Pont–hely VPN-ügyfelek konfigurálása: tanúsítványhitelesítés – macOS és iOS

  • Cikk

Ez a cikk segít csatlakozni az Azure-beli virtuális hálózathoz (VNet) VPN Gateway pont–hely (P2S) és tanúsítványhitelesítés használatával. Ebben a cikkben több lépésből áll a P2S-konfigurációhoz kiválasztott alagúttípustól, az operációs rendszertől és a csatlakozáshoz használt VPN-ügyféltől függően.

A tanúsítványhitelesítés használatakor vegye figyelembe a következőket:

  • Az IKEv2 alagúttípushoz a macOS rendszeren natív módon telepített VPN-ügyfél használatával csatlakozhat.

  • Az OpenVPN-alagúttípushoz használhat OpenVPN-ügyfelet.

  • Az Azure VPN-ügyfél nem érhető el macOS és iOS rendszeren tanúsítványhitelesítés használatakor, még akkor sem, ha a P2S-konfigurációhoz az OpenVPN-alagúttípust választotta.

Mielőtt elkezdené

Mielőtt hozzákezd, ellenőrizze, hogy a megfelelő cikkben van-e. Az alábbi táblázat az Azure VPN Gateway P2S VPN-ügyfelekhez elérhető konfigurációs cikkeket mutatja be. A lépések a hitelesítési típustól, az alagút típusától és az ügyfél operációs rendszerétől függően eltérőek.

Hitelesítés Alagúttípus Konfigurációs fájlok létrehozása VPN-ügyfél konfigurálása
Azure-tanúsítvány IKEv2, SSTP Windows Natív VPN-ügyfél
Azure-tanúsítvány OpenVPN Windows - OpenVPN-ügyfél
- Azure VPN-ügyfél
Azure-tanúsítvány IKEv2, OpenVPN macOS-iOS macOS-iOS
Azure-tanúsítvány IKEv2, OpenVPN Linux Linux
Microsoft Entra ID OpenVPN (SSL) Windows Windows
Microsoft Entra ID OpenVPN (SSL) macOS macOS
RADIUS – tanúsítvány - Cikk Cikk
RADIUS – jelszó - Cikk Cikk
RADIUS – egyéb módszerek - Cikk Cikk

Fontos

2018. július 1-től az Azure VPN Gatewayből el lett távolítva a TLS 1.0 és 1.1 támogatása. Ettől kezdve az Azure VPN Gateway csak a TLS 1.2-es verzióját támogatja. Csak a pont–hely kapcsolatok vannak hatással; A helyek közötti kapcsolatok nem lesznek hatással. Ha TLS-t használ pont–hely VPN-ekhez Windows 10 vagy újabb rendszerű ügyfeleken, nem kell semmilyen műveletet elvégeznie. Ha TLS-t használ pont–hely kapcsolatokhoz Windows 7 és Windows 8 rendszerű ügyfeleken, a frissítési utasításokért tekintse meg a VPN Gateway gyakori kérdéseit .

Tanúsítványok előállítása

A tanúsítványhitelesítéshez minden ügyfélszámítógépen telepíteni kell egy ügyféltanúsítványt. A használni kívánt ügyféltanúsítványt titkos kulccsal kell exportálni, és a tanúsítvány elérési útjának minden tanúsítványát tartalmaznia kell. Emellett egyes konfigurációk esetében telepítenie kell a főtanúsítvány adatait is.

További információ a tanúsítványok használatáról: Pont–hely: Tanúsítványok létrehozása – Linux.

VPN-ügyfél konfigurációs fájljainak létrehozása

A VPN-ügyfelek összes szükséges konfigurációs beállítását egy VPN-ügyfélprofil konfigurációs zip-fájlja tartalmazza. Az ügyfélprofil konfigurációs fájljait a PowerShell vagy az Azure Portal használatával hozhatja létre. Bármelyik metódus ugyanazt a zip-fájlt adja vissza.

A létrehozott VPN-ügyfélprofil-konfigurációs fájlok a virtuális hálózat P2S VPN-átjárójának konfigurációira vonatkoznak. Ha a fájlok létrehozása után módosul a P2S VPN-konfiguráció, például a VPN protokolltípusának vagy hitelesítési típusának módosítása, új VPN-ügyfélprofil-konfigurációs fájlokat kell létrehoznia, és alkalmaznia kell az új konfigurációt az összes csatlakozni kívánt VPN-ügyfélre. A P2S-kapcsolatokról további információt a pont–hely VPN kapcsolatról szóló cikkben talál.

Fájlok létrehozása az Azure Portalon:

  1. Az Azure Portalon nyissa meg annak a virtuális hálózatnak a virtuális hálózati átjáróját, amelyhez csatlakozni szeretne.

  2. A virtuális hálózati átjáró lapján válassza a Pont–hely konfiguráció lehetőséget a pont–hely konfiguráció lap megnyitásához.

  3. A pont–hely konfigurációs oldal tetején válassza a VPN-ügyfél letöltése lehetőséget. Ez nem tölt le VPN-ügyfélszoftvert, hanem létrehozza a VPN-ügyfelek konfigurálásához használt konfigurációs csomagot. Az ügyfélkonfigurációs csomag létrehozása néhány percet vesz igénybe. Ez idő alatt előfordulhat, hogy nem jelenik meg semmilyen jelzés, amíg a csomag létre nem jön.

    Képernyőkép a pont–hely konfigurációs oldalról.

  4. A konfigurációs csomag létrehozása után a böngésző azt jelzi, hogy elérhető egy ügyfélkonfigurációs zip-fájl. A név megegyezik az átjáró nevével.

  5. Bontsa ki a fájlt a mappák megtekintéséhez. A VPN-ügyfél konfigurálásához a fájlok egy részét vagy egészét fogja használni. A létrehozott fájlok megfelelnek a P2S-kiszolgálón konfigurált hitelesítési és alagúttípus-beállításoknak.

Ezután konfigurálja a VPN-ügyfelet. Válasszon az alábbi utasítások közül:

IKEv2: natív VPN-ügyfél – macOS-lépések

Az alábbi szakaszok segítenek konfigurálni a macOS részeként már telepített natív VPN-ügyfelet. Ez a kapcsolattípus csak az IKEv2-en keresztül működik.

Fájlok megtekintése

Bontsa ki a fájlt a mappák megtekintéséhez. A macOS natív ügyfeleinek konfigurálásakor az Általános mappában lévő fájlokat kell használnia. Az Általános mappa akkor jelenik meg, ha az IKEv2 konfigurálva van az átjárón. A natív VPN-ügyfél konfigurálásához szükséges összes információt megtalálja az Általános mappában. Ha nem látja az Általános mappát, ellenőrizze a következő elemeket, majd hozza létre újra a zip-fájlt.

  • Ellenőrizze a konfiguráció alagúttípusát. Valószínű, hogy az IKEv2 nem lett alagúttípusként kiválasztva.
  • A VPN-átjárón ellenőrizze, hogy az SKU nem alapszintű-e. A VPN Gateway alapszintű termékváltozata nem támogatja az IKEv2-t. Ezután válassza az IKEv2 lehetőséget, és hozza létre újra a zip-fájlt az Általános mappa lekéréséhez.

Az Általános mappa a következő fájlokat tartalmazza.

  • Vpn Gépház.xml, amely olyan fontos beállításokat tartalmaz, mint a kiszolgáló címe és az alagút típusa.
  • VpnServerRoot.cer, amely tartalmazza az Azure VPN Gateway P2S-kapcsolat beállítása során történő érvényesítéséhez szükséges főtanúsítványt.

Az alábbi lépésekkel konfigurálhatja a natív VPN-ügyfelet Mac gépen a tanúsítványhitelesítéshez. Ezeket a lépéseket minden Olyan Mac gépen el kell végezni, amelyhez csatlakozni szeretne az Azure-hoz.

Tanúsítványok telepítése

Főtanúsítvány

  1. Másolja a főtanúsítvány fájlba – VpnServerRoot.cer – a Mac gépére. Kattintson duplán a tanúsítványra. Az operációs rendszertől függően a tanúsítvány automatikusan települ, vagy megjelenik a Tanúsítványok hozzáadása lap.
  2. Ha megjelenik a Tanúsítványok hozzáadása lap, a Kulcskarika esetében kattintson a nyilakra, és válassza ki a bejelentkezést a legördülő menüből.
  3. Kattintson a Hozzáadás gombra a fájl importálásához.

Ügyféltanúsítvány

Az ügyféltanúsítvány a hitelesítéshez használatos, és kötelező. A telepítéshez általában csak az ügyféltanúsítványra kell kattintania. További információ az ügyféltanúsítvány telepítéséről: Ügyféltanúsítvány telepítése.

Tanúsítvány telepítésének ellenőrzése

Ellenőrizze, hogy az ügyfél és a főtanúsítvány is telepítve van-e.

  1. Nyissa meg a Keychain Accesst.
  2. Lépjen a Tanúsítványok lapra.
  3. Ellenőrizze, hogy az ügyfél és a főtanúsítvány is telepítve van-e.

VPN-ügyfélprofil konfigurálása

  1. Lépjen a Rendszerbeállítások – Hálózat elemre>. A Hálózat lapon kattintson a "+" gombra egy új VPN-ügyfélkapcsolati profil létrehozásához az Azure-beli virtuális hálózathoz való P2S-kapcsolathoz.

    Képernyőkép a +gombra kattintani kívánt Hálózat ablakról.

  2. A Felület kiválasztása lapon kattintson a Felület melletti nyilakra: A legördülő menüben kattintson a VPN elemre.

    Képernyőkép a Hálózat ablakról, amelyen lehetőség van egy felület kiválasztására, a VPN ki van választva.

  3. VPN-típus esetén a legördülő listában kattintson az IKEv2 elemre. A Szolgáltatásnév mezőben adjon meg egy rövid nevet a profilnak, majd kattintson a Létrehozás gombra.

    Képernyőkép a Hálózat ablakról, amelyen lehetőség van egy felület kiválasztására, a VPN típusának kiválasztására és a szolgáltatás nevének megadására.

  4. Nyissa meg a letöltött VPN-ügyfélprofilt. Az Általános mappában nyissa meg a Vpn Gépház.xml fájlt egy szövegszerkesztővel. A példában az alagút típusával és a kiszolgáló címével kapcsolatos információkat tekintheti meg. Annak ellenére, hogy két VPN-típus szerepel a listán, ez a VPN-ügyfél az IKEv2-en keresztül fog csatlakozni. Másolja ki a VpnServer címkeértékét.

    Képernyőkép a Vpn Gépház.xml fájl megnyitásáról, kiemelve a VpnServer címkével.

  5. Illessze be a VpnServer címkeértékét a profil Kiszolgáló címe és Távoli azonosító mezőjébe. Hagyja üresen a helyi azonosítót . Ezután kattintson a Hitelesítés Gépház...gombra.

    Képernyőkép a mezőkbe beillesztett kiszolgálóadatokról.

Hitelesítési beállítások konfigurálása

Hitelesítési beállítások konfigurálása. Két utasításkészlet létezik. Válassza ki az operációs rendszer verziójának megfelelő utasításokat.

Big Sur és újabb verziók

  1. A Hitelesítés Gépház lapon a Hitelesítési beállítások mezőben kattintson a nyilakra a Tanúsítvány kiválasztásához.

    Képernyőkép a hitelesítési beállításokról a kijelölt tanúsítványsal.

  2. Kattintson a Kijelölés gombra az Identitás kiválasztása lap megnyitásához.

    Képernyőkép a Kiválasztás gombra való kattintáshoz.

  3. Az Identitás kiválasztása lapon megjelenik a választható tanúsítványok listája. Ha nem biztos abban, hogy melyik tanúsítványt szeretné használni, a Tanúsítvány megjelenítése lehetőséget választva további információkat jeleníthet meg az egyes tanúsítványokról. Kattintson a megfelelő tanúsítványra, majd a Folytatás gombra.

    Képernyőkép a tanúsítvány tulajdonságairól.

  4. A Hitelesítés Gépház lapon ellenőrizze, hogy a megfelelő tanúsítvány látható-e, majd kattintson az OK gombra.

    Képernyőkép az Identitás kiválasztása párbeszédpanelről, ahol kiválaszthatja a megfelelő tanúsítványt.

Catalina

Ha Catalina-t használ, kövesse az alábbi hitelesítési beállítások lépéseit:

  1. Hitelesítéshez Gépház válassza a Nincs lehetőséget.

  2. Kattintson a Tanúsítvány gombra, majd a Kijelölés gombra, és kattintson a korábban telepített megfelelő ügyféltanúsítványra. Ezután kattintson az OK gombra.

Tanúsítvány megadása

  1. A Helyi azonosító mezőben adja meg a tanúsítvány nevét. Ebben a példában ez a P2SChildCertMac.

    Képernyőkép a helyi azonosító értékről.

  2. Kattintson az Alkalmaz gombra az összes módosítás mentéséhez.

Kapcsolódás

  1. A Csatlakozás gombra kattintva indítsa el a P2S-kapcsolatot az Azure-beli virtuális hálózattal. Előfordulhat, hogy meg kell adnia a "bejelentkezési" kulcskarika jelszavát.

    Képernyőkép a Csatlakozás gombról.

  2. A kapcsolat létrejötte után az állapot Csatlakozás jelenik meg, és megtekintheti a VPN-ügyfélcímkészletből lekért IP-címet.

    Képernyőkép Csatlakozás.

OpenVPN: macOS-lépések

Az alábbi példa a TunnelBlicket használja.

Fontos

Az OpenVPN protokoll csak a MacOS 10.13-at és újabb verziót támogatja.

Feljegyzés

Az OpenVPN-ügyfél 2.6-os verziója még nem támogatott.

  1. Töltsön le és telepítsen egy OpenVPN-ügyfelet, például a TunnelBlicket.

  2. Ha még nem tette meg, töltse le a VPN-ügyfélprofil-csomagot az Azure Portalról.

  3. Csomagolja ki a profilt. Nyissa meg a vpnconfig.ovpn konfigurációs fájlt az OpenVPN mappából egy szövegszerkesztőben.

  4. Töltse ki a pont–hely ügyféltanúsítványra vonatkozó részt a pont–hely ügyféltanúsítvány Base-64-kódolású nyilvános kulcsával. A PEM formátumú tanúsítványokban megnyithatja a .cer fájlt, és átmásolhatja a base64-kulcsot a tanúsítványfejlécek között.

  5. Töltse ki a titkos kulcsra vonatkozó részt a pont–hely ügyféltanúsítvány Base-64-kódolású titkos kulcsával. A titkos kulcsok kinyeréséről az OpenVPN-webhelyen található titkos kulcs exportálása című témakörben olvashat.

  6. Ne módosítsa a többi mezőt. Az ügyfélbemenet kitöltött konfigurációjával csatlakozhat a VPN-hez.

  7. Kattintson duplán a profilfájlra a profil létrehozásához a Tunnelblickben.

  8. Indítsa el a Tunnelblick alkalmazást az alkalmazások mappájából.

  9. Kattintson a Tunnelblick ikonra a tálcán, és válassza a csatlakozást.

OpenVPN: iOS-lépések

Az alábbi példa openVPN-Csatlakozás használ az App Store-ból.

Fontos

Az OpenVPN protokoll csak az iOS 11.0-s vagy újabb verzióját támogatja.

Feljegyzés

Az OpenVPN-ügyfél 2.6-os verziója még nem támogatott.

  1. Telepítse az OpenVPN-ügyfelet (2.4-es vagy újabb verzió) az App Store-ból. A 2.6-os verzió még nem támogatott.

  2. Ha még nem tette meg, töltse le a VPN-ügyfélprofil-csomagot az Azure Portalról.

  3. Csomagolja ki a profilt. Nyissa meg a vpnconfig.ovpn konfigurációs fájlt az OpenVPN mappából egy szövegszerkesztőben.

  4. Töltse ki a pont–hely ügyféltanúsítványra vonatkozó részt a pont–hely ügyféltanúsítvány Base-64-kódolású nyilvános kulcsával. A PEM formátumú tanúsítványokban megnyithatja a .cer fájlt, és átmásolhatja a base64-kulcsot a tanúsítványfejlécek között.

  5. Töltse ki a titkos kulcsra vonatkozó részt a pont–hely ügyféltanúsítvány Base-64-kódolású titkos kulcsával. A titkos kulcsok kinyeréséről az OpenVPN-webhelyen található titkos kulcs exportálása című témakörben olvashat.

  6. Ne módosítsa a többi mezőt.

  7. Küldje el e-mailben a profilfájlt (.ovpn) az i Telefon levelezőalkalmazásban konfigurált e-mail-fiókjába.

  8. Nyissa meg az e-mailt az i Telefon levelezőalkalmazásban, és koppintson a csatolt fájlra.

    Képernyőkép az elküldésre kész üzenetről.

  9. Koppintson az Egyebek gombra, ha nem látja a Másolás az OpenVPN-be lehetőséget.

    Képernyőkép a további koppintásról.

  10. Koppintson a Másolás gombra az OpenVPN-be.

    Képernyőkép az OpenVPN-be való másolásról.

  11. Koppintson az ADD gombra a Profil importálása lapon

    Képernyőkép az Importálási profilról.

  12. Koppintson az ADD gombra az Importált profil lapon

    Képernyőkép az Importált profilról.

  13. Indítsa el az OpenVPN alkalmazást, és húzza a kapcsolót a Profil lapon jobbra a csatlakozáshoz

    Képernyőkép a csatlakoztatni kívánt dián.

Következő lépések

További lépésekért térjen vissza az eredeti pont–hely cikkhez, amelyből dolgozott.