Condividi tramite

Configurare un client VPN per la connessione da punto a sito: RADIUS - Autenticazione del certificato

  • Articolo

Per connettersi a una rete virtuale tramite connessione da punto a sito (P2S), è necessario configurare il dispositivo client da cui si effettuerà la connessione. Questo articolo consente di creare e installare la configurazione del client VPN per l'autenticazione del certificato RADIUS.

Quando si usa l'autenticazione RADIUS, sono disponibili più istruzioni di autenticazione: l’autenticazione del certificato, l’autenticazione della password e altri metodi e protocolli di autenticazione. La configurazione dei client VPN è diversa per ogni tipo di autenticazione. Per configurare un client VPN, usare i file di configurazione client che contengono le impostazioni necessarie.

Nota

A partire dal 1 luglio 2018, verrà rimosso il supporto per TLS 1.0 e 1.1 da Gateway VPN di Azure. Gateway VPN supporterà solo TLS 1.2. Sono interessate solo le connessioni da punto a sito. Le connessioni da sito a sito non saranno interessate. Se si usa TLS per le reti VPN da punto a sito nei client Windows 10 o versione successiva, non è necessario intervenire in alcun modo. Se si usa TLS per le connessioni da punto a sito nei client Windows 7 e Windows 8, vedere le domande frequenti su Gateway VPN per istruzioni per l'aggiornamento.

Workflow

Di seguito è riportato il flusso di lavoro di configurazione per l'autenticazione RADIUS da punto a sito:

  1. Configurare il gateway VPN di Azure per la connettività da punto a sito.

  2. Configurare il server RADIUS per l'autenticazione.

  3. Ottenere la configurazione del client VPN per l'opzione di autenticazione scelta e usarla per configurare il client VPN (questo articolo).

  4. Completare la configurazione da punto a sito e connettersi.

Importante

Se vengono apportate modifiche alla configurazione VPN da punto a sito, ad esempio al tipo di autenticazione o al tipo di protocollo VPN, dopo la generazione del profilo di configurazione del client VPN, è necessario generare e installare una nuova configurazione del client VPN nei dispositivi degli utenti.

È possibile creare i file di configurazione del client VPN per l'autenticazione del certificato RADIUS con il protocollo EAP-TLS. Per l'autenticazione di un utente per una VPN in genere viene usato un certificato rilasciato dalla CA globale (enterprise). Verificare che nei dispositivi di tutti gli utenti che effettuano la connessione sia installato un certificato e che il server RADIUS sia in grado di convalidare il certificato.

Nei comandi -AuthenticationMethod è EapTls. Durante l'autenticazione del certificato, il client convalida il server RADIUS convalidando il certificato. -RadiusRootCert è il file con estensione cer che contiene il certificato radice usato per convalidare il server RADIUS.

Ogni dispositivo client VPN richiede un certificato client installato. Un dispositivo Windows ha talvolta più certificati client. Durante l'autenticazione può essere visualizzata una finestra di dialogo popup che elenca tutti i certificati. L'utente deve quindi scegliere il certificato da usare. È possibile filtrare il certificato corretto specificando il certificato radice a cui dovrebbe essere concatenato il certificato client.

-ClientRootCert è il file con estensione cer contenente il certificato radice ed è un parametro facoltativo. Se il dispositivo da cui si vuole effettuare la connessione ha un solo certificato client, non è necessario specificare questo parametro.

Generare i file di configurazione del client VPN

È possibile generare i file di configurazione del client VPN usando il portale di Azure o Azure PowerShell.

Azure portal

  1. Passare al gateway di rete virtuale.

  2. Fare clic su Configurazione da punto a sito.

  3. Fare clic su Scarica client VPN.

  4. Selezionare il client e compilare le informazioni richieste. A seconda della configurazione, potrebbe essere necessario caricare il certificato radice Radius nel portale. Esportare il certificato in X.509 con codifica Base-64 richiesta (.CER) e aprirlo usando un editor di testo, ad esempio Blocco note. Verrà illustrato un testo simile all'esempio seguente. La sezione evidenziata in blu contiene le informazioni copiate e caricate in Azure.

    Screenshot che mostra il file CER aperto nel Blocco note con i dati del certificato evidenziati.

    Se il file non è simile all'esempio, in genere significa che non è stato esportato usando il formato codificato Base-64 X. 509 (.CER). Inoltre, se si usa un editor di testo diverso dal Blocco note, si tenga presente che alcuni editor possono introdurre formattazioni indesiderate in background. Ciò può creare problemi quando il testo viene caricato da questo certificato in Azure.

  5. Fare clic su Scarica per generare il file .zip.

  6. Il file .zip viene scaricato, in genere nella cartella Download.

Azure PowerShell

Generare i file di configurazione del client VPN per l'uso con l'autenticazione con certificato. È possibile generare i file di configurazione del client VPN con il comando seguente:

New-AzVpnClientConfiguration -ResourceGroupName "TestRG" -Name "VNet1GW" -AuthenticationMethod "EapTls" -RadiusRootCert <full path name of .cer file containing the RADIUS root> -ClientRootCert <full path name of .cer file containing the client root> | fl

L'esecuzione del comando restituisce un collegamento. Copiare e incollare il collegamento in un Web browser per scaricare VpnClientConfiguration.zip. Decomprimendo il file verranno visualizzate le cartelle seguenti:

  • WindowsAmd64 e WindowsX86: queste cartelle contengono i pacchetti del programma di installazione di Windows, rispettivamente a 64 bit e a 32 bit.
  • GenericDevice: questa cartella contiene le informazioni generali usate per creare una configurazione del client VPN personalizzata.

Se sono già stati creati file di configurazione del client, è possibile recuperarli tramite il cmdlet Get-AzVpnClientConfiguration. Ma se si apportano modifiche alla configurazione VPN da punto a sito, ad esempio al tipo di autenticazione o al tipo di protocollo VPN, la configurazione non viene aggiornata automaticamente. Per creare un nuovo download della configurazione, è necessario eseguire il cmdlet New-AzVpnClientConfiguration.

Per recuperare i file di configurazione client generati in precedenza, usare il comando seguente:

Get-AzVpnClientConfiguration -ResourceGroupName "TestRG" -Name "VNet1GW" | fl

Client VPN nativo di Windows

È possibile usare il client VPN nativo se è stato configurato IKEv2 o SSTP.

  1. Selezionare un pacchetto di configurazione e installarlo nel dispositivo client. Per un'architettura con processore a 64 bit, scegliere il pacchetto di installazione VpnClientSetupAmd64. Per un'architettura con processore a 32 bit, scegliere il pacchetto di installazione VpnClientSetupX86. Se viene visualizzato un popup SmartScreen, selezionare Altre informazioni>Esegui comunque. È anche possibile salvare il pacchetto per l'installazione su altri computer client.

  2. Ogni client deve avere un certificato client per l'autenticazione. Installare il certificato client. Per informazioni sui certificati client, vedere Certificati client per le connessioni da punto a sito. Per installare un certificato generato, vedere Installare un certificato in client Windows.

  3. Nel computer client andare a Impostazioni di rete e selezionare VPN. La connessione VPN viene visualizzata con il nome della rete virtuale a cui si connette.

Client VPN nativo Mac (macOS)

È necessario creare un profilo separato per ogni dispositivo Mac che si connette alla rete virtuale di Azure. Per questi dispositivi è infatti necessario che il certificato utente per l'autenticazione sia specificato nel profilo. Inoltre, è possibile usare il client VPN nativo macOS solo se è stato incluso il tipo di tunnel IKEv2 nella configurazione. La cartella Generic contiene tutte le informazioni necessarie per creare un profilo:

  • VpnSettings.xml contiene informazioni importanti come l'indirizzo del server e il tipo di tunnel.
  • VpnServerRoot.cer contiene il certificato radice necessario per convalidare il gateway VPN durante la configurazione della connessione da punto a sito.
  • RadiusServerRoot.cer contiene il certificato radice necessario per convalidare il server RADIUS durante l'autenticazione.

Usare questa procedura per configurare il client VPN nativo in un Mac per l'autenticazione del certificato:

  1. Importare i certificati radice VpnServerRoot e RadiusServerRoot nel computer Mac. Copiare ogni file nel computer Mac, fare doppio clic e quindi selezionare Aggiungi.

  2. Ogni client deve avere un certificato client per l'autenticazione. Installare il certificato client nel dispositivo client.

  3. Aprire la finestra di dialogo Network in Network Preferences (Preferenze di rete). Selezionare + per creare un nuovo profilo di connessione del client VPN per una connessione da punto a sito alla rete virtuale di Azure.

    Il valore di Interfaccia è VPN e quello di Tipo di VPN è IKEv2. Specificare un nome per il profilo nella casella Nome servizio e quindi selezionare Crea per creare il profilo di connessione del client VPN.

  4. Nella cartella Generic copiare il valore del tag VpnServer dal file VpnSettings.xml. Incollare tale valore nelle caselle Indirizzo server e ID remoto del profilo. Lasciare vuota la casella ID locale.

  5. Selezionare Impostazioni autenticazione e selezionare Certificato.

  6. Fare clic su Seleziona per scegliere il certificato da usare per l'autenticazione.

  7. In Choose An Identity (Scegli identità) viene visualizzato un elenco dei certificati tra cui scegliere. Selezionare il certificato corretto e quindi selezionare Continua.

  8. Nella casella ID locale specificare il nome del certificato (dal passaggio 6). In questo esempio è ikev2Client.com. Selezionare quindi il pulsante Applica per salvare le modifiche.

  9. Nella finestra di dialogo Network selezionare Applica per salvare tutte le modifiche. Selezionare quindi Connetti per avviare la connessione da punto a sito alla rete virtuale di Azure.

Passaggi successivi

Tornare all'articolo sulla configurazione VPN da punto a sito per verificare la connessione.

Per informazioni sulla risoluzione dei problemi della connessione da punto a sito, vedere Risoluzione dei problemi di connessione da punto a sito di Azure.