Condividi tramite

Configurare i client VPN utente da punto a sito - Autenticazione del certificato - macOS e iOS

  • Articolo

Questo articolo illustra come connettersi alla rete WAN virtuale di Azure da un sistema operativo macOS o iOS tramite VPN utente da punto a sito per le configurazioni che usano l'autenticazione del certificato. Per connettersi da un sistema operativo iOS o macOS tramite un tunnel OpenVPN, usare un client OpenVPN. Per connettersi da un sistema operativo macOS tramite un tunnel IKEv2, usare il client VPN installato in modo nativo nel Mac.

Operazioni preliminari

  • Assicurarsi di aver completato i passaggi di configurazione necessari illustrati nell'Esercitazione: Creare una connessione VPN utente da punto a sito usando la rete WAN virtuale di Azure.

  • Generare file di configurazione del client VPN: i file di configurazione del client VPN generati sono specifici del profilo VPN utente della rete WAN virtuale scaricato. La rete WAN virtuale ha due diversi tipi di profili di configurazione: a livello di rete WAN (globale) e a livello di hub. Se vengono apportate modifiche alla configurazione VPN da punto a sito dopo la generazione dei file o se si passa a un tipo di profilo diverso, è necessario generare nuovi file di configurazione del client VPN e applicare la nuova configurazione a tutti i client VPN da connettere. Vedere Generare i file di configurazione del client VPN utente.

  • Ottenere certificati: le sezioni seguenti richiedono i certificati. Assicurarsi di avere sia il certificato client sia le informazioni sul certificato del server radice. Per altre informazioni, vedere Generare ed esportare certificati.

IKEv2 - Client nativo - Procedura per macOS

Dopo aver generato e scaricato il pacchetto di configurazione del client VPN, decomprimerlo per visualizzare le cartelle. Quando vengono configurati i client nativi di macOS, si usano i file contenuti nella cartella Generic. La cartella Generic è presente se nel gateway è stato configurato IKEv2. È possibile trovare tutte le informazioni necessarie per configurare il client VPN nativo nella cartella Generic. Se la cartella Generic non è visualizzata, assicurarsi che IKEv2 sia uno dei tipi di tunnel, quindi scaricare di nuovo il pacchetto di configurazione.

La cartella Generic contiene i file seguenti.

  • VpnSettings.xml, che contiene impostazioni importanti come l'indirizzo del server e il tipo di tunnel.
  • VpnServerRoot.cer, che contiene il certificato radice necessario per convalidare il gateway VPN di Azure durante la configurazione della connessione da punto a sito.

Usare questa procedura per configurare il client VPN nativo in Mac per l'autenticazione del certificato. Questi passaggi devono essere completati in ogni Mac che si vuole connettere ad Azure.

Installare i certificati

Certificato radice

  1. Copiare il file del certificato radice, VpnServerRoot.cer, nel Mac. Fare doppio clic sul certificato. A seconda del sistema operativo, il certificato verrà installato automaticamente oppure verrà visualizzata la pagina Add Certificates.
  2. Se viene visualizzata la pagina Add Certificates, per Keychain fare clic sulle frecce e selezionare login dall'elenco a discesa.
  3. Fare clic su Add per importare il file.

Certificato client

Il certificato client viene usato per l'autenticazione ed è necessario. In genere è sufficiente fare clic sul certificato client da installare. Per altre informazioni sull'installazione di un certificato client, vedere Installare un certificato client.

Verificare l’installazione del certificato

Verificare che siano stati installati sia il certificato client sia il certificato radice.

  1. Aprire Keychain Access.
  2. Passare alla scheda Certificates.
  3. Verificare che siano stati installati sia il certificato client sia il certificato radice.

Configurare il profilo del client VPN

  1. Passare a System Preferences -> Network. Nella pagina Network fare clic su '+' per creare un nuovo profilo di connessione del client VPN per una connessione da punto a sito alla rete virtuale di Azure.

    Screenshot che mostra la finestra Network in cui fare clic su +.

  2. Nella pagina Select the interface fare clic sulle frecce accanto a Interface. Nell'elenco a discesa fare clic su VPN.

    Lo screenshot mostra la finestra Network con l'opzione per selezionare un'interfaccia e con l'opzione VPN selezionata.

  3. Per VPN Type nell'elenco a discesa fare clic su IKEv2. Nel campo Service Name specificare un nome descrittivo per il profilo, quindi fare clic su Create.

    Screenshot che mostra la finestra Network con l'opzione per selezionare un'interfaccia, selezionare il tipo di VPN e immettere il nome del servizio.

  4. Passare al profilo del client VPN scaricato. Nella cartella Generic aprire il file VpnSettings.xml usando un editor di testo. Nell'esempio è possibile notare che questo profilo del client VPN si connette a un profilo VPN utente a livello di rete WAN e che i valori per VpnType sono IKEv2 e OpenVPN. Anche se sono elencati due tipi di VPN, questo client VPN si connetterà tramite IKEv2. Copiare il valore del tag VpnServer.

    Screenshot che mostra il file VpnSettings.xml aperto con il tag VpnServer evidenziato.

  5. Incollare il valore del tag VpnServer nei campi Server Address e Remote ID del profilo. Lasciare vuoto il campo Local ID. Fare quindi clic su Authentication Settings.

    Screenshot che mostra le informazioni sul server incollate nei campi.

Configurare impostazioni di autenticazione

Big Sur e versioni successive

  1. Nella pagina Authentication Settings fare clic sulle frecce per selezionare Certificate per il campo relativo alle impostazioni di autenticazione.

    Screenshot che mostra le impostazioni di autenticazione con il certificato selezionato.

  2. Fare clic su Select per aprire la pagina Choose An Identity.

    Screenshot per fare clic su Select.

  3. Nella pagina Choose An Identity viene visualizzato un elenco dei certificati tra cui scegliere. Se non si è certi del certificato da usare, è possibile selezionare Show Certificate per visualizzare altre informazioni su ogni certificato. Fare clic sul certificato corretto e quindi su Continue.

    Screenshot che mostra le proprietà del certificato.

  4. Nella pagina Authentication Settings verificare che sia visualizzato il certificato corretto e quindi fare clic su OK.

    Screenshot che mostra la finestra di dialogo Choose An Identity in cui è possibile selezionare il certificato appropriato.

Catalina

Se si usa Catalina, seguire questa procedura per le impostazioni di autenticazione:

  1. Per Authentication Settings scegliere None.

  2. Fare clic su Certificate, fare clic su Select e fare clic sul certificato client corretto installato in precedenza. Successivamente, scegliere OK.

Specificare un certificato

  1. Nel campo Local ID specificare il nome del certificato. In questo esempio è P2SChildCertMac.

    Screenshot che mostra il valore dell'ID locale.

  2. Fare clic su Apply per salvare tutte le modifiche.

Connessione

  1. Fare clic su Connect per avviare la connessione da punto a sito alla rete virtuale di Azure. Potrebbe essere necessario immettere la password keychain "login".

    Screenshot che mostra il pulsante Connect.

  2. Dopo aver stabilito la connessione, lo stato viene visualizzato come Connected ed è possibile visualizzare l'indirizzo IP estratto dal pool di indirizzi del client VPN.

    Screenshot che mostra lo stato Connected.

Client OpenVPN - Procedura per macOS

Nell'esempio seguente viene usato TunnelBlick.

Importante

Solo MacOS 10.13 e versioni successive è supportato con il protocollo OpenVPN.

Nota

Il client OpenVPN versione 2.6 non è ancora supportato.

  1. Scaricare e installare un client OpenVPN, ad esempio TunnelBlick.

  2. Se non è già stato fatto, scaricare il pacchetto del profilo del client VPN dal portale di Azure.

  3. Decomprimere il profilo. Aprire il file di configurazione vpnconfig.ovpn dalla cartella OpenVPN in un editor di testo.

  4. Completare la sezione relativa al certificato client da punto a sito con la chiave pubblica del certificato client da punto a sito in formato Base 64. In un certificato in formato PEM è possibile aprire il file con estensione cer e copiare la chiave in formato Base 64 tra le intestazioni del certificato.

  5. Completare la sezione relativa alla chiave privata con la chiave privata del certificato client da punto a sito in formato Base 64. Per informazioni su come estrarre una chiave privata, vedere Export your private key nel sito di OpenVPN.

  6. Lasciare invariati tutti gli altri campi. Usare la configurazione così completata nell'input del client per connettersi alla rete VPN.

  7. Fare doppio clic sul file del profilo per creare il profilo in Tunnelblick.

  8. Avviare Tunnelblick dalla cartella delle applicazioni.

  9. Fare clic sull'icona Tunnelblick nell'area di notifica e selezionare l'opzione di connessione.

Client OpenVPN - Procedura per iOS

L'esempio seguente usa OpenVPN Connect dall'App Store.

Importante

Solo iOS 11.0 e versioni successive è supportato con il protocollo OpenVPN.

Nota

Il client OpenVPN versione 2.6 non è ancora supportato.

  1. Installare il client OpenVPN (versione 2.4 o successive) dall'App Store. La versione 2.6 non è ancora supportata.

  2. Se non è già stato fatto, scaricare il pacchetto del profilo del client VPN dal portale di Azure.

  3. Decomprimere il profilo. Aprire il file di configurazione vpnconfig.ovpn dalla cartella OpenVPN in un editor di testo.

  4. Completare la sezione relativa al certificato client da punto a sito con la chiave pubblica del certificato client da punto a sito in formato Base 64. In un certificato in formato PEM è possibile aprire il file con estensione cer e copiare la chiave in formato Base 64 tra le intestazioni del certificato.

  5. Completare la sezione relativa alla chiave privata con la chiave privata del certificato client da punto a sito in formato Base 64. Per informazioni su come estrarre una chiave privata, vedere Export your private key nel sito di OpenVPN.

  6. Lasciare invariati tutti gli altri campi.

  7. Inviare tramite posta elettronica il file di profilo (OVPN) all'account di posta elettronica configurato nell'app di posta elettronica sull'iPhone.

  8. Aprire il messaggio di posta elettronica nell'app di posta elettronica sull'iPhone e toccare il file allegato.

    Screenshot che mostra il messaggio pronto per l'invio.

  9. Toccare More se non viene visualizzata l’opzione Copy to OpenVPN.

    Screenshot che mostra come toccare More.

  10. Toccare Copy to OpenVPN.

    Screenshot che mostra come copiare in OpenVPN.

  11. Toccare ADD nella pagina Import Profile

    Screenshot che mostra Import Profile.

  12. Toccare ADD nella pagina Imported Profile

    Screenshot che mostra Imported Profile.

  13. Avviare l'app OpenVPN e scorrere verso destra l'interruttore nella pagina Profile a destra per connettersi

    Screenshot che mostra l'interruttore per la connessione.

Passaggi successivi

Esercitazione: Creare una connessione VPN utente da punto a sito usando la rete WAN virtuale di Azure.