers de configuration du profil du client VPN et appliquer la nouvelle configuration à tous les clients VPN que vous souhaitez connecter.

Décompressez le fichier pour afficher les dossiers. Quand vous configurez des clients natifs macOS, vous utilisez les fichiers du dossier Générique. Ce dossier est présent si le protocole IKEv2 a été configuré sur la passerelle. Vous trouverez toutes les informations nécessaires pour configurer le client VPN natif dans le dossier Générique. Si vous ne voyez pas le dossier Générique, vérifiez les éléments suivants, puis générez à nouveau le fichier zip.

  • Vérifiez le type de tunnel adapté à votre configuration. Il est probable qu’IKEv2 ne soit pas sélectionné en tant que type de tunnel.
  • Sur la passerelle VPN, vérifiez que la référence SKU n’est pas De base. La référence SKU de base de passerelle VPN ne prend pas en charge IKEv2. Vous devrez générer à nouveau la passerelle avec le type de tunnel et la référence SKU appropriés si vous voulez que des clients macOS se connectent.

Le dossier Générique contient les fichiers suivants.

  • Le fichier VpnSettings.xml, qui contient d’importants paramètres tels que l’adresse et le type de tunnel du serveur.
  • Le fichier VpnServerRoot.cer, qui contient le certificat racine requis pour valider la passerelle VPN Azure lors de la configuration de la connexion P2S.

Installer des certificats

Certificat racine

  1. Copiez le fichier du certificat racine (VpnServerRoot.cer) sur votre Mac. Double-cliquez sur le certificat. Selon votre système d’exploitation, le certificat s’installe automatiquement ou la page Ajouter des certificats apparaît.
  2. Si la page Ajouter des certificats apparaît, pour Trousseau :, cliquez sur les flèches et sélectionnez login dans la liste déroulante.
  3. Cliquez sur Ajouter pour importer le fichier.

Certificat client

Le certificat client est utilisé pour l’authentification et est obligatoire. En règle générale, vous pouvez simplement cliquer sur le certificat client à installer. Pour plus d’informations sur l’installation d’un certificat client, consultez l’article Installer un certificat client.

Vérifier l’installation du certificat

Vérifiez que le client et le certificat racine sont installés.

  1. Ouvrez Trousseaux d’accès.
  2. Accédez à l’onglet Certificats.
  3. Vérifiez que le client et le certificat racine sont installés.

Configurer le profil du client VPN

  1. Accédez à Préférences système -> Réseau. Dans la page Réseau, cliquez sur « + » pour créer un profil de connexion de client VPN pour une connexion P2S au réseau virtuel Azure.

    Capture d’écran montrant la fenêtre Réseau et le bouton + sur lequel cliquer.

  2. Dans la page Sélectionner l’interface, cliquez sur les flèches en regard de Interface :. Dans la liste déroulante, cliquez sur VPN.

    La capture d’écran affiche la fenêtre Réseau avec l’option permettant de sélectionner une interface, VPN est sélectionné.

  3. Pour Type VPN, dans la liste déroulante, cliquez sur IKEv2. Dans le champ Nom du service, spécifiez un nom convivial pour le profil, puis cliquez sur Créer.

    Capture d’écran montrant la fenêtre Réseau avec l’option permettant de sélectionner une interface, de sélectionner le type de VPN et d’entrer un nom de service.

  4. Accédez au profil de client VPN que vous avez téléchargé. Dans le dossier Générique, ouvrez le fichier VpnSettings.xml à l’aide d’un éditeur de texte. Dans l’exemple, vous pouvez voir des informations sur le type de tunnel et l’adresse du serveur. Même si deux types de VPN sont listés, ce client VPN se connecte via IKEv2. Copiez la valeur de la balise VpnServer.

    Capture d’écran affichant le fichier VpnSettings.xml ouvert avec la balise VpnServer mise en surbrillance.

  5. Collez la valeur de balise VpnServer dans les champs Adresse du serveur et ID distant du profil. Laissez ID local vide. Cliquez ensuite sur Paramètres d’authentification....

    capture d’écran montrant les informations du serveur collées dans les champs.

Configurer les paramètres d’authentification

Configurez les paramètres d’authentification.

  1. Dans la page Paramètres d’authentification, pour le champ Paramètres d’authentification, cliquez sur les flèches afin de sélectionner Certificat.

    Capture d’écran montrant des paramètres d’authentification avec le certificat sélectionné.

  2. Cliquez sur Sélectionner pour ouvrir la page Choisir une identité.

    Capture d’écran illustrant le clic sur Sélectionner.

  3. La page Choisir une identité affiche une liste de certificats à choisir. Si vous n’êtes pas sûr du certificat à utiliser, vous pouvez sélectionner Afficher le certificat pour afficher plus d’informations sur chaque certificat. Cliquez sur le certificat approprié, puis cliquez sur Continuer.

    Capture d’écran montrant les propriétés du certificat.

  4. Sur la page Paramètres d’authentification, vérifiez que le certificat approprié est affiché, puis cliquez sur OK.

    Capture d’écran montrant la boîte de dialogue Choisir une identité dans laquelle vous pouvez sélectionner le certificat approprié.

Indiquer un certificat

  1. Dans le champ ID local, spécifiez le nom du certificat. Dans cet exemple, il s’agit de P2SChildCertMac.

    Capture d’écran affichant la valeur de l’ID local.

  2. Cliquez sur Appliquer pour enregistrer toutes les modifications.

Se connecter

  1. Cliquez sur Connecter pour lancer la connexion P2S de point à site au réseau virtuel Azure. Vous devrez peut-être entrer le mot de passe du trousseau « connexion ».

    Capture d’écran montrant le bouton de connexion.

  2. Une fois la connexion établie, l’état indique Connecté et vous pouvez afficher l’adresse IP qui a été extraite du pool d’adresses des clients VPN.

    La capture d’écran montre la connexion.

Étapes suivantes

Procédez ensuite à tout autre paramétrage du serveur ou de la connexion. Consultez Étapes de la configuration point à site.