Configurare i client VPN da punto a sito: autenticazione del certificato - macOS e iOS
Questo articolo illustra come connettersi alla rete virtuale di Azure usando Gateway VPN'autenticazione da punto a sito (P2S) e certificato. In questo articolo sono disponibili più set di passaggi, a seconda del tipo di tunnel selezionato per la configurazione da sito a sito, il sistema operativo e il client VPN usato per la connessione.
Quando si usa l'autenticazione del certificato, tenere presente quanto segue:
Per il tipo di tunnel IKEv2, è possibile connettersi usando il client VPN installato in modo nativo nel sistema macOS.
Per il tipo di tunnel OpenVPN, è possibile usare un client OpenVPN.
Il client VPN di Azure non è disponibile per macOS e iOS quando si usa l'autenticazione del certificato, anche se è stato selezionato il tipo di tunnel OpenVPN per la configurazione da punto a sito.
Operazioni preliminari
Prima di iniziare, verificare di essere nell'articolo corretto. La tabella seguente illustra gli articoli di configurazione disponibili per i client VPN da sito a sito di Azure Gateway VPN. I passaggi variano a seconda del tipo di autenticazione, del tipo di tunnel e del sistema operativo client.
Autenticazione | Tipo di tunnel | Generare file di configurazione | Configurare il client VPN |
---|---|---|---|
Certificato di Azure | IKEv2, SSTP | Windows | Client VPN nativo |
Certificato di Azure | OpenVPN | Windows | - Client OpenVPN - Client VPN di Azure |
Certificato di Azure | IKEv2, OpenVPN | macOS-iOS | macOS-iOS |
Certificato di Azure | IKEv2, OpenVPN | Linux | Linux |
Microsoft Entra ID | OpenVPN (SSL) | Windows | Windows |
Microsoft Entra ID | OpenVPN (SSL) | macOS | macOS |
RADIUS - Certificato | - | Articolo | Articolo |
RADIUS - Password | - | Articolo | Articolo |
RADIUS - altri metodi | - | Articolo | Articolo |
Importante
A partire dal 1 luglio 2018, verrà rimosso il supporto per TLS 1.0 e 1.1 da Gateway VPN di Azure. Gateway VPN supporterà solo TLS 1.2. Sono interessate solo le connessioni da punto a sito; Le connessioni da sito a sito non saranno interessate. Se si usa TLS per VPN da punto a sito nei client Windows 10 o versioni successive, non è necessario eseguire alcuna azione. Se si usa TLS per le connessioni da punto a sito nei client Windows 7 e Windows 8, vedere le domande frequenti sulle Gateway VPN per istruzioni sull'aggiornamento.
Generare i certificati
Per l'autenticazione del certificato, è necessario installare un certificato client in ogni computer client. Il certificato client che si vuole usare deve essere esportato con la chiave privata e deve contenere tutti i certificati nel percorso di certificazione. Inoltre, per alcune configurazioni, è anche necessario installare le informazioni sul certificato radice.
Per informazioni sull'uso dei certificati, vedere Da punto a sito: Generare certificati - Linux.
Generare i file di configurazione del client VPN
Tutte le impostazioni di configurazione necessarie per i client VPN sono contenute in un file ZIP di configurazione del profilo client VPN. È possibile generare file di configurazione del profilo client usando PowerShell o usando il portale di Azure. Entrambi i metodi restituiscono lo stesso file con estensione zip.
I file di configurazione del profilo client VPN generati sono specifici della configurazione del gateway VPN da sito a sito per la rete virtuale. Se sono state apportate modifiche alla configurazione VPN da sito a sito dopo aver generato i file, ad esempio le modifiche al tipo di protocollo VPN o al tipo di autenticazione, è necessario generare nuovi file di configurazione del profilo client VPN e applicare la nuova configurazione a tutti i client VPN da connettere. Per altre informazioni sulle connessioni da punto a sito, vedere Informazioni sulla VPN da punto a sito.
Per generare file usando il portale di Azure:
Nella portale di Azure passare al gateway di rete virtuale per la rete virtuale a cui si vuole connettersi.
Nella pagina gateway di rete virtuale selezionare Configurazione da punto a sito per aprire la pagina di configurazione da punto a sito.
Nella parte superiore della pagina di configurazione da punto a sito selezionare Scarica client VPN. Questo non scarica il software client VPN, genera il pacchetto di configurazione usato per configurare i client VPN. La generazione del pacchetto di configurazione client richiede qualche minuto. Durante questo periodo di tempo, è possibile che non vengano visualizzate indicazioni fino a quando il pacchetto non viene generato.
Dopo aver generato il pacchetto di configurazione, il browser indica che è disponibile un file ZIP di configurazione client. È denominato con lo stesso nome del gateway.
Decomprimere il file per visualizzare le cartelle. Si useranno alcuni o tutti questi file per configurare il client VPN. I file generati corrispondono alle impostazioni del tipo di autenticazione e tunnel configurate nel server da sito a sito.
Configurare quindi il client VPN. Selezionare una delle istruzioni seguenti:
IKEv2: client VPN nativo - passaggi di macOS
Le sezioni seguenti illustrano come configurare il client VPN nativo già installato come parte di macOS. Questo tipo di connessione funziona solo su IKEv2.
Visualizza file
Decomprimere il file per visualizzare le cartelle. Quando si configurano client nativi macOS, usare i file nella cartella Generic . La cartella Generic è presente se IKEv2 è stato configurato nel gateway. È possibile trovare tutte le informazioni necessarie per configurare il client VPN nativo nella cartella Generic . Se la cartella Generic non viene visualizzata, controllare gli elementi seguenti, quindi generare di nuovo il file ZIP.
- Controllare il tipo di tunnel per la configurazione. È probabile che IKEv2 non sia stato selezionato come tipo di tunnel.
- Nel gateway VPN verificare che lo SKU non sia Basic. Lo SKU Gateway VPN Basic non supporta IKEv2. Selezionare quindi IKEv2 e generare di nuovo il file ZIP per recuperare la cartella Generic.
La cartella Generic contiene i file seguenti.
- VpnSettings.xml, che contiene impostazioni importanti come l'indirizzo del server e il tipo di tunnel.
- VpnServerRoot.cer, che contiene il certificato radice necessario per convalidare il gateway VPN di Azure durante la configurazione della connessione da punto a sito.
Usare questa procedura per configurare il client VPN nativo in Mac per l'autenticazione del certificato. Questi passaggi devono essere completati in ogni Mac che si vuole connettere ad Azure.
Installare i certificati
Certificato radice
- Copiare nel file del certificato radice , VpnServerRoot.cer , nel Mac. Fare doppio clic sul certificato. A seconda del sistema operativo, il certificato verrà installato automaticamente oppure verrà visualizzata la pagina Aggiungi certificati .
- Se viene visualizzata la pagina Aggiungi certificati , per Keychain: fare clic sulle frecce e selezionare login dall'elenco a discesa.
- Fare clic su Aggiungi per importare il file.
Certificato client
Il certificato client viene usato per l'autenticazione ed è necessario. In genere, è sufficiente fare clic sul certificato client da installare. Per altre informazioni su come installare un certificato client, vedere Installare un certificato client.
Verificare l'installazione del certificato
Verificare che sia il client che il certificato radice siano installati.
- Aprire Accesso portachiavi.
- Passare alla scheda Certificati .
- Verificare che sia il client che il certificato radice siano installati.
Configurare il profilo client VPN
Passare a Preferenze di sistema -> Rete. Nella pagina Rete fare clic su "+" per creare un nuovo profilo di connessione client VPN per una connessione da sito a sito alla rete virtuale di Azure.
Nella pagina Seleziona l'interfaccia fare clic sulle frecce accanto a Interface:. Nell'elenco a discesa fare clic su VPN.
Per Tipo di VPN, nell'elenco a discesa fare clic su IKEv2. Nel campo Nome servizio specificare un nome descrittivo per il profilo, quindi fare clic su Crea.
Passare al profilo client VPN scaricato. Nella cartella Generic aprire il file Vpn Impostazioni.xml usando un editor di testo. Nell'esempio è possibile visualizzare informazioni sul tipo di tunnel e sull'indirizzo del server. Anche se sono elencati due tipi di VPN, questo client VPN si connetterà tramite IKEv2. Copiare il valore del tag VpnServer .
Incollare il valore del tag VpnServer nei campi Indirizzo server e ID remoto del profilo. Lasciare vuoto l'ID locale. Fare quindi clic su Autenticazione Impostazioni....
Configurare impostazioni di autenticazione
Configurare le impostazioni di autenticazione. Esistono due set di istruzioni. Scegliere le istruzioni corrispondenti alla versione del sistema operativo.
Big Sur e versioni successive
Nella pagina Autenticazione Impostazioni fare clic sulle frecce per selezionare Certificato per il campo Impostazioni di autenticazione.
Fare clic su Seleziona per aprire la pagina Scegli un'identità.
Nella pagina Scegli un'identità viene visualizzato un elenco di certificati tra cui scegliere. Se non si è certi del certificato da usare, è possibile selezionare Mostra certificato per visualizzare altre informazioni su ogni certificato. Fare clic sul certificato appropriato e quindi su Continua.
Nella pagina Autenticazione Impostazioni verificare che sia visualizzato il certificato corretto e quindi fare clic su OK.
Catalina
Se si usa Catalina, seguire questa procedura per le impostazioni di autenticazione:
Per Autenticazione Impostazioni scegliere Nessuno.
Fare clic su Certificato, selezionare e fare clic sul certificato client corretto installato in precedenza. Successivamente, scegliere OK.
Specificare un certificato
Nel campo ID locale specificare il nome del certificato. In questo esempio si tratta di P2SChildCertMac.
Fare clic su Applica per salvare tutte le modifiche.
Connessione
Fare clic su Connessione per avviare la connessione da punto a sito alla rete virtuale di Azure. Potrebbe essere necessario immettere la password keychain "login".
Dopo aver stabilito la connessione, lo stato viene visualizzato come Connessione ed ed è possibile visualizzare l'indirizzo IP estratto dal pool di indirizzi client VPN.
OpenVPN: passaggi di macOS
Nell'esempio seguente viene usato TunnelPartizioni.
Importante
Solo MacOS 10.13 e versioni successive è supportato con il protocollo OpenVPN.
Nota
OpenVPN Client versione 2.6 non è ancora supportato.
Scaricare e installare un client OpenVPN, ad esempio Tunnel Esegui.
Se non è già stato fatto, scaricare il pacchetto del profilo client VPN dal portale di Azure.
Decomprimere il profilo. Aprire il file di configurazione vpnconfig.ovpn dalla cartella OpenVPN in un editor di testo.
Completare la sezione relativa al certificato client da punto a sito con la chiave pubblica del certificato client da punto a sito in formato Base 64. In un certificato in formato PEM è possibile aprire il file con estensione cer e copiare la chiave in formato Base 64 tra le intestazioni del certificato.
Completare la sezione relativa alla chiave privata con la chiave privata del certificato client da punto a sito in formato Base 64. Per informazioni su come estrarre una chiave privata, vedere Esportare la chiave privata nel sito OpenVPN.
Non modificare altri campi. Usare la configurazione così completata nell'input del client per connettersi alla rete VPN.
Fare doppio clic sul file di profilo per creare il profilo in Tunnel[...].
Avviare Tunnel dallo cartella delle applicazioni.
Fare clic sull'icona tunneling nella barra delle applicazioni e selezionare connetti.
OpenVPN: passaggi per iOS
L'esempio seguente usa Connessione OpenVPN dall'App Store.
Importante
Solo iOS 11.0 e versioni successive sono supportati con il protocollo OpenVPN.
Nota
OpenVPN Client versione 2.6 non è ancora supportato.
Installare il client OpenVPN (versione 2.4 o successiva) dall'App Store. La versione 2.6 non è ancora supportata.
Se non è già stato fatto, scaricare il pacchetto del profilo client VPN dal portale di Azure.
Decomprimere il profilo. Aprire il file di configurazione vpnconfig.ovpn dalla cartella OpenVPN in un editor di testo.
Completare la sezione relativa al certificato client da punto a sito con la chiave pubblica del certificato client da punto a sito in formato Base 64. In un certificato in formato PEM è possibile aprire il file con estensione cer e copiare la chiave in formato Base 64 tra le intestazioni del certificato.
Completare la sezione relativa alla chiave privata con la chiave privata del certificato client da punto a sito in formato Base 64. Per informazioni su come estrarre una chiave privata, vedere Esportare la chiave privata nel sito OpenVPN.
Non modificare altri campi.
Inviare tramite posta elettronica il file di profilo (con estensione ovpn) all'account di posta elettronica configurato nell'app di posta elettronica in i Telefono.
Aprire il messaggio di posta elettronica nell'app di posta elettronica nell'i Telefono e toccare il file allegato.
Tocca Altro se non vedi l'opzione Copia in OpenVPN .
Toccare Copia in OpenVPN.
Toccare AGGIUNGI nella pagina Importa profilo
Toccare AGGIUNGI nella pagina Profilo importato
Avviare l'app OpenVPN e scorrere l'opzione nella pagina Profilo a destra per connettersi
Passaggi successivi
Per altri passaggi, tornare all'articolo originale da punto a sito da cui si stava lavorando.
- Passaggi di configurazione di PowerShell.
- portale di Azure passaggi di configurazione.