Configurare i client VPN da punto a sito: autenticazione del certificato - client VPN nativo - macOS
Se il gateway VPN da punto a sito (P2S) è configurato per l'uso dell'autenticazione IKEv2 e del certificato, è possibile connettersi alla rete virtuale usando il client VPN nativo che fa parte del sistema operativo macOS. Questo articolo illustra la procedura per configurare il client VPN nativo e connettersi alla rete virtuale.
Operazioni preliminari
Prima di iniziare a configurare il client, verificare di essere all'articolo corretto. La tabella seguente illustra gli articoli di configurazione disponibili per i client VPN da punto a sito del Gateway VPN di Azure. I passaggi variano a seconda del tipo di autenticazione, del tipo di tunnel e del sistema operativo client.
| Autenticazione | Tipo di tunnel | Sistema operativo client | Client VPN |
|---|---|---|---|
| Certificate | |||
| IKEv2, SSTP | Finestre | Client VPN nativo | |
| IKEv2 | macOS | Client VPN nativo | |
| IKEv2 | Linux | strongSwan | |
| OpenVPN | Finestre | Client VPN di Azure Client OpenVPN versione 2.x Client OpenVPN versione 3.x |
|
| OpenVPN | macOS | Client OpenVPN | |
| OpenVPN | iOS | Client OpenVPN | |
| OpenVPN | Linux | Client VPN di Azure Client OpenVPN |
|
| Microsoft Entra ID | |||
| OpenVPN | Finestre | Client VPN di Azure | |
| OpenVPN | macOS | Client VPN di Azure | |
| OpenVPN | Linux | Client VPN di Azure |
Prerequisiti
Questo articolo presuppone che l'utente abbia già eseguito i prerequisiti seguenti:
- Il gateway VPN è stato creato e configurato per l'autenticazione del certificato da punto a sito e per il tipo di tunnel OpenVPN. Vedere Configurare le impostazioni del server per le connessioni del gateway VPN da punto a sito: autenticazione del certificato per la procedura.
- Sono stati generati e scaricati i file di configurazione del client VPN. Vedere Generare file di configurazione del profilo client VPN per la procedura.
- È possibile generare certificati client o acquisire i certificati client appropriati necessari per l'autenticazione.
Workflow
Il flusso di lavoro per questo articolo è il seguente:
- Generare certificati client se non è già stato fatto.
- Visualizzare i file di configurazione del profilo client VPN contenuti nel pacchetto di configurazione del profilo client VPN generato.
- Installare i certificati.
- Configurare il client VPN nativo già installato nel sistema operativo.
- Connettersi ad Azure.
Generare i certificati
Per l'autenticazione del certificato è necessario installare un certificato client in ogni computer client. Il certificato client che si vuole usare deve essere esportato con la chiave privata e deve contenere tutti i certificati nel percorso di certificazione. Inoltre, per alcune configurazioni, è anche necessario installare le informazioni sul certificato radice.
Per informazioni sull'uso dei certificati, vedere Generare ed esportare certificati.
Visualizzare i file di configurazione del profilo client VPN
Tutte le impostazioni di configurazione necessarie per i client VPN sono contenute in un file ZIP di configurazione del profilo client VPN. È possibile generare i file di configurazione del profilo client usando PowerShell oppure il portale di Azure. Entrambi i metodi restituiscono lo stesso file con estensione zip.
I file di configurazione del profilo client VPN sono specifici della configurazione del gateway VPN da punto a sito per la rete virtuale. Se vengono apportate modifiche alla configurazione VPN da punto a sito dopo la generazione dei file, ad esempio modifiche al tipo di autenticazione o al tipo di protocollo VPN, è necessario generare nuovi file di configurazione del profilo client VPN e applicare la nuova configurazione a tutti i client VPN da connettere.
Decomprimere il file per visualizzare le cartelle. Quando vengono configurati i client nativi di macOS, si usano i file contenuti nella cartella Generic. La cartella Generic è presente se nel gateway è stato configurato IKEv2. Se la cartella Generic non viene visualizzata, controllare gli elementi seguenti, quindi generare di nuovo il file ZIP.
- Controllare il tipo di tunnel per la configurazione. È probabile che come tipo di tunnel non sia stato selezionato IKEv2.
- Verificare che il gateway non sia configurato con lo SKU Basic. Lo SKU Basic del gateway VPN non supporta IKEv2. Sarà necessario ricompilare il gateway con lo SKU e il tipo di tunnel appropriati se si vuole che i client macOS si connettano.
La cartella Generico contiene i file seguenti.
- VpnSettings.xml, che contiene impostazioni importanti come l'indirizzo del server e il tipo di tunnel.
- VpnServerRoot.cer, che contiene il certificato radice necessario per convalidare il gateway VPN di Azure durante la configurazione della connessione da punto a sito.
Installare i certificati
Sono necessari sia il certificato radice che il certificato figlio installati nel Mac. Il certificato figlio deve essere esportato con la chiave privata e deve contenere tutti i certificati nel percorso di certificazione.
Certificato radice
- Copiare il file del certificato radice (il file .cer) nel Mac. Fare doppio clic sul certificato. A seconda del sistema operativo, il certificato verrà installato automaticamente oppure verrà visualizzata la pagina Aggiungi certificati.
- Se viene visualizzata la pagina Aggiungi certificati, per Portachiavi: fare clic sulle frecce e selezionare login dall'elenco a discesa.
- Fare clic su Aggiungi per importare il file.
Certificato client
Il certificato client (file con estensione pfx) viene usato per l'autenticazione ed è obbligatorio. In genere è sufficiente fare clic sul certificato client da installare. Per altre informazioni sull'installazione di un certificato client, vedere Installare un certificato client.
Verificare che i certificati siano installati
Verificare che siano stati installati sia il certificato client sia il certificato radice.
- Aprire Accesso portachiavi.
- Passare alla scheda Certificati.
- Verificare che siano stati installati sia il certificato client sia il certificato radice.
Configurare il profilo del client VPN
Usare la procedura descritta nella Guida per l'utente Mac appropriata per la versione del sistema operativo per aggiungere una configurazione del profilo client VPN con le impostazioni seguenti.
Selezionare IKEv2 come tipo vpn.
In Nome visualizzato selezionare un nome descrittivo per il profilo.
Per l'indirizzo del server e l'ID remoto, usare il valore del tag VpnServer nel file VpnSettings.xml.
Per Impostazioni di autenticazione selezionare Certificato.
Per Certificato scegliere il certificato figlio da usare per l'autenticazione. Se si dispone di più certificati, è possibile selezionare Mostra certificato per visualizzare altre informazioni su ogni certificato.
In ID locale digitare il nome del certificato figlio selezionato.
Dopo aver configurato il profilo client VPN, salvare il profilo.
Connessione
I passaggi per la connessione sono specifici della versione del sistema operativo macOS. Fare riferimento alla Guida dell'utente Mac. Selezionare la versione del sistema operativo in uso e seguire la procedura per connettersi.
Dopo aver stabilito la connessione, lo stato viene visualizzato come Connesso. L'indirizzo IP viene allocato dal pool di indirizzi client VPN.
Passaggi successivi
Continuare configurando eventuali impostazioni aggiuntive per il server o la connessione. Vedere Procedura di configurazione da punto a sito.