Configurer les clients VPN point à site : authentification par certificat – Windows

Cet article vous guide à travers les étapes nécessaires à la configuration des clients VPN pour les connexions de réseau virtuel point à site (P2S) qui utilisent l’authentification par certificat. Ces étapes continuent à partir des articles précédents dans lequel les paramètres du serveur de la passerelle VPN point à site sont configurés.

Il existe plusieurs ensembles d’étapes dans cet article, selon le type de tunnel que vous avez sélectionné pour votre configuration P2S et le client VPN utilisé pour la connexion.

Avant de commencer

Cet article suppose que vous avez déjà créé et configuré votre passerelle VPN pour l’authentification par certificat P2S. Pour connaître les étapes, consultez Configurer les paramètres du serveur pour des connexions de la passerelle VPN P2S – Authentification par certificat.

Avant de commencer le workflow, assurez-vous d’être sur l’article approprié. Le tableau suivant présente les articles de configuration disponibles pour les clients VPN P2S de la passerelle Azure VPN. Les étapes diffèrent selon le type d’authentification, le type de tunnel et le système d’exploitation client.

Authentification Type de tunnel Générer des fichiers config Configurer le client VPN
Certificat Azure IKEv2, SSTP Windows Client VPN natif
Certificat Azure OpenVPN Windows - Client OpenVPN
- Client VPN Azure
Certificat Azure IKEv2, OpenVPN macOS-iOS macOS-iOS
Certificat Azure IKEv2, OpenVPN Linux Linux
Microsoft Entra ID OpenVPN (SSL) Windows Windows
Microsoft Entra ID OpenVPN (SSL) macOS macOS
RADIUS - certificat - Article Article
RADIUS - mot de passe - Article Article
RADIUS - autres méthodes - Article Article

Workflow

Dans cet article, nous commençons par générer des fichiers config et des certificats clients du client VPN :

  1. Générer des fichiers pour configurer le client VPN.

  2. Générez des certificats pour le client VPN.

  3. Configurer le client VPN. Les étapes que vous utilisez pour configurer votre client VPN dépendent du type de tunnel de votre passerelle VPN P2S et du client VPN sur l’ordinateur client.

    • IKEv2 et SSTP – client VPN natif : si votre passerelle VPN P2S est configurée pour utiliser P2S/SSTP et l’authentification par certificat, vous vous connectez à votre VNet en utilisant le client VPN natif qui fait partie de votre système d’exploitation Windows. Cette configuration ne nécessite pas de logiciel client supplémentaire. Pour obtenir les étapes, consultez IKEv2 et SSTP : client VPN natif.
    • OpenVPN - Azure VPN Client et le client OpenVPN : si votre passerelle VPN P2S est configurée pour utiliser un tunnel OpenVPN et une authentification par certificat, vous pouvez utiliser Azure VPN Client ou le client OpenVPN.

1. Générer les fichiers de configuration du client VPN

Tous les paramètres de configuration nécessaires aux clients VPN sont contenus dans un fichier config zip de client VPN. Vous pouvez générer des fichiers de configuration de profil de client en utilisant PowerShell ou le portail Azure. L’une ou l’autre des méthodes retourne le même fichier zip.

Les fichiers de configuration de profil du client VPN que vous générez sont spécifiques à la configuration de la passerelle VPN P2S pour le réseau virtuel. Si des modifications ont été apportées à la configuration du VPN P2S après avoir généré les fichiers (modifications apportées au type de protocole VPN ou au type d’authentification, par exemple), vous devez générer les nouveaux fichiers de configuration du profil du client VPN et appliquer la nouvelle configuration à tous les clients VPN que vous souhaitez connecter. Pour plus d’informations sur les connexions P2S, consultez l’article À propos des VPN point à site.

PowerShell

Lorsque vous générez les fichiers de configuration du client VPN, la valeur de la méthode « -AuthenticationMethod » est « EapTls ». Générez les fichiers de configuration du client VPN à l’aide de la commande suivante :

$profile=New-AzVpnClientConfiguration -ResourceGroupName "TestRG" -Name "VNet1GW" -AuthenticationMethod "EapTls"

$profile.VPNProfileSASUrl

Portail Azure

  1. Dans le portail Azure, accédez à la passerelle du réseau virtuel auquel vous souhaitez vous connecter.

  2. Dans la page correspondant à la passerelle de réseau virtuel, sélectionnez Configuration de point à site pour ouvrir la page Configuration de point à site.

  3. En haut de la page Configuration de point à site, sélectionnez Télécharger le client VPN. Cela ne permet pas de télécharger le logiciel du client VPN mais de générer le package de configuration utilisé pour configurer les clients VPN. La génération du package de configuration du client prend quelques minutes. Pendant ce temps, vous ne verrez peut-être aucune indication tant que le paquet n’a pas été généré.

    Screenshot of Point-to-site configuration page.

  4. Une fois le package de configuration généré, votre navigateur indique qu’un fichier config zip de client est disponible. Il porte le même nom que votre passerelle. Décompressez le fichier pour afficher les dossiers.

2. Générer des certificats clients

Pour l’authentification par certificat, un certificat client doit être installé sur chaque ordinateur client. Le certificat client que vous souhaitez utiliser doit être exporté avec la clé privée et contenir tous les certificats dans le chemin de certification. En outre, pour certaines configurations, vous devez également installer les informations de certificat racine.

Dans de nombreux cas, vous pouvez installer le certificat client directement sur l’ordinateur client en double-cliquant. Toutefois, pour certaines configurations de client OpenVPN, vous pouvez devoir extraire des informations du certificat client pour terminer la configuration.

  • Pour plus d’informations sur l’utilisation des certificats, consultez Point à site : générer des certificats.
  • Pour afficher un certificat client installé, ouvrez Gérer les certificats utilisateur. Le certificat client est installé dans Current User\Personal\Certificates.

3. Configurer le client VPN

Ensuite, configurez le client VPN. Choisissez parmi les instructions suivantes :

Tunnel Client VPN
IKEv2 et SSTP Étapes du client VPN natif
OpenVPN Étapes d’Azure VPN Client
OpenVPN Étapes du client OpenVPN

Étapes suivantes

Pour plus d’instructions, revenez à l’article sur la connexion P2S sur lequel vous travailliez.