VPN-ügyfél konfigurálása pont–hely kapcsolathoz: RADIUS – tanúsítványhitelesítés

  • Cikk

Ha pont–hely kapcsolaton (P2S) keresztül szeretne csatlakozni egy virtuális hálózathoz, konfigurálnia kell azt az ügyféleszközt, amelyről csatlakozni fog. Ez a cikk segít létrehozni és telepíteni a VPN-ügyfél konfigurációját a RADIUS-tanúsítványhitelesítéshez.

RADIUS-hitelesítés használatakor több hitelesítési utasítás is létezik: tanúsítványhitelesítés, jelszó-hitelesítés és egyéb hitelesítési módszerek és protokollok. A VPN-ügyfél konfigurációja minden hitelesítési típus esetében eltérő. A VPN-ügyfél konfigurálásához a szükséges beállításokat tartalmazó ügyfélkonfigurációs fájlokat kell használnia.

Megjegyzés

2018. július 1-től az Azure VPN Gatewayből el lett távolítva a TLS 1.0 és 1.1 támogatása. Ettől kezdve az Azure VPN Gateway csak a TLS 1.2-es verzióját támogatja. Csak a pont–hely kapcsolatok vannak hatással; a helyek közötti kapcsolatok nem lesznek hatással. Ha TLS-t használ pont–hely VPN-ekhez Windows 10 vagy újabb ügyfeleken, nem kell semmilyen műveletet elvégeznie. Ha TLS-t használ pont–hely kapcsolatokhoz Windows 7-en és Windows 8-ügyfeleken, a frissítési utasításokért tekintse meg a VPN Gateway gyakori kérdéseket.

Munkafolyamat

A P2S RADIUS-hitelesítés konfigurációs munkafolyamata a következő:

  1. Állítsa be az Azure VPN Gatewayt a P2S-kapcsolatokhoz.

  2. Állítsa be a RADIUS-kiszolgálót hitelesítésre.

  3. Szerezze be a VPN-ügyfél konfigurációját a választott hitelesítési beállításhoz, és használja a VPN-ügyfél beállításához (ez a cikk).

  4. Fejezze be a P2S-konfigurációt, és csatlakozzon.

Fontos

Ha a pont–hely TÍPUSÚ VPN-konfiguráció a VPN-ügyfél konfigurációs profiljának létrehozása után módosul, például a VPN-protokoll típusa vagy hitelesítési típusa, új VPN-ügyfélkonfigurációt kell létrehoznia és telepítenie a felhasználói eszközein.

Létrehozhat VPN-ügyfélkonfigurációs fájlokat az EAP-TLS protokollt használó RADIUS-tanúsítványhitelesítéshez. Általában egy vállalati tanúsítvány használatával hitelesítik a felhasználókat a VPN-hez. Győződjön meg arról, hogy minden csatlakozó felhasználó rendelkezik telepített tanúsítvánnyal az eszközein, és hogy a RADIUS-kiszolgáló tudja ellenőrizni a tanúsítványt.

A parancsokban -AuthenticationMethod a következő: EapTls. A tanúsítványhitelesítés során az ügyfél a tanúsítvány ellenőrzésével ellenőrzi a RADIUS-kiszolgálót. -RadiusRootCert A a RADIUS-kiszolgáló ellenőrzéséhez használt főtanúsítványt tartalmazó .cer fájl.

Minden VPN-ügyféleszközhöz telepített ügyféltanúsítvány szükséges. Előfordulhat, hogy egy Windows-eszköz több ügyféltanúsítvánnyal rendelkezik. A hitelesítés során ez egy előugró párbeszédpanelt eredményezhet, amely felsorolja az összes tanúsítványt. A felhasználónak ezután ki kell választania a használni kívánt tanúsítványt. A megfelelő tanúsítvány kiszűrhető annak a főtanúsítványnak a megadásával, amelybe az ügyféltanúsítványnak láncot kell fűznie.

-ClientRootCert A a főtanúsítványt tartalmazó .cer fájl. Ez egy nem kötelező paraméter. Ha a csatlakoztatni kívánt eszköznek csak egy ügyféltanúsítványa van, nem kell megadnia ezt a paramétert.

VPN-ügyfél konfigurációs fájljainak létrehozása

A VPN-ügyfél konfigurációs fájljait a Azure Portal vagy a Azure PowerShell használatával hozhatja létre.

Azure Portal

  1. Lépjen a virtuális hálózati átjáróhoz.

  2. Kattintson a Pont–hely konfiguráció elemre.

  3. Kattintson a VPN-ügyfél letöltése elemre.

  4. Válassza ki az ügyfelet, és töltse ki a kért adatokat. A konfigurációtól függően a rendszer kérheti a Radius főtanúsítványának feltöltését a portálra. Exportálja a tanúsítványt a szükséges Base-64 kódolású X.509-ben (. CER) formátumot, majd nyissa meg egy szövegszerkesztővel, például a Jegyzettömbbel. Az alábbi példához hasonló szöveg jelenik meg. A kék színnel kiemelt szakasz az Azure-ba másolt és feltöltött információkat tartalmazza.

    Képernyőkép a Jegyzettömbben megnyitott CER-fájlról, kiemelt tanúsítványadatokkal.

    Ha a fájl nem hasonlít a példához, általában ez azt jelenti, hogy nem a Base-64 kódolású X.509() használatával exportálta. CER) formátum. Emellett, ha a Jegyzettömb kivételével szövegszerkesztőt használ, vegye figyelembe, hogy egyes szerkesztők nem kívánt formázást vezethetnek be a háttérben. Ez problémákat okozhat, amikor feltölti a tanúsítvány szövegét az Azure-ba.

  5. Kattintson a Letöltés gombra a .zip fájl létrehozásához.

  6. A .zip fájl általában a Letöltések mappába lesz letöltve.

Azure PowerShell

Hozzon létre VPN-ügyfélkonfigurációs fájlokat tanúsítványhitelesítéshez. A VPN-ügyfél konfigurációs fájljait a következő paranccsal hozhatja létre:

New-AzVpnClientConfiguration -ResourceGroupName "TestRG" -Name "VNet1GW" -AuthenticationMethod "EapTls" -RadiusRootCert <full path name of .cer file containing the RADIUS root> -ClientRootCert <full path name of .cer file containing the client root> | fl

A parancs futtatása egy hivatkozást ad vissza. Másolja és illessze be a webböngészőre mutató hivatkozást a VpnClientConfiguration.zip letöltéséhez. Bontsa ki a fájlt a következő mappák megtekintéséhez:

  • WindowsAmd64 és WindowsX86: Ezek a mappák a Windows 64 bites és a 32 bites telepítőcsomagokat tartalmazzák.
  • GenericDevice: Ez a mappa általános információkat tartalmaz, amelyek a saját VPN-ügyfélkonfiguráció létrehozásához használhatók.

Ha már létrehozott ügyfélkonfigurációs fájlokat, a Get-AzVpnClientConfiguration parancsmaggal lekérheti őket. Ha azonban módosítja a P2S VPN-konfigurációt, például a VPN-protokoll típusát vagy a hitelesítési típust, a konfiguráció nem frissül automatikusan. Új konfigurációletöltés létrehozásához futtatnia kell a New-AzVpnClientConfiguration parancsmagot.

A korábban létrehozott ügyfélkonfigurációs fájlok lekéréséhez használja a következő parancsot:

Get-AzVpnClientConfiguration -ResourceGroupName "TestRG" -Name "VNet1GW" | fl

Natív Windows VPN-ügyfél

Ha konfigurálta az IKEv2-t vagy az SSTP-t, használhatja a natív VPN-ügyfelet.

  1. Válasszon ki egy konfigurációs csomagot, és telepítse az ügyféleszközre. 64 bites processzorarchitektúra esetén válassza a VpnClientSetupAmd64 telepítőcsomagot. 32 bites processzorarchitektúra esetén válassza a VpnClientSetupX86 telepítőcsomagot. Ha megjelenik egy SmartScreen előugró ablak, válassza a További információ>futtatás egyébként lehetőséget. A csomagot mentheti is, így más ügyfélszámítógépekre is telepítheti.

  2. Minden ügyfélnek szüksége van egy ügyféltanúsítványra a hitelesítéshez. Telepítse az ügyféltanúsítványt. További információ az ügyféltanúsítványokról: Pont–hely ügyféltanúsítványok. A létrehozott tanúsítvány telepítéséhez lásd: Tanúsítvány telepítése Windows-ügyfeleken.

  3. Az ügyfélszámítógépen keresse meg a Hálózati beállítások elemet , és válassza a VPN lehetőséget. A VPN-kapcsolat megjeleníti annak a virtuális hálózatnak a nevét, amelyhez csatlakozott.

Mac (macOS) natív VPN-ügyfél

Minden Olyan Mac-eszközhöz külön profilt kell létrehoznia, amely az Azure-beli virtuális hálózathoz csatlakozik. Ennek az az oka, hogy ezek az eszközök megkövetelik a felhasználói tanúsítvány megadását a profilban. Emellett csak akkor használhatja a macOS natív VPN-ügyfelet, ha az IKEv2 alagúttípust is belefoglalta a konfigurációba. Az Általános mappa tartalmazza a profil létrehozásához szükséges összes információt:

  • VpnSettings.xml olyan fontos beállításokat tartalmaz, mint a kiszolgáló címe és az alagút típusa.
  • A VpnServerRoot.cer tartalmazza a VPN-átjáró P2S-kapcsolat beállítása során történő ellenőrzéséhez szükséges főtanúsítványt.
  • A RadiusServerRoot.cer tartalmazza a RADIUS-kiszolgáló hitelesítés közbeni ellenőrzéséhez szükséges főtanúsítványt.

Az alábbi lépésekkel konfigurálhatja a natív VPN-ügyfelet Mac gépen tanúsítványhitelesítésre:

  1. Importálja a VpnServerRoot és RadiusServerRoot főtanúsítványokat a Mac gépére. Másolja az egyes fájlokat a Mac gépére, kattintson rá duplán, majd válassza a Hozzáadás lehetőséget.

    Képernyőkép a VpnServerRoot tanúsítvány hozzáadásáról.

    Képernyőkép a RadiusServerRoot tanúsítvány hozzáadásáról.

  2. Minden ügyfélnek szüksége van egy ügyféltanúsítványra a hitelesítéshez. Telepítse az ügyféltanúsítványt az ügyféleszközre.

  3. Nyissa meg a Hálózat párbeszédpanelt a Hálózati beállítások területen. Válassza ki + , hogy létrehoz-e egy új VPN-ügyfélkapcsolati profilt az Azure-beli virtuális hálózat P2S-kapcsolatához.

    Az Interfész értéke VPN, a VPN-típus értéke pedig IKEv2. Adja meg a profil nevét a Szolgáltatásnév mezőben, majd válassza a Létrehozás lehetőséget a VPN-ügyfélkapcsolati profil létrehozásához.

    Képernyőkép az interfész és a szolgáltatásnév adatairól.

  4. A Generic mappában másolja ki a VpnServer címke értékét a VpnSettings.xml fájlból. Illessze be ezt az értéket a profil Kiszolgáló címe és Távoli azonosító mezőibe. Hagyja üresen a Helyi azonosító mezőt.

    Képernyőkép a kiszolgáló adatairól.

  5. Válassza a Hitelesítési beállítások, majd a Tanúsítvány lehetőséget.

    Képernyőkép a hitelesítési beállításokról.

  6. Kattintson a Kiválasztás gombra a hitelesítéshez használni kívánt tanúsítvány kiválasztásához.

    Képernyőkép: Tanúsítvány kiválasztása hitelesítéshez.

  7. Az Identitás kiválasztása lehetőséget választva megjelenik a választható tanúsítványok listája. Válassza ki a megfelelő tanúsítványt, majd válassza a Folytatás lehetőséget.

    Képernyőkép az Identitás kiválasztása listáról.

  8. A Helyi azonosító mezőben adja meg a tanúsítvány nevét (a 6. lépésben). Ebben a példában ez ikev2Client.com. Ezután kattintson az Alkalmaz gombra a módosítások mentéséhez.

    Képernyőkép a Helyi I D mezőről.

  9. A Hálózat párbeszédpanelen válassza az Alkalmaz lehetőséget az összes módosítás mentéséhez. Ezután válassza a Csatlakozás lehetőséget az Azure-beli virtuális hálózathoz való P2S-kapcsolat elindításához.

Következő lépések

Térjen vissza a cikkhez a P2S-konfiguráció befejezéséhez.

A P2S hibaelhárítási információiért lásd: Az Azure pont–hely kapcsolatok hibaelhárítása.