Configurer les clients VPN point à site – authentification par certificat – Windows

Quand vous vous connectez à un réseau virtuel Azure à l’aide d’une connexion point à site (P2S) et d’une authentification par certificat, vous pouvez utiliser le client VPN installé de façon native sur le système d’exploitation à partir duquel vous vous connectez. Si vous utilisez le type de tunnel OpenVPN, vous avez aussi la possibilité d’utiliser Azure VPN Client ou le logiciel client OpenVPN. Tous les paramètres de configuration nécessaires aux clients VPN sont contenus dans un fichier config zip de client VPN. Les paramètres dans le fichier zip vous aident à configurer facilement les clients VPN.

Les fichiers config du client VPN que vous générez sont spécifiques à la configuration de la passerelle VPN P2S pour le réseau virtuel. Si des modifications ont été apportées à la configuration du VPN de point à site après avoir généré les fichiers (modifications apportées au type de protocole VPN ou au type d’authentification, par exemple), vous devez générer les nouveaux fichiers config du client VPN et appliquer la nouvelle configuration à tous les clients VPN que vous souhaitez connecter. Pour plus d’informations sur les connexions P2S, consultez l’article À propos des VPN point à site.

Avant de commencer

Avant de commencer, vérifiez que vous êtes sur le bon article. Le tableau suivant présente les articles de configuration disponibles pour les clients VPN P2S de la passerelle Azure VPN. Les étapes diffèrent selon le type d’authentification, le type de tunnel et le système d’exploitation client.

Authentification Type de tunnel Procédure
Certificat Azure IKEv2, OpenVPN, SSTP Windows
Certificat Azure IKEv2, OpenVPN macOS-iOS
Certificat Azure IKEv2, OpenVPN Linux
Azure AD OpenVPN (SSL) Windows
Azure AD OpenVPN (SSL) macOS
RADIUS - certificat - Article
RADIUS - mot de passe - Article
RADIUS - autres méthodes - Article

Important

À compter du 1er juillet 2018, la passerelle VPN Azure ne prendra plus en charge TLS 1.0 et 1.1. Elle prendra uniquement en charge TLS 1.2. Seules les connexions de point à site sont affectées ; les connexions site à site ne le sont pas. Si vous utilisez le protocole TLS pour les VPN de point à site sur des clients Windows 10 ou version ultérieure, aucune action n’est nécessaire. Si vous utilisez le protocole TLS pour les connexions de point à site sur des clients Windows 7 et Windows 8, consultez Questions fréquentes (FAQ) sur la passerelle VPN pour obtenir des instructions de mise à jour.

1. Installer des certificats

Un certificat client est requis pour l’authentification lors de l’utilisation du type d’authentification de certificat Azure. Un certificat client doit être installé sur chaque ordinateur client. Le certificat client exporté doit être exporté avec la clé privée et contenir tous les certificats dans le chemin de certification.

  • Pour plus d’informations sur les certificats clients, voir Point à site : générer des certificats.
  • Pour afficher un certificat client installé, ouvrez Gérer les certificats utilisateur. Le certificat client est installé dans Current User\Personal\Certificates.

2. Générer les fichiers config du client VPN

Vous pouvez générer des fichiers de configuration de profil de client VPN en utilisant PowerShell ou le portail Azure. L’une ou l’autre des méthodes retourne le même fichier zip.

Générer les fichiers à l’aide du portail Azure

  1. Dans le portail Azure, accédez à la passerelle du réseau virtuel auquel vous souhaitez vous connecter.

  2. Dans la page correspondant à la passerelle de réseau virtuel, sélectionnez Configuration de point à site pour ouvrir la page Configuration de point à site.

  3. En haut de la page Configuration de point à site, sélectionnez Télécharger le client VPN. Cela ne permet pas de télécharger le logiciel du client VPN mais de générer le package de configuration utilisé pour configurer les clients VPN. La génération du package de configuration du client prend quelques minutes. Pendant ce temps, vous ne verrez peut-être aucune indication tant que le paquet n’a pas été généré.

    Téléchargez la configuration du client VPN.

  4. Une fois le package de configuration généré, votre navigateur indique qu’un fichier config zip de client est disponible. Il porte le même nom que votre passerelle. Les dossiers et fichiers que le fichier zip contient dépendent des paramètres que vous avez sélectionnés lors de la création de votre configuration P2S.

  5. Pour les étapes suivantes, en fonction de votre configuration P2S, accédez à l’une des sections suivantes :

Générer des fichiers à l’aide de PowerShell

  1. Lorsque vous générez les fichiers de configuration du client VPN, la valeur de la méthode « -AuthenticationMethod » est « EapTls ». Générez les fichiers de configuration du client VPN à l’aide de la commande suivante :

    $profile=New-AzVpnClientConfiguration -ResourceGroupName "TestRG" -Name "VNet1GW" -AuthenticationMethod "EapTls"
    
    $profile.VPNProfileSASUrl
    
  2. Copiez l’URL dans votre navigateur pour télécharger le fichier zip. Les dossiers et fichiers que le fichier zip contient dépendent des paramètres que vous avez sélectionnés lors de la création de votre configuration P2S.

  3. Pour les étapes suivantes, en fonction de votre configuration P2S, accédez à l’une des sections suivantes :

IKEv2 et SSTP - étapes du client VPN natif

Cette section vous aide à configurer le client VPN natif qui fait partie de votre système d’exploitation Windows pour vous connecter à votre réseau virtuel. Cette configuration ne nécessite pas de logiciel client supplémentaire.

Afficher les fichiers de configuration

Décompressez le fichier de configuration pour afficher les dossiers suivants :

  • Les dossiers WindowsAmd64 et WindowsX86, dans lesquels se trouvent respectivement les packages de programme d’installation pour Windows 64 bits et Windows 32 bits. Le package d’installation WindowsAmd64 est pour tous les clients Windows 64 bits pris en charge, pas seulement Amd.
  • Le dossier Générique, dans lequel se trouvent les informations générales utilisées pour créer la configuration de votre client VPN. Le dossier Générique est fourni si le protocole IKEv2 ou SSTP+IKEv2 a été configuré sur la passerelle. Si seul le protocole SSTP a été configuré, alors le dossier Générique n’apparaîtra pas.

Configurer le profil du client VPN

Vous pouvez utiliser le même package de configuration du client VPN sur chaque ordinateur client Windows, tant que la version correspond à l’architecture du client. Pour obtenir la liste des systèmes d’exploitation clients pris en charge, consultez la section Point à site de la FAQ sur la passerelle VPN.

Notes

Vous devez disposer de droits d’administrateur sur l’ordinateur client Windows à partir duquel vous vous connectez.

  1. Sélectionnez les fichiers de configuration du client VPN qui correspondent à l’architecture de l’ordinateur Windows. Pour une architecture de processeur 64 bits, choisissez le package du programme d’installation « VpnClientSetupAmd64 ». Pour une architecture de processeur 32 bits, choisissez le package du programme d’installation « VpnClientSetupX86 ».

  2. Double-cliquez sur le package pour lancer l’installation. Si une fenêtre contextuelle SmartScreen s’affiche, cliquez sur Plus d’infos, puis sur Exécuter quand même.

OpenVPN – Étapes Azure VPN Client

Cette section s’applique aux configurations d’authentification de certificat qui utilisent le type de tunnel OpenVPN. Les étapes suivantes vous aident à télécharger, installer et configurer le client VPN Azure pour vous connecter à votre réseau virtuel. Pour vous connecter à votre réseau virtuel, chaque client doit disposer des éléments suivants :

  • Le logiciel client VPN Azure est installé.
  • Le profil client VPN Azure est configuré à l’aide du fichier de configuration azurevpnconfig.xml téléchargé.
  • Le certificat client est installé localement.

Afficher les fichiers de configuration

Lorsque vous ouvrez le fichier zip, le dossier AzureVPN s’affiche. Recherchez le fichier azurevpnconfig.xml. Ce fichier contient les paramètres que vous utilisez pour configurer le profil client VPN. Si vous ne voyez pas le fichier, vérifiez les éléments suivants :

  • Vérifiez que votre passerelle VPN est configurée pour utiliser le type de tunnel OpenVPN.
  • Si vous utilisez l’authentification Azure AD, vous n’avez peut-être pas de dossier AzureVPN. Consultez l’article de configuration Azure AD à la place.

Télécharger Azure VPN Client

  1. Téléchargez la dernière version des fichiers d’installation d’Azure VPN Client à l’aide de l’un des liens suivants :

  2. Installez Azure VPN Client sur chaque ordinateur.

  3. Vérifiez qu’Azure VPN Client est autorisé à s’exécuter en arrière-plan. Pour connaître les étapes à suivre, consultez applications Windows en arrière-plan.

  4. Pour vérifier la version du client installée, ouvrez Azure VPN Client. Accédez au bas du client, puis cliquez sur ... -> ? Aide. Dans le volet de droite, vous pouvez voir le numéro de version du client.

Configurer le client VPN

  1. Ouvrez Azure VPN Client.

  2. Cliquez sur + en bas à gauche de la page, puis sélectionnez Importer.

  3. Dans la fenêtre, accédez au fichier azurevpnconfig.xml, sélectionnez-le, puis cliquez sur Ouvrir.

  4. Dans la liste déroulante Informations sur le certificat, sélectionnez le nom du certificat enfant (le certificat client). Par exemple, P2SChildCert.

    Capture d’écran montrant la page de configuration du profil du client Azure VPN.

    Si vous ne voyez pas de certificat client dans la liste déroulante Informations sur le certificat, vous devez annuler l’importation de configuration du profil et résoudre le problème avant de continuer. Il est possible que l’une des choses suivantes soit vraie :

    • Le certificat client n’est pas installé localement sur l’ordinateur client.
    • Il existe plusieurs certificats avec exactement le même nom installé sur votre ordinateur local (commun dans les environnements de test).
    • Le certificat enfant est endommagé.
  5. Une fois l’importation validée (importations sans erreur), cliquez sur Enregistrer.

  6. Dans le volet gauche, recherchez la connexion VPN, puis cliquez sur Connexion.

Le client VPN Azure offre une haute disponibilité en vous permettant d’ajouter un profil de client VPN secondaire, offrant ainsi un moyen plus résilient d’accéder au VPN. Vous pouvez choisir d’ajouter un profil client secondaire à l’aide de l’un des profils clients déjà importés et qui active l’option de haute disponibilité pour Windows. En cas de panne régionale ou d’échec de connexion au profil client VPN principal, le VPN Azure offre la possibilité de se connecter automatiquement au profil client secondaire sans perturbations.

OpenVPN – Étapes du client OpenVPN

Cette section s’applique aux configurations d’authentification de certificat configurées pour utiliser le type de tunnel OpenVPN. Les étapes suivantes vous aident à configurer le client de protocole OpenVPN® et à vous connecter à votre réseau virtuel.

Afficher les fichiers de configuration

Lorsque vous ouvrez le fichier zip, vous devriez voir un dossier OpenVPN. Si vous ne voyez pas le dossier, vérifiez les éléments suivants :

  • Vérifiez que votre passerelle VPN est configurée pour utiliser le type de tunnel OpenVPN.
  • Si vous utilisez l’authentification Azure AD, vous n’avez peut-être pas de dossier OpenVPN. Consultez l’article de configuration Azure AD à la place.
  1. Téléchargez et installez le client OpenVPN (version 2.4 ou plus) depuis le site web OpenVPN officiel.

  2. Téléchargez le package du profil client VPN à partir du portail Azure ou utilisez le cmdlet « New-AzVpnClientConfiguration » dans PowerShell.

  3. Décompressez le profil. Utilisez ensuite e bloc-notes pour ouvrir le fichier de configuration vpnconfig.ovpn à partir du dossier OpenVPN.

  4. Exportez le certificat client point à site que vous avez créé. Bien que la plupart des étapes décrites dans cette section de l’article puissent s’appliquer aux configurations de passerelle VPN et Virtual WAN, la procédure est différente pour cette étape. Utilisez le lien qui se rapporte à votre environnement.

  5. Procédez à l’extraction de la clé privée et de l’empreinte numérique en base 64 à partir de la .pfx. Il y a plusieurs manières de procéder. Vous devez utiliser OpenSSL sur votre machine. Le fichier profileinfo.txt contient la clé privée et l’empreinte numérique pour l’autorité de certification et le certificat client. Assurez-vous d’utiliser l’empreinte numérique du certificat client.

    openssl pkcs12 -in "filename.pfx" -nodes -out "profileinfo.txt"
    
  6. Basculez vers le fichier vpnconfig.ovpn que vous avez ouvert dans le Bloc-notes à l’étape 3. Renseignez la section entre <cert> et </cert>, en obtenant les valeurs pour $CLIENT_CERTIFICATE, $INTERMEDIATE_CERTIFICATE et $ROOT_CERTIFICATE comme indiqué ci-dessous.

       # P2S client certificate
       # please fill this field with a PEM formatted cert
       <cert>
       $CLIENT_CERTIFICATE
       $INTERMEDIATE_CERTIFICATE (optional)
       $ROOT_CERTIFICATE
       </cert>
    
    • Ouvrez le fichier profileinfo.txt de l’étape précédente dans le Bloc-notes. Vous pouvez identifier chaque certificat en examinant la ligne subject=. Par exemple, si votre certificat enfant se nomme P2SChildCert, votre certificat client sera après l’attribut subject=CN = P2SChildCert.
    • Pour chaque certificat de la chaîne, copiez le texte (y compris et entre) « -----BEGIN CERTIFICATE-----" et "-----END CERTIFICATE----- ».
    • N’incluez une valeur $INTERMEDIATE_CERTIFICATE que si vous avez un certificat intermédiaire dans votre fichier profileinfo.txt.
  7. Ouvrez profileinfo.txt dans le Bloc-notes. Pour obtenir la clé privée, sélectionnez le texte (y compris et entre) « ---BEGIN PRIVATE KEY--- » et « ---END PRIVATE KEY--- », puis copiez-le.

  8. Revenez au fichier vpnconfig.ovpn dans le Bloc-notes et recherchez cette section. Collez la clé privée, en remplaçant tout le contenu compris entre <key> et </key>.

    # P2S client root certificate private key
    # please fill this field with a PEM formatted key
    <key>
    $PRIVATEKEY
    </key>
    
  9. Ne modifiez aucun autre champ. Utilisez la configuration complétée dans l’entrée client pour vous connecter au VPN.

  10. Copiez le fichier vpnconfig.ovpn dans C:\Program Files\OpenVPN\config folder.

  11. Cliquez avec le bouton droit de la souris sur l’icône OpenVPN de la barre d’état du système et cliquez sur l’option de connexion.

Connecter

Pour vous connecter, revenez à l’article précédent à partir duquel vous travailliez et consultez Connexion à Azure.

Étapes suivantes

Pour plus d’instructions, revenez à l’article sur la connexion point à site sur lequel vous travailliez.