Configurare i client VPN da punto a sito: autenticazione del certificato - client VPN nativo - macOS
Se il gateway VPN da punto a sito (P2S) è configurato per l'uso dell'autenticazione IKEv2 e del certificato, è possibile connettersi alla rete virtuale usando il client VPN nativo che fa parte del sistema operativo macOS. Questo articolo illustra la procedura per configurare il client VPN nativo e connettersi alla rete virtuale.
Operazioni preliminari
Prima di iniziare a configurare il client, verificare di essere all'articolo corretto. La tabella seguente illustra gli articoli di configurazione disponibili per i client VPN da punto a sito del Gateway VPN di Azure. Le procedure variano a seconda del tipo di autenticazione, del tipo di tunnel e del sistema operativo client.
Autenticazione | Tipo di tunnel | Sistema operativo client | Client VPN |
---|---|---|---|
Certificate | |||
IKEv2, SSTP | Finestre | Client VPN nativo | |
IKEv2 | macOS | Client VPN nativo | |
IKEv2 | Linux | strongSwan | |
OpenVPN | Finestre | Client VPN di Azure Client OpenVPN |
|
OpenVPN | macOS | Client OpenVPN | |
OpenVPN | iOS | Client OpenVPN | |
OpenVPN | Linux | Client VPN di Azure Client OpenVPN |
|
Microsoft Entra ID | |||
OpenVPN | Finestre | Client VPN di Azure | |
OpenVPN | macOS | Client VPN di Azure | |
OpenVPN | Linux | Client VPN di Azure |
Prerequisiti
Questo articolo presuppone che l'utente abbia già eseguito i prerequisiti seguenti:
- Il gateway VPN è stato creato e configurato per l'autenticazione del certificato da punto a sito e per il tipo di tunnel OpenVPN. Vedere Configurare le impostazioni del server per le connessioni del gateway VPN da punto a sito: autenticazione del certificato per la procedura.
- Sono stati generati e scaricati i file di configurazione del client VPN. Vedere Generare file di configurazione del profilo client VPN per la procedura.
- È possibile generare certificati client o acquisire i certificati client appropriati necessari per l'autenticazione.
Workflow
Il flusso di lavoro per questo articolo è il seguente:
- Generare certificati client se non è già stato fatto.
- Visualizzare i file di configurazione del profilo client VPN contenuti nel pacchetto di configurazione del profilo client VPN generato.
- Installare i certificati.
- Configurare il client VPN nativo già installato nel sistema operativo.
- Connettersi ad Azure.
Generare i certificati
Per l'autenticazione del certificato è necessario installare un certificato client in ogni computer client. Il certificato client che si vuole usare deve essere esportato con la chiave privata e deve contenere tutti i certificati nella catena di certificati. Inoltre, per alcune configurazioni, è necessario installare le informazioni sul certificato radice.
Per informazioni sull'uso dei certificati, vedere Da punto a sito: Generare certificati - Linux.
Visualizzare i file di configurazione del profilo client VPN
Tutte le impostazioni di configurazione necessarie per i client VPN sono contenute in un file ZIP di configurazione del profilo client VPN. È possibile generare i file di configurazione del profilo client usando PowerShell oppure il portale di Azure. Entrambi i metodi restituiscono lo stesso file con estensione zip.
I file di configurazione del profilo client VPN sono specifici della configurazione del gateway VPN da punto a sito per la rete virtuale. Se vengono apportate modifiche alla configurazione VPN da punto a sito dopo la generazione dei file, ad esempio modifiche al tipo di autenticazione o al tipo di protocollo VPN, è necessario generare nuovi file di configurazione del profilo client VPN e applicare la nuova configurazione a tutti i client VPN da connettere.
Decomprimere il file per visualizzare le cartelle. Quando vengono configurati i client nativi di macOS, si usano i file contenuti nella cartella Generic. La cartella Generic è presente se nel gateway è stato configurato IKEv2. È possibile trovare tutte le informazioni necessarie per configurare il client VPN nativo nella cartella Generic. Se la cartella Generic non viene visualizzata, controllare gli elementi seguenti, quindi generare di nuovo il file ZIP.
- Controllare il tipo di tunnel per la configurazione. È probabile che come tipo di tunnel non sia stato selezionato IKEv2.
- Nel gateway VPN verificare che lo SKU non sia Basic. Lo SKU Basic del gateway VPN non supporta IKEv2. Sarà necessario ricompilare il gateway con lo SKU e il tipo di tunnel appropriati se si vuole che i client macOS si connettano.
La cartella Generico contiene i file seguenti.
- VpnSettings.xml, che contiene impostazioni importanti come l'indirizzo del server e il tipo di tunnel.
- VpnServerRoot.cer, che contiene il certificato radice necessario per convalidare il gateway VPN di Azure durante la configurazione della connessione da punto a sito.
Installare i certificati
Certificato radice
- Copiare il file del certificato radice, VpnServerRoot.cer, nel Mac. Fare doppio clic sul certificato. A seconda del sistema operativo, il certificato verrà installato automaticamente oppure verrà visualizzata la pagina Aggiungi certificati.
- Se viene visualizzata la pagina Aggiungi certificati, per Portachiavi: fare clic sulle frecce e selezionare login dall'elenco a discesa.
- Fare clic su Aggiungi per importare il file.
Certificato client
Il certificato client viene usato per l'autenticazione ed è necessario. In genere è sufficiente fare clic sul certificato client da installare. Per altre informazioni sull'installazione di un certificato client, vedere Installare un certificato client.
Verificare l’installazione del certificato
Verificare che siano stati installati sia il certificato client sia il certificato radice.
- Aprire Accesso portachiavi.
- Passare alla scheda Certificati.
- Verificare che siano stati installati sia il certificato client sia il certificato radice.
Configurare il profilo del client VPN
Passare a Preferenze sistema -> Rete. Nella pagina Rete fare clic su '+' per creare un nuovo profilo di connessione del client VPN per una connessione da punto a sito alla rete virtuale di Azure.
Nella pagina Selezionare l'interfaccia fare clic sulle frecce accanto a interfaccia:. Nell'elenco a discesa fare clic su VPN.
Per Tipo VPN nell'elenco a discesa fare clic su IKEv2. Nel campo Nome servizio specificare un nome descrittivo per il profilo, quindi fare clic su Crea.
Passare al profilo del client VPN scaricato. Nella cartella Generico, aprire il file VpnSettings.xml usando un editor di testo. Nell'esempio è possibile visualizzare informazioni sul tipo di tunnel e sull'indirizzo del server. Anche se sono elencati due tipi di VPN, questo client VPN si connetterà tramite IKEv2. Copiare il valore del tag VpnServer.
Incollare il valore del tag VpnServer nei campi Indirizzo del server e ID remoto del profilo. Lasciare vuoto il campo ID locale. Fare quindi clic su Impostazioni di autenticazione.
Configurare impostazioni di autenticazione
Configurare le impostazioni di autenticazione.
Nella pagina Impostazioni di autenticazione fare clic sulle frecce per selezionare Certificato per il campo relativo alle impostazioni di autenticazione.
Fare clic su Seleziona per aprire la pagina Scegliere un’identità.
Nella pagina Scegliere un’identità viene visualizzato un elenco dei certificati tra cui scegliere. Se non si è certi del certificato da usare, è possibile selezionare Mostra certificato per visualizzare altre informazioni su ogni certificato. Fare clic sul certificato corretto e quindi su Continua.
Nella pagina Impostazioni di autenticazione verificare che sia visualizzato il certificato corretto e quindi fare clic su OK.
Specificare un certificato
Nel campo ID locale specificare il nome del certificato. In questo esempio è P2SChildCertMac.
Fare clic su Applica per salvare tutte le modifiche.
Connessione
Fare clic su Connetti per avviare la connessione da punto a sito alla rete virtuale di Azure. Potrebbe essere necessario immettere la password portachiavi "login".
Dopo aver stabilito la connessione, lo stato viene visualizzato come Connesso ed è possibile visualizzare l'indirizzo IP estratto dal pool di indirizzi del client VPN.
Passaggi successivi
Continuare configurando eventuali impostazioni aggiuntive per il server o la connessione. Vedere Procedura di configurazione da punto a sito.
Commenti e suggerimenti
https://aka.ms/ContentUserFeedback.
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedereInvia e visualizza il feedback per