Configurer les clients VPN P2S : authentification par certificat – Client VPN natif : macOS
Si votre passerelle VPN point à site (P2S) est configurée pour utiliser l’authentification IKEv2 et une authentification par certificat, vous pouvez vous connecter à votre réseau virtuel en utilisant le client VPN natif qui fait partie de votre système d’exploitation macOS. Cet article vous guide tout au long des étapes permettant de configurer le client VPN natif et de vous connecter à votre réseau virtuel.
Avant de commencer
Avant de commencer à configurer votre client, vérifiez que vous êtes bien sur le bon article. Le tableau suivant présente les articles de configuration disponibles pour les clients VPN P2S de la passerelle Azure VPN. Les étapes diffèrent selon le type d’authentification, le type de tunnel et le système d’exploitation client.
Authentification | Type de tunnel | Système d’exploitation client | Client VPN |
---|---|---|---|
Certificat | |||
IKEv2, SSTP | Windows | Client VPN natif | |
IKEv2 | macOS | Client VPN natif | |
IKEv2 | Linux | strongSwan | |
OpenVPN | Windows | Client VPN Azure Client OpenVPN |
|
OpenVPN | macOS | Client OpenVPN | |
OpenVPN | iOS | Client OpenVPN | |
OpenVPN | Linux | Client VPN Azure Client OpenVPN |
|
Microsoft Entra ID | |||
OpenVPN | Windows | Client VPN Azure | |
OpenVPN | macOS | Client VPN Azure | |
OpenVPN | Linux | Client VPN Azure |
Prérequis
Cet article suppose que vous avez déjà effectué les étapes prérequises suivantes :
- Vous avez créé et configuré votre passerelle VPN pour l’authentification par certificat point à site et le type de tunnel OpenVPN. Pour connaître les étapes, consultez Configurer les paramètres du serveur pour les connexions de passerelle VPN P2S – Authentification par certificat.
- Vous avez généré et téléchargé les fichiers de configuration du client VPN. Consultez Générer les fichiers de configuration de profil du client VPN pour connaître les étapes.
- Vous pouvez soit générer des certificats clients, soit acquérir les certificats clients appropriés nécessaires à l’authentification.
Workflow
Cet article a été élaboré de la manière suivante :
- Générez les certificats clients si vous ne l’avez pas déjà fait.
- Affichez les fichiers de configuration du profil client VPN contenus dans le package de configuration du profil client VPN que vous avez généré.
- Installez les certificats.
- Configurez le client VPN natif déjà installé sur votre système d’exploitation.
- Connexion à Azure.
Générer des certificats
Pour l’authentification par certificat, un certificat client doit être installé sur chaque ordinateur client. Le certificat client que vous souhaitez utiliser doit être exporté avec la clé privée et contenir tous les certificats dans le chemin de certification. En outre, pour certaines configurations, vous devez également installer les informations de certificat racine.
Pour plus d’informations sur l’utilisation des certificats, consultez Site de point à point : générer des certificats - Linux.
Afficher les fichiers de configuration de profil de client VPN
Tous les paramètres de configuration nécessaires aux clients VPN sont contenus dans un fichier config zip de client VPN. Vous pouvez générer des fichiers de configuration de profil de client en utilisant PowerShell ou le portail Azure. L’une ou l’autre des méthodes retourne le même fichier zip.
Les fichiers de configuration de profil de client VPN sont spécifiques à la configuration de la passerelle VPN P2S pour le réseau virtuel. Si des modifications ont été apportées à la configuration du VPN P2S après avoir généré les fichiers (modifications apportées au type de protocole VPN ou au type d’authentification, par exemple), vous devez générer les nouveaux fichiers de configuration du profil du client VPN et appliquer la nouvelle configuration à tous les clients VPN que vous souhaitez connecter.
Décompressez le fichier pour afficher les dossiers. Quand vous configurez des clients natifs macOS, vous utilisez les fichiers du dossier Générique. Ce dossier est présent si le protocole IKEv2 a été configuré sur la passerelle. Vous trouverez toutes les informations nécessaires pour configurer le client VPN natif dans le dossier Générique. Si vous ne voyez pas le dossier Générique, vérifiez les éléments suivants, puis générez à nouveau le fichier zip.
- Vérifiez le type de tunnel adapté à votre configuration. Il est probable qu’IKEv2 ne soit pas sélectionné en tant que type de tunnel.
- Sur la passerelle VPN, vérifiez que la référence SKU n’est pas De base. La référence SKU de base de passerelle VPN ne prend pas en charge IKEv2. Vous devrez générer à nouveau la passerelle avec le type de tunnel et la référence SKU appropriés si vous voulez que des clients macOS se connectent.
Le dossier Générique contient les fichiers suivants.
- Le fichier VpnSettings.xml, qui contient d’importants paramètres tels que l’adresse et le type de tunnel du serveur.
- Le fichier VpnServerRoot.cer, qui contient le certificat racine requis pour valider la passerelle VPN Azure lors de la configuration de la connexion P2S.
Installer des certificats
Certificat racine
- Copiez le fichier du certificat racine (VpnServerRoot.cer) sur votre Mac. Double-cliquez sur le certificat. Selon votre système d’exploitation, le certificat s’installe automatiquement ou la page Ajouter des certificats apparaît.
- Si la page Ajouter des certificats apparaît, pour Trousseau :, cliquez sur les flèches et sélectionnez login dans la liste déroulante.
- Cliquez sur Ajouter pour importer le fichier.
Certificat client
Le certificat client est utilisé pour l’authentification et est obligatoire. En règle générale, vous pouvez simplement cliquer sur le certificat client à installer. Pour plus d’informations sur l’installation d’un certificat client, consultez l’article Installer un certificat client.
Vérifier l’installation du certificat
Vérifiez que le client et le certificat racine sont installés.
- Ouvrez Trousseaux d’accès.
- Accédez à l’onglet Certificats.
- Vérifiez que le client et le certificat racine sont installés.
Configurer le profil du client VPN
Accédez à Préférences système -> Réseau. Dans la page Réseau, cliquez sur « + » pour créer un profil de connexion de client VPN pour une connexion P2S au réseau virtuel Azure.
Dans la page Sélectionner l’interface, cliquez sur les flèches en regard de Interface :. Dans la liste déroulante, cliquez sur VPN.
Pour Type VPN, dans la liste déroulante, cliquez sur IKEv2. Dans le champ Nom du service, spécifiez un nom convivial pour le profil, puis cliquez sur Créer.
Accédez au profil de client VPN que vous avez téléchargé. Dans le dossier Générique, ouvrez le fichier VpnSettings.xml à l’aide d’un éditeur de texte. Dans l’exemple, vous pouvez voir des informations sur le type de tunnel et l’adresse du serveur. Même si deux types de VPN sont listés, ce client VPN se connecte via IKEv2. Copiez la valeur de la balise VpnServer.
Collez la valeur de balise VpnServer dans les champs Adresse du serveur et ID distant du profil. Laissez ID local vide. Cliquez ensuite sur Paramètres d’authentification....
Configurer les paramètres d’authentification
Configurez les paramètres d’authentification.
Dans la page Paramètres d’authentification, pour le champ Paramètres d’authentification, cliquez sur les flèches afin de sélectionner Certificat.
Cliquez sur Sélectionner pour ouvrir la page Choisir une identité.
La page Choisir une identité affiche une liste de certificats à choisir. Si vous n’êtes pas sûr du certificat à utiliser, vous pouvez sélectionner Afficher le certificat pour afficher plus d’informations sur chaque certificat. Cliquez sur le certificat approprié, puis cliquez sur Continuer.
Sur la page Paramètres d’authentification, vérifiez que le certificat approprié est affiché, puis cliquez sur OK.
Indiquer un certificat
Dans le champ ID local, spécifiez le nom du certificat. Dans cet exemple, il s’agit de P2SChildCertMac.
Cliquez sur Appliquer pour enregistrer toutes les modifications.
Se connecter
Cliquez sur Connecter pour lancer la connexion P2S de point à site au réseau virtuel Azure. Vous devrez peut-être entrer le mot de passe du trousseau « connexion ».
Une fois la connexion établie, l’état indique Connecté et vous pouvez afficher l’adresse IP qui a été extraite du pool d’adresses des clients VPN.
Étapes suivantes
Procédez ensuite à tout autre paramétrage du serveur ou de la connexion. Consultez Étapes de la configuration point à site.
Commentaires
https://aka.ms/ContentUserFeedback.
Bientôt disponible : Tout au long de l’année 2024, nous abandonnerons progressivement le mécanisme de retour d’information GitHub Issues pour le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez :Soumettre et afficher des commentaires pour