Condividi tramite

Configurare i client VPN da punto a sito: autenticazione del certificato - client VPN nativo - macOS

  • Articolo

Se il gateway VPN da punto a sito (P2S) è configurato per l'uso dell'autenticazione IKEv2 e del certificato, è possibile connettersi alla rete virtuale usando il client VPN nativo che fa parte del sistema operativo macOS. Questo articolo illustra la procedura per configurare il client VPN nativo e connettersi alla rete virtuale.

Operazioni preliminari

Prima di iniziare a configurare il client, verificare di essere all'articolo corretto. La tabella seguente illustra gli articoli di configurazione disponibili per i client VPN da punto a sito del Gateway VPN di Azure. Le procedure variano a seconda del tipo di autenticazione, del tipo di tunnel e del sistema operativo client.

Autenticazione Tipo di tunnel Sistema operativo client Client VPN
Certificate
IKEv2, SSTP Finestre Client VPN nativo
IKEv2 macOS Client VPN nativo
IKEv2 Linux strongSwan
OpenVPN Finestre Client VPN di Azure
Client OpenVPN
OpenVPN macOS Client OpenVPN
OpenVPN iOS Client OpenVPN
OpenVPN Linux Client VPN di Azure
Client OpenVPN
Microsoft Entra ID
OpenVPN Finestre Client VPN di Azure
OpenVPN macOS Client VPN di Azure
OpenVPN Linux Client VPN di Azure

Prerequisiti

Questo articolo presuppone che l'utente abbia già eseguito i prerequisiti seguenti:

Workflow

Il flusso di lavoro per questo articolo è il seguente:

  1. Generare certificati client se non è già stato fatto.
  2. Visualizzare i file di configurazione del profilo client VPN contenuti nel pacchetto di configurazione del profilo client VPN generato.
  3. Installare i certificati.
  4. Configurare il client VPN nativo già installato nel sistema operativo.
  5. Connettersi ad Azure.

Generare i certificati

Per l'autenticazione del certificato è necessario installare un certificato client in ogni computer client. Il certificato client che si vuole usare deve essere esportato con la chiave privata e deve contenere tutti i certificati nella catena di certificati. Inoltre, per alcune configurazioni, è necessario installare le informazioni sul certificato radice.

Per informazioni sull'uso dei certificati, vedere Da punto a sito: Generare certificati - Linux.

Visualizzare i file di configurazione del profilo client VPN

Tutte le impostazioni di configurazione necessarie per i client VPN sono contenute in un file ZIP di configurazione del profilo client VPN. È possibile generare i file di configurazione del profilo client usando PowerShell oppure il portale di Azure. Entrambi i metodi restituiscono lo stesso file con estensione zip.

I file di configurazione del profilo client VPN sono specifici della configurazione del gateway VPN da punto a sito per la rete virtuale. Se vengono apportate modifiche alla configurazione VPN da punto a sito dopo la generazione dei file, ad esempio modifiche al tipo di autenticazione o al tipo di protocollo VPN, è necessario generare nuovi file di configurazione del profilo client VPN e applicare la nuova configurazione a tutti i client VPN da connettere.

Decomprimere il file per visualizzare le cartelle. Quando vengono configurati i client nativi di macOS, si usano i file contenuti nella cartella Generic. La cartella Generic è presente se nel gateway è stato configurato IKEv2. È possibile trovare tutte le informazioni necessarie per configurare il client VPN nativo nella cartella Generic. Se la cartella Generic non viene visualizzata, controllare gli elementi seguenti, quindi generare di nuovo il file ZIP.

  • Controllare il tipo di tunnel per la configurazione. È probabile che come tipo di tunnel non sia stato selezionato IKEv2.
  • Nel gateway VPN verificare che lo SKU non sia Basic. Lo SKU Basic del gateway VPN non supporta IKEv2. Sarà necessario ricompilare il gateway con lo SKU e il tipo di tunnel appropriati se si vuole che i client macOS si connettano.

La cartella Generico contiene i file seguenti.

  • VpnSettings.xml, che contiene impostazioni importanti come l'indirizzo del server e il tipo di tunnel.
  • VpnServerRoot.cer, che contiene il certificato radice necessario per convalidare il gateway VPN di Azure durante la configurazione della connessione da punto a sito.

Installare i certificati

Certificato radice

  1. Copiare il file del certificato radice, VpnServerRoot.cer, nel Mac. Fare doppio clic sul certificato. A seconda del sistema operativo, il certificato verrà installato automaticamente oppure verrà visualizzata la pagina Aggiungi certificati.
  2. Se viene visualizzata la pagina Aggiungi certificati, per Portachiavi: fare clic sulle frecce e selezionare login dall'elenco a discesa.
  3. Fare clic su Aggiungi per importare il file.

Certificato client

Il certificato client viene usato per l'autenticazione ed è necessario. In genere è sufficiente fare clic sul certificato client da installare. Per altre informazioni sull'installazione di un certificato client, vedere Installare un certificato client.

Verificare l’installazione del certificato

Verificare che siano stati installati sia il certificato client sia il certificato radice.

  1. Aprire Accesso portachiavi.
  2. Passare alla scheda Certificati.
  3. Verificare che siano stati installati sia il certificato client sia il certificato radice.

Configurare il profilo del client VPN

  1. Passare a Preferenze sistema -> Rete. Nella pagina Rete fare clic su '+' per creare un nuovo profilo di connessione del client VPN per una connessione da punto a sito alla rete virtuale di Azure.

    Screenshot che mostra la finestra Rete su cui fare clic su +.

  2. Nella pagina Selezionare l'interfaccia fare clic sulle frecce accanto a interfaccia:. Nell'elenco a discesa fare clic su VPN.

    Lo screenshot mostra la finestra Rete con l'opzione per selezionare un'interfaccia e con l'opzione VPN selezionata.

  3. Per Tipo VPN nell'elenco a discesa fare clic su IKEv2. Nel campo Nome servizio specificare un nome descrittivo per il profilo, quindi fare clic su Crea.

    Screenshot che mostra la finestra Rete con l'opzione per selezionare un'interfaccia, selezionare il tipo di VPN e immettere il nome del servizio.

  4. Passare al profilo del client VPN scaricato. Nella cartella Generico, aprire il file VpnSettings.xml usando un editor di testo. Nell'esempio è possibile visualizzare informazioni sul tipo di tunnel e sull'indirizzo del server. Anche se sono elencati due tipi di VPN, questo client VPN si connetterà tramite IKEv2. Copiare il valore del tag VpnServer.

    Screenshot che mostra il file VpnSettings.xml aperto con il tag VpnServer evidenziato.

  5. Incollare il valore del tag VpnServer nei campi Indirizzo del server e ID remoto del profilo. Lasciare vuoto il campo ID locale. Fare quindi clic su Impostazioni di autenticazione.

    Screenshot che mostra le informazioni sul server incollate nei campi.

Configurare impostazioni di autenticazione

Configurare le impostazioni di autenticazione.

  1. Nella pagina Impostazioni di autenticazione fare clic sulle frecce per selezionare Certificato per il campo relativo alle impostazioni di autenticazione.

    Screenshot che mostra le impostazioni di autenticazione con il certificato selezionato.

  2. Fare clic su Seleziona per aprire la pagina Scegliere un’identità.

    Screenshot per fare clic su Seleziona.

  3. Nella pagina Scegliere un’identità viene visualizzato un elenco dei certificati tra cui scegliere. Se non si è certi del certificato da usare, è possibile selezionare Mostra certificato per visualizzare altre informazioni su ogni certificato. Fare clic sul certificato corretto e quindi su Continua.

    Screenshot che mostra le proprietà del certificato.

  4. Nella pagina Impostazioni di autenticazione verificare che sia visualizzato il certificato corretto e quindi fare clic su OK.

    Screenshot che mostra la finestra di dialogo Scegliere un’identità in cui è possibile selezionare il certificato appropriato.

Specificare un certificato

  1. Nel campo ID locale specificare il nome del certificato. In questo esempio è P2SChildCertMac.

    Screenshot che mostra il valore dell'ID locale.

  2. Fare clic su Applica per salvare tutte le modifiche.

Connessione

  1. Fare clic su Connetti per avviare la connessione da punto a sito alla rete virtuale di Azure. Potrebbe essere necessario immettere la password portachiavi "login".

    Screenshot che mostra il pulsante di connessione.

  2. Dopo aver stabilito la connessione, lo stato viene visualizzato come Connesso ed è possibile visualizzare l'indirizzo IP estratto dal pool di indirizzi del client VPN.

    Screenshot che mostra lo stato Connesso.

Passaggi successivi

Continuare configurando eventuali impostazioni aggiuntive per il server o la connessione. Vedere Procedura di configurazione da punto a sito.