Configurare i client VPN utente da punto a sito - Autenticazione del certificato - macOS e iOS

  • Articolo

Questo articolo illustra come connettersi ad Azure rete WAN virtuale da un sistema operativo macOS o iOS tramite P2S VPN utente per le configurazioni che usano l'autenticazione del certificato. Per connettersi da un sistema operativo iOS o macOS tramite un tunnel OpenVPN, usare un client OpenVPN. Per connettersi da un sistema operativo macOS tramite un tunnel IKEv2, usare il client VPN installato in modo nativo nel Mac.

Prima di iniziare

  • Assicurarsi di aver completato i passaggi di configurazione necessari in Esercitazione: Creare una connessione VPN utente da punto a sito usando Azure rete WAN virtuale.

  • Generare file di configurazione del client VPN: I file di configurazione del client VPN generati sono specifici del profilo VPN rete WAN virtuale utente scaricato. rete WAN virtuale ha due tipi diversi di profili di configurazione: a livello di rete WAN (globale) e a livello di hub. Se sono state apportate modifiche alla configurazione VPN da sito a sito dopo aver generato i file o si passa a un tipo di profilo diverso, è necessario generare nuovi file di configurazione del client VPN e applicare la nuova configurazione a tutti i client VPN che si desidera connettere. Vedere Generare file di configurazione del client VPN utente.

  • Ottenere i certificati: Le sezioni seguenti richiedono certificati. Assicurarsi di disporre sia del certificato client che delle informazioni sul certificato del server radice. Per altre informazioni, vedere Generare ed esportare certificati .

IKEv2 - client nativo - passaggi di macOS

Dopo aver generato e scaricato il pacchetto di configurazione del client VPN, decomprimerlo per visualizzare le cartelle. Quando si configurano i client nativi macOS, si usano i file nella cartella Generic . La cartella Generic è presente se IKEv2 è stato configurato nel gateway. È possibile trovare tutte le informazioni necessarie per configurare il client VPN nativo nella cartella Generic . Se la cartella Generic non è visualizzata, assicurarsi che IKEv2 sia uno dei tipi di tunnel, quindi scaricare di nuovo il pacchetto di configurazione.

La cartella Generic contiene i file seguenti.

  • VpnSettings.xml, che contiene impostazioni importanti, ad esempio l'indirizzo del server e il tipo di tunnel.
  • VpnServerRoot.cer, che contiene il certificato radice necessario per convalidare il gateway VPN di Azure durante l'installazione della connessione da punto a sito.

Usare questa procedura per configurare il client VPN nativo in Mac per l'autenticazione del certificato. Questi passaggi devono essere completati in ogni Mac che si vuole connettere ad Azure.

Installare i certificati

Certificato radice

  1. Copiare nel file del certificato radice , VpnServerRoot.cer , nel Mac. Fare doppio clic sul certificato. A seconda del sistema operativo, il certificato verrà installato automaticamente oppure verrà visualizzata la pagina Aggiungi certificati .
  2. Se viene visualizzata la pagina Aggiungi certificati , per Keychain: fare clic sulle frecce e selezionare login nell'elenco a discesa.
  3. Fare clic su Aggiungi per importare il file.

Certificato client

Il certificato client viene usato per l'autenticazione ed è necessario. In genere, è sufficiente fare clic sul certificato client da installare. Per altre informazioni su come installare un certificato client, vedere Installare un certificato client.

Verificare l'installazione del certificato

Verificare che sia il client che il certificato radice siano installati.

  1. Aprire Accesso portachiavi.
  2. Passare alla scheda Certificati .
  3. Verificare che sia il client che il certificato radice siano installati.

Configurare il profilo client VPN

  1. Passare a Preferenze di sistema -> Rete. Nella pagina Rete fare clic su "+" per creare un nuovo profilo di connessione client VPN per una connessione da sito a sito alla rete virtuale di Azure.

    Screenshot che mostra la finestra Rete per fare clic sul segno più.

  2. Nella pagina Selezionare l'interfaccia fare clic sulle frecce accanto a Interface:. Nell'elenco a discesa fare clic su VPN.

    Screenshot che mostra la finestra Rete con l'opzione per selezionare un'interfaccia, è selezionata la VPN.

  3. Per Tipo VPN, nell'elenco a discesa fare clic su IKEv2. Nel campo Nome servizio specificare un nome descrittivo per il profilo, quindi fare clic su Crea.

    Screenshot che mostra la finestra Rete con l'opzione per selezionare un'interfaccia, selezionare Tipo VPN e immettere un nome di servizio.

  4. Passare al profilo client VPN scaricato. Nella cartella Generic aprire il file VpnSettings.xml usando un editor di testo. Nell'esempio è possibile notare che questo profilo client VPN si connette a un profilo VPN utente a livello di RETE WAN e che i VpnType sono IKEv2 e OpenVPN. Anche se sono elencati due tipi di VPN, questo client VPN si connetterà tramite IKEv2. Copiare il valore del tag VpnServer .

    Screenshot che mostra il file VpnSettings.xml aperto con il tag VpnServer evidenziato.

  5. Incollare il valore del tag VpnServer nei campi Indirizzo server e ID remoto del profilo. Lasciare vuoto l'ID locale . Fare quindi clic su Impostazioni di autenticazione....

    Screenshot che mostra le informazioni sul server incollate nei campi.

Configurare le impostazioni di autenticazione

Big Sur e versioni successive

  1. Nella pagina Impostazioni di autenticazione fare clic sulle frecce per selezionare Certificato per il campo Impostazioni di autenticazione.

    Screenshot che mostra le impostazioni di autenticazione con il certificato selezionato.

  2. Fare clic su Seleziona per aprire la pagina Scegli un'identità .

    Screenshot per fare clic su Seleziona.

  3. Nella pagina Scegli un'identità viene visualizzato un elenco di certificati tra cui scegliere. Se non si è certi del certificato da usare, è possibile selezionare Mostra certificato per visualizzare altre informazioni su ogni certificato. Fare clic sul certificato appropriato e quindi su Continua.

    Screenshot che mostra le proprietà del certificato.

  4. Nella pagina Impostazioni di autenticazione verificare che venga visualizzato il certificato corretto, quindi fare clic su OK.

    Screenshot che mostra la finestra di dialogo Scegli un'identità in cui è possibile selezionare il certificato appropriato.

Catalina

Se si usa Catalina, seguire questa procedura di autenticazione:

  1. Per Impostazioni di autenticazione scegliere Nessuno.

  2. Fare clic su Certificato, selezionare e fare clic sul certificato client corretto installato in precedenza. Successivamente, scegliere OK.

Specificare un certificato

  1. Nel campo ID locale specificare il nome del certificato. In questo esempio si tratta di P2SChildCertMac.

    Screenshot che mostra il valore DELL'ID locale.

  2. Fare clic su Applica per salvare tutte le modifiche.

Connessione

  1. Fare clic su Connetti per avviare la connessione da punto a sito alla rete virtuale di Azure. Potrebbe essere necessario immettere la password keychain "login".

    Screenshot che mostra il pulsante Connetti.

  2. Dopo aver stabilito la connessione, lo stato viene visualizzato come Connesso ed è possibile visualizzare l'indirizzo IP di cui è stato eseguito il pull dal pool di indirizzi client VPN.

    Screenshot che mostra Connected.

Client OpenVPN - passaggi per macOS

Nell'esempio seguente viene usato Tunnel Esegue.

Importante

Solo MacOS 10.13 e versioni successive sono supportati con il protocollo OpenVPN.

Nota

OpenVPN Client versione 2.6 non è ancora supportato.

  1. Scaricare e installare un client OpenVPN, ad esempio Tunnel Dottorato.

  2. Se non è già stato fatto, scaricare il pacchetto del profilo client VPN dal portale di Azure.

  3. Decomprimere il profilo. Aprire il file di configurazione vpnconfig.ovpn dalla cartella OpenVPN in un editor di testo.

  4. Completare la sezione relativa al certificato client da punto a sito con la chiave pubblica del certificato client da punto a sito in formato Base 64. In un certificato in formato PEM è possibile aprire il file con estensione cer e copiare la chiave in formato Base 64 tra le intestazioni del certificato.

  5. Completare la sezione relativa alla chiave privata con la chiave privata del certificato client da punto a sito in formato Base 64. Per informazioni su come estrarre una chiave privata, vedere Esportare la chiave privata nel sito OpenVPN.

  6. Non modificare altri campi. Usare la configurazione così completata nell'input del client per connettersi alla rete VPN.

  7. Fare doppio clic sul file di profilo per creare il profilo in Tunnel dottorato.

  8. Avviare Tunnel dottorato dalla cartella delle applicazioni.

  9. Fare clic sull'icona Tunnel icona nell'area di notifica e selezionare connetti.

Client OpenVPN - Passaggi per iOS

L'esempio seguente usa OpenVPN Connect dall'App Store.

Importante

Solo iOS 11.0 e versioni successive sono supportati con il protocollo OpenVPN.

Nota

OpenVPN Client versione 2.6 non è ancora supportato.

  1. Installare il client OpenVPN (versione 2.4 o successiva) dall'App Store. La versione 2.6 non è ancora supportata.

  2. Se non è già stato fatto, scaricare il pacchetto del profilo client VPN dal portale di Azure.

  3. Decomprimere il profilo. Aprire il file di configurazione vpnconfig.ovpn dalla cartella OpenVPN in un editor di testo.

  4. Completare la sezione relativa al certificato client da punto a sito con la chiave pubblica del certificato client da punto a sito in formato Base 64. In un certificato in formato PEM è possibile aprire il file con estensione cer e copiare la chiave in formato Base 64 tra le intestazioni del certificato.

  5. Completare la sezione relativa alla chiave privata con la chiave privata del certificato client da punto a sito in formato Base 64. Per informazioni su come estrarre una chiave privata, vedere Esportare la chiave privata nel sito OpenVPN.

  6. Non modificare altri campi.

  7. Inviare tramite posta elettronica il file di profilo (con estensione ovpn) all'account di posta elettronica configurato nell'app di posta elettronica sull'iPhone.

  8. Aprire il messaggio di posta elettronica nell'app di posta elettronica sull'iPhone e toccare il file allegato.

    Screenshot che mostra il messaggio pronto per l'invio.

  9. Tocca Altro se non vedi l'opzione Copia in OpenVPN .

    Screenshot che mostra come toccare altro.

  10. Toccare Copia in OpenVPN.

    Screenshot che mostra la copia in OpenVPN.

  11. Toccare AGGIUNGI nella pagina Importa profilo

    Screenshot che mostra Importa profilo.

  12. Toccare AGGIUNGI nella pagina Profilo importato

    Screenshot che mostra il profilo importato.

  13. Avviare l'app OpenVPN e scorrere l'opzione nella pagina Profilo a destra per connettersi

    Screenshot che mostra la diapositiva per la connessione.

Passaggi successivi

Esercitazione: Creare una connessione VPN utente da sito a sito usando Azure rete WAN virtuale.