Mengonfigurasi klien VPN titik-ke-situs: autentikasi sertifikat - macOS dan iOS

  • Artikel

Artikel ini membantu Anda menyambungkan ke jaringan virtual Azure (VNet) menggunakan vpn Gateway point-to-site (P2S) dan autentikasi Sertifikat. Ada beberapa set langkah dalam artikel ini, tergantung pada jenis terowongan yang Anda pilih untuk konfigurasi P2S Anda, sistem operasi, dan klien VPN yang digunakan untuk menyambungkan.

Perhatikan hal berikut saat bekerja dengan autentikasi sertifikat:

  • Untuk jenis terowongan IKEv2, Anda dapat terhubung menggunakan klien VPN yang diinstal secara asli pada sistem macOS.

  • Untuk jenis terowongan OpenVPN, Anda dapat menggunakan klien OpenVPN.

  • Klien Azure VPN tidak tersedia untuk macOS dan iOS saat menggunakan autentikasi sertifikat, bahkan jika Anda memilih jenis terowongan OpenVPN untuk konfigurasi P2S Anda.

Sebelum Anda mulai

Sebelum memulai, verifikasi bahwa Anda berada di artikel yang benar. Tabel berikut ini memperlihatkan artikel konfigurasi yang tersedia untuk klien Vpn Azure VPN Gateway P2S. Langkah-langkah berbeda, tergantung pada jenis autentikasi, jenis terowongan, dan OS klien.

Autentikasi Jenis terowongan Hasilkan file konfigurasi Mengonfigurasi klien VPN
Sertifikat Azure IKEv2, SSTP Windows Klien VPN asli
Sertifikat Azure OpenVPN Windows - Klien OpenVPN
- Klien Azure VPN
Sertifikat Azure IKEv2, OpenVPN macOS-iOS macOS-iOS
Sertifikat Azure IKEv2, OpenVPN Linux Linux
Microsoft Entra ID OpenVPN (SSL) Windows Windows
Microsoft Entra ID OpenVPN (SSL) macOS macOS
Sertifikat RADIUS - Artikel Artikel
RADIUS - kata sandi - Artikel Artikel
RADIUS - metode lain - Artikel Artikel

Penting

Mulai 1 Juli 2018, dukungan dihapus untuk TLS 1.0 dan 1.1 dari Gateway VPN Azure. VPN Gateway hanya akan mendukung TLS 1.2. saja Hanya koneksi titik ke situs yang terpengaruh; sambungan situs ke situs tidak akan terpengaruh. Jika Anda menggunakan TLS untuk VPN titik ke situs pada klien Windows 10, Anda tidak perlu mengambil tindakan apa pun. Jika Anda menggunakan TLS untuk koneksi titik ke situs pada klien Windows 7 dan Windows 8, lihat Tanya Jawab Umum VPN Gateway untuk petunjuk pembaruan.

Membuat sertifikat

Untuk autentikasi sertifikat, sertifikat klien harus diinstal pada setiap komputer klien. Sertifikat klien yang ingin Anda gunakan harus diekspor dengan kunci privat, dan harus berisi semua sertifikat di jalur sertifikasi. Selain itu, untuk beberapa konfigurasi, Anda juga perlu menginstal informasi sertifikat akar.

Untuk informasi tentang bekerja dengan sertifikat, lihat Titik-ke-situs: Membuat sertifikat - Linux.

Membuat file konfigurasi klien VPN

Semua pengaturan konfigurasi yang diperlukan untuk klien VPN terkandung dalam file zip konfigurasi profil klien VPN. Anda dapat membuat file konfigurasi profil klien menggunakan PowerShell, atau dengan menggunakan portal Azure. Metode apa pun akan menghasilkan file zip yang sama.

File konfigurasi profil klien VPN yang Anda buat khusus untuk konfigurasi gateway VPN P2S untuk jaringan virtual. Jika ada perubahan pada konfigurasi VPN P2S setelah Anda membuat file, seperti perubahan pada jenis protokol VPN atau jenis autentikasi, Anda perlu membuat file konfigurasi profil klien VPN baru dan menerapkan konfigurasi baru ke semua klien VPN yang ingin Anda sambungkan. Untuk informasi selengkapnya tentang konfigurasi P2S, lihat Tentang VPN Point-to-Site.

Untuk menghasilkan file menggunakan portal Azure:

  1. Di portal Azure, buka gateway jaringan virtual untuk jaringan virtual yang ingin Anda sambungkan.

  2. Pada halaman gateway jaringan virtual, pilih Konfigurasi point-to-site untuk membuka halaman Konfigurasi point-to-site.

  3. Di bagian atas halaman konfigurasi Titik-ke-situs, pilih Unduh klien VPN. Ini tidak mengunduh perangkat lunak klien VPN, ini membuat paket konfigurasi yang digunakan untuk mengonfigurasi klien VPN. Perlu beberapa menit hingga paket konfigurasi klien dapat dibuat. Selama waktu ini, Anda mungkin tidak melihat indikasi apa pun sampai paket dihasilkan.

    Cuplikan layar halaman konfigurasi Titik-ke-situs.

  4. Setelah paket konfigurasi dibuat, browser Anda menunjukkan bahwa file zip konfigurasi klien tersedia. File diberi nama yang sama dengan gateway Anda.

  5. Ekstrak file zip untuk melihat folder. Anda akan menggunakan beberapa, atau semua, dari file-file ini untuk mengonfigurasi klien VPN Anda. File yang dihasilkan sesuai dengan pengaturan jenis autentikasi dan terowongan yang Anda konfigurasikan di server P2S.

Selanjutnya, konfigurasikan klien VPN. Pilih dari instruksi berikut:

IKEv2: klien VPN asli - langkah-langkah macOS

Bagian berikut membantu Anda mengonfigurasi klien VPN asli yang sudah diinstal sebagai bagian dari macOS. Jenis koneksi ini hanya berfungsi melalui IKEv2.

Tampilkan file

Ekstrak file zip untuk melihat folder. Saat mengonfigurasi klien asli macOS, Anda menggunakan file di folder Generik. Folder Generik disediakan jika IKEv2 atau SSTP+IKEv2 dikonfigurasi pada gateway. Anda dapat menemukan semua informasi yang Anda butuhkan untuk mengonfigurasi klien VPN asli di folder Generik. Jika Anda tidak melihat folder Generik, periksa item berikut, lalu buat file zip lagi.

  • Periksa jenis tunnel untuk konfigurasi Anda. Kemungkinan IKEv2 tidak dipilih sebagai jenis tunnel.
  • Pada gateway VPN, verifikasi bahwa SKU bukanlah Dasar. SKU Dasar Gateway VPN tidak mendukung IKEv2. Lalu, pilih IKEv2 dan buat file zip lagi untuk mengambil folder Generik.

Folder Generik berisi file berikut.

  • VpnSettings.xml, yang berisi pengaturan penting seperti alamat server dan jenis terowongan.
  • VpnServerRoot.cer, yang berisi sertifikat akar yang diperlukan untuk memvalidasi gateway VPN Azure selama penyiapan koneksi P2S.

Gunakan langkah-langkah berikut untuk mengonfigurasi klien VPN asli di Mac untuk autentikasi sertifikat. Langkah-langkah ini harus diselesaikan pada setiap Mac yang ingin Anda sambungkan ke Azure.

Instal sertifikat

Sertifikat akar

  1. Salin ke file sertifikat akar - VpnServerRoot.cer ke Mac Anda. Klik dua kali pada sertifikat. Tergantung pada sistem operasi Anda, sertifikat akan diinstal secara otomatis, atau Anda akan melihat halaman Tambahkan Sertifikat.
  2. Jika Anda melihat halaman Tambahkan Sertifikat, untuk Keychain: klik panah dan pilih masuk dari menu menurun.
  3. Klik Tambahkan untuk mengimpor file.

Sertifikat klien

Sertifikat klien digunakan untuk autentikasi dan diperlukan. Biasanya, Anda cukup harus mengeklik sertifikat klien untuk menginstalnya. Untuk mengetahui informasi selengkapnya tentang cara menginstal sertifikat klien, lihat Menginstal sertifikat klien.

Memverifikasi penginstalan sertifikat

Verifikasi bahwa klien dan sertifikat akar diinstal.

  1. Buka Akses Keychain.
  2. Buka tab Sertifikat.
  3. Verifikasi bahwa klien dan sertifikat akar diinstal.

Mengonfigurasi profil klien VPN

  1. Buka Preferensi Sistem -> Jaringan. Di halaman Jaringan, pilih '+' untuk membuat profil koneksi klien VPN baru untuk koneksi P2S ke jaringan virtual Azure.

    Cuplikan layar menunjukkan jendela Jaringan untuk mengeklik +.

  2. Pada halaman Pilih antarmuka, klik panah di samping Antarmuka:. Dari menu menurun, klik VPN.

    Cuplikan layar yang menunjukkan jendela Jaringan dengan opsi untuk memilih antarmuka, VPN dipilih.

  3. Untuk Jenis VPN, dari drop-down, pilih IKEv2. Di bidang Nama Layanan, tentukan nama yang mudah diingat untuk profil, lalu klik Buat.

    Cuplikan layar yang menunjukkan jendela Jaringan dengan opsi untuk memilih antarmuka, memilih jenis VPN, dan memasukkan nama layanan.

  4. Buka profil klien VPN yang Anda unduh. Di folder Generik, buka file VpnSettings.xml menggunakan editor teks. Dalam contoh, Anda dapat melihat informasi tentang jenis terowongan dan alamat server. Meskipun ada dua jenis VPN yang tercantum, klien VPN ini akan terhubung melalui IKEv2. Salin nilai tag VpnServer.

    Cuplikan layar yang menunjukkan file VpnSettings.xml terbuka dengan tag VpnServer disorot.

  5. Tempelkan nilai tag VpnServer di bidang Alamat Server dan ID Jarak Jauh profil. Biarkan ID Lokal kosong. Lalu, klik Pengaturan Autentikasi....

    Cuplikan layar menunjukkan info server yang ditempelkan ke bidang.

Mengonfigurasi pengaturan autentikasi

Konfigurasikan pengaturan autentikasi. Ada dua kumpulan instruksi. Pilih instruksi yang sesuai dengan versi OS Anda.

Big Sur dan kemudian

  1. Pada halaman Pengaturan Autentikasi, untuk bidang Pengaturan autentikasi, klik panah untuk memilih Sertifikat.

    Cuplikan layar yang menunjukkan pengaturan autentikasi dengan sertifikat dipilih.

  2. Klik Pilih untuk membuka halaman Pilih Identitas.

    Cuplikan layar untuk mengeklik Pilih.

  3. Halaman Pilih Identitas menampilkan daftar sertifikat untuk Anda pilih. Jika Anda tidak yakin akan menggunakan sertifikat yang mana, Anda dapat memilih Tampilkan Sertifikat untuk melihat informasi selengkapnya tentang setiap sertifikat. Klik sertifikat yang tepat, lalu klik Lanjutkan.

    Cuplikan layar menunjukkan properti sertifikat.

  4. Di halaman Pengaturan Autentikasi, verifikasi bahwa sertifikat yang benar ditampilkan, lalu klik OK.

    Cuplikan layar yang menunjukkan kotak dialog Pilih Identitas tempat Anda dapat memilih sertifikat yang tepat.

Catalina

Jika Anda menggunakan Catalina, gunakan langkah-langkah pengaturan autentikasi ini:

  1. Untuk Pengaturan Autentikasi, pilih Tidak Ada.

  2. Pilih Sertifikat, klik Pilih, lalu pilih sertifikat klien yang benar yang Anda instal sebelumnya. Lalu, klik OK.

Tentukan sertifikat

  1. Di bidang ID Lokal, tentukan nama sertifikat. Dalam contoh ini, namanya adalah P2SChildCertMac.

    Cuplikan layar yang menunjukkan nilai ID lokal.

  2. Pilih Terapkan untuk menyimpan semua perubahan.

Sambungkan

  1. Pilih Sambungkan untuk memulai koneksi P2S ke jaringan virtual Azure. Anda mungkin perlu memasukkan kata sandi keychain "login".

    Cuplikan layar yang menunjukkan tombol sambungkan.

  2. Setelah koneksi ditetapkan, status menunjukkan sebagai Terhubung dan Anda dapat melihat alamat IP yang ditarik dari kumpulan alamat klien VPN.

    Cuplikan layar yang menunjukkan Tersambung.

OpenVPN: langkah-langkah macOS

Contoh berikut menggunakan TunnelBlick.

Penting

Hanya MacOS 10.13 dan di atasnya yang didukung dengan protokol OpenVPN.

Catatan

Klien OpenVPN versi 2.6 belum didukung.

  1. Unduh dan instal klien OpenVPN, seperti TunnelBlick.

  2. Jika Anda belum melakukannya, unduh paket profil klien VPN dari portal Azure.

  3. Mengekstrak profil. Buka file konfigurasi vpnconfig.ovpn dari folder OpenVPN di editor teks.

  4. Isi bagian sertifikat klien P2S dengan kunci umum sertifikat klien P2S di base64. Dalam sertifikat berformat PEM, Anda dapat membuka file .cer dan menyalin melalui kunci base64 di antara header sertifikat.

  5. Isi bagian kunci privat dengan kunci privat sertifikat klien P2S di base64. Lihat Ekspor kunci privat Anda di situs OpenVPN untuk informasi tentang cara mengekstrak kunci privat.

  6. Jangan ubah bidang lainnya. Gunakan konfigurasi terisi dalam input klien untuk menyambungkan ke VPN.

  7. Klik ganda file profil untuk membuat profil di Tunnelblick.

  8. Luncurkan Tunnelblick dari folder aplikasi.

  9. Klik pada ikon Tunnelblick di baki sistem dan pilih sambungkan.

OpenVPN: langkah-langkah iOS

Contoh berikut menggunakan OpenVPN Connect dari App store.

Penting

Hanya MacOS 11.0 dan di atasnya yang didukung dengan protokol OpenVPN.

Catatan

Klien OpenVPN versi 2.6 belum didukung.

  1. Instal klien OpenVPN (versi 2.4 atau lebih tinggi) dari App store. Versi 2.6 belum didukung.

  2. Jika Anda belum melakukannya, unduh paket profil klien VPN dari portal Azure.

  3. Mengekstrak profil. Buka file konfigurasi vpnconfig.ovpn dari folder OpenVPN di editor teks.

  4. Isi bagian sertifikat klien P2S dengan kunci umum sertifikat klien P2S di base64. Dalam sertifikat berformat PEM, Anda dapat membuka file .cer dan menyalin melalui kunci base64 di antara header sertifikat.

  5. Isi bagian kunci privat dengan kunci privat sertifikat klien P2S di base64. Lihat Ekspor kunci privat Anda di situs OpenVPN untuk informasi tentang cara mengekstrak kunci privat.

  6. Jangan ubah bidang lainnya.

  7. Kirim email file profil (.ovpn) ke akun email Anda yang dikonfigurasi di aplikasi email di iPhone Anda.

  8. Buka email di aplikasi email di iPhone, dan ketuk file lampiran.

    Cuplikan layar yang menampilkan pesan yang siap untuk dikirim.

  9. Ketuk Lainnya jika Anda tidak melihat opsi Salin ke OpenVPN.

    Cuplikan layar yang menampilkan ketuk selengkapnya.

  10. Ketuk Salin ke OpenVPN.

    Cuplikan layar yang menampilkan salin ke OpenVPN.

  11. Ketuk TAMBAHKAN di halaman Impor Profil

    Cuplikan layar yang menampilkan Impor profil.

  12. Ketuk TAMBAHKAN di halaman Impor Profil

    Cuplikan layar yang menampilkan Profil yang Diimpor.

  13. Luncurkan aplikasi OpenVPN dan geser pengalih di halaman Profil ke kanan untuk menyambungkan

    Cuplikan layar yang menampilkan geser untuk menyambungkan.

Langkah berikutnya

Untuk langkah tambahan, kembali ke artikel titik-ke-situs asli tempat Anda bekerja.