Configurare i client VPN da punto a sito: autenticazione del certificato - macOS e iOS

  • Articolo

Questo articolo illustra come connettersi alla rete virtuale di Azure usando Gateway VPN'autenticazione da punto a sito (P2S) e certificato. In questo articolo sono disponibili più set di passaggi, a seconda del tipo di tunnel selezionato per la configurazione da sito a sito, il sistema operativo e il client VPN usato per la connessione.

Quando si usa l'autenticazione del certificato, tenere presente quanto segue:

  • Per il tipo di tunnel IKEv2, è possibile connettersi usando il client VPN installato in modo nativo nel sistema macOS.

  • Per il tipo di tunnel OpenVPN, è possibile usare un client OpenVPN.

  • Il client VPN di Azure non è disponibile per macOS e iOS quando si usa l'autenticazione del certificato, anche se è stato selezionato il tipo di tunnel OpenVPN per la configurazione da punto a sito.

Operazioni preliminari

Prima di iniziare, verificare di essere nell'articolo corretto. La tabella seguente illustra gli articoli di configurazione disponibili per i client VPN da sito a sito di Azure Gateway VPN. I passaggi variano a seconda del tipo di autenticazione, del tipo di tunnel e del sistema operativo client.

Autenticazione Tipo di tunnel Generare file di configurazione Configurare il client VPN
Certificato di Azure IKEv2, SSTP Windows Client VPN nativo
Certificato di Azure OpenVPN Windows - Client OpenVPN
- Client VPN di Azure
Certificato di Azure IKEv2, OpenVPN macOS-iOS macOS-iOS
Certificato di Azure IKEv2, OpenVPN Linux Linux
Microsoft Entra ID OpenVPN (SSL) Windows Windows
Microsoft Entra ID OpenVPN (SSL) macOS macOS
RADIUS - Certificato - Articolo Articolo
RADIUS - Password - Articolo Articolo
RADIUS - altri metodi - Articolo Articolo

Importante

A partire dal 1 luglio 2018, verrà rimosso il supporto per TLS 1.0 e 1.1 da Gateway VPN di Azure. Gateway VPN supporterà solo TLS 1.2. Sono interessate solo le connessioni da punto a sito; Le connessioni da sito a sito non saranno interessate. Se si usa TLS per VPN da punto a sito nei client Windows 10 o versioni successive, non è necessario eseguire alcuna azione. Se si usa TLS per le connessioni da punto a sito nei client Windows 7 e Windows 8, vedere le domande frequenti sulle Gateway VPN per istruzioni sull'aggiornamento.

Generare i certificati

Per l'autenticazione del certificato, è necessario installare un certificato client in ogni computer client. Il certificato client che si vuole usare deve essere esportato con la chiave privata e deve contenere tutti i certificati nel percorso di certificazione. Inoltre, per alcune configurazioni, è anche necessario installare le informazioni sul certificato radice.

Per informazioni sull'uso dei certificati, vedere Da punto a sito: Generare certificati - Linux.

Generare i file di configurazione del client VPN

Tutte le impostazioni di configurazione necessarie per i client VPN sono contenute in un file ZIP di configurazione del profilo client VPN. È possibile generare file di configurazione del profilo client usando PowerShell o usando il portale di Azure. Entrambi i metodi restituiscono lo stesso file con estensione zip.

I file di configurazione del profilo client VPN generati sono specifici della configurazione del gateway VPN da sito a sito per la rete virtuale. Se sono state apportate modifiche alla configurazione VPN da sito a sito dopo aver generato i file, ad esempio le modifiche al tipo di protocollo VPN o al tipo di autenticazione, è necessario generare nuovi file di configurazione del profilo client VPN e applicare la nuova configurazione a tutti i client VPN da connettere. Per altre informazioni sulle connessioni da punto a sito, vedere Informazioni sulla VPN da punto a sito.

Per generare file usando il portale di Azure:

  1. Nella portale di Azure passare al gateway di rete virtuale per la rete virtuale a cui si vuole connettersi.

  2. Nella pagina gateway di rete virtuale selezionare Configurazione da punto a sito per aprire la pagina di configurazione da punto a sito.

  3. Nella parte superiore della pagina di configurazione da punto a sito selezionare Scarica client VPN. Questo non scarica il software client VPN, genera il pacchetto di configurazione usato per configurare i client VPN. La generazione del pacchetto di configurazione client richiede qualche minuto. Durante questo periodo di tempo, è possibile che non vengano visualizzate indicazioni fino a quando il pacchetto non viene generato.

    Screenshot della pagina di configurazione da punto a sito.

  4. Dopo aver generato il pacchetto di configurazione, il browser indica che è disponibile un file ZIP di configurazione client. È denominato con lo stesso nome del gateway.

  5. Decomprimere il file per visualizzare le cartelle. Si useranno alcuni o tutti questi file per configurare il client VPN. I file generati corrispondono alle impostazioni del tipo di autenticazione e tunnel configurate nel server da sito a sito.

Configurare quindi il client VPN. Selezionare una delle istruzioni seguenti:

IKEv2: client VPN nativo - passaggi di macOS

Le sezioni seguenti illustrano come configurare il client VPN nativo già installato come parte di macOS. Questo tipo di connessione funziona solo su IKEv2.

Visualizza file

Decomprimere il file per visualizzare le cartelle. Quando si configurano client nativi macOS, usare i file nella cartella Generic . La cartella Generic è presente se IKEv2 è stato configurato nel gateway. È possibile trovare tutte le informazioni necessarie per configurare il client VPN nativo nella cartella Generic . Se la cartella Generic non viene visualizzata, controllare gli elementi seguenti, quindi generare di nuovo il file ZIP.

  • Controllare il tipo di tunnel per la configurazione. È probabile che IKEv2 non sia stato selezionato come tipo di tunnel.
  • Nel gateway VPN verificare che lo SKU non sia Basic. Lo SKU Gateway VPN Basic non supporta IKEv2. Selezionare quindi IKEv2 e generare di nuovo il file ZIP per recuperare la cartella Generic.

La cartella Generic contiene i file seguenti.

  • VpnSettings.xml, che contiene impostazioni importanti come l'indirizzo del server e il tipo di tunnel.
  • VpnServerRoot.cer, che contiene il certificato radice necessario per convalidare il gateway VPN di Azure durante la configurazione della connessione da punto a sito.

Usare questa procedura per configurare il client VPN nativo in Mac per l'autenticazione del certificato. Questi passaggi devono essere completati in ogni Mac che si vuole connettere ad Azure.

Installare i certificati

Certificato radice

  1. Copiare nel file del certificato radice , VpnServerRoot.cer , nel Mac. Fare doppio clic sul certificato. A seconda del sistema operativo, il certificato verrà installato automaticamente oppure verrà visualizzata la pagina Aggiungi certificati .
  2. Se viene visualizzata la pagina Aggiungi certificati , per Keychain: fare clic sulle frecce e selezionare login dall'elenco a discesa.
  3. Fare clic su Aggiungi per importare il file.

Certificato client

Il certificato client viene usato per l'autenticazione ed è necessario. In genere, è sufficiente fare clic sul certificato client da installare. Per altre informazioni su come installare un certificato client, vedere Installare un certificato client.

Verificare l'installazione del certificato

Verificare che sia il client che il certificato radice siano installati.

  1. Aprire Accesso portachiavi.
  2. Passare alla scheda Certificati .
  3. Verificare che sia il client che il certificato radice siano installati.

Configurare il profilo client VPN

  1. Passare a Preferenze di sistema -> Rete. Nella pagina Rete fare clic su "+" per creare un nuovo profilo di connessione client VPN per una connessione da sito a sito alla rete virtuale di Azure.

    Screenshot che mostra la finestra Rete su cui fare clic su +.

  2. Nella pagina Seleziona l'interfaccia fare clic sulle frecce accanto a Interface:. Nell'elenco a discesa fare clic su VPN.

    Screenshot che mostra la finestra Rete con l'opzione per selezionare un'interfaccia, è selezionata la VPN.

  3. Per Tipo di VPN, nell'elenco a discesa fare clic su IKEv2. Nel campo Nome servizio specificare un nome descrittivo per il profilo, quindi fare clic su Crea.

    Screenshot che mostra la finestra Rete con l'opzione per selezionare un'interfaccia, selezionare Tipo VPN e immettere un nome del servizio.

  4. Passare al profilo client VPN scaricato. Nella cartella Generic aprire il file Vpn Impostazioni.xml usando un editor di testo. Nell'esempio è possibile visualizzare informazioni sul tipo di tunnel e sull'indirizzo del server. Anche se sono elencati due tipi di VPN, questo client VPN si connetterà tramite IKEv2. Copiare il valore del tag VpnServer .

    Screenshot che mostra il file Vpn Impostazioni.xml aperto con il tag VpnServer evidenziato.

  5. Incollare il valore del tag VpnServer nei campi Indirizzo server e ID remoto del profilo. Lasciare vuoto l'ID locale. Fare quindi clic su Autenticazione Impostazioni....

    Screenshot che mostra le informazioni sul server incollate nei campi.

Configurare impostazioni di autenticazione

Configurare le impostazioni di autenticazione. Esistono due set di istruzioni. Scegliere le istruzioni corrispondenti alla versione del sistema operativo.

Big Sur e versioni successive

  1. Nella pagina Autenticazione Impostazioni fare clic sulle frecce per selezionare Certificato per il campo Impostazioni di autenticazione.

    Screenshot che mostra le impostazioni di autenticazione con il certificato selezionato.

  2. Fare clic su Seleziona per aprire la pagina Scegli un'identità.

    Screenshot per fare clic su Seleziona.

  3. Nella pagina Scegli un'identità viene visualizzato un elenco di certificati tra cui scegliere. Se non si è certi del certificato da usare, è possibile selezionare Mostra certificato per visualizzare altre informazioni su ogni certificato. Fare clic sul certificato appropriato e quindi su Continua.

    Screenshot che mostra le proprietà del certificato.

  4. Nella pagina Autenticazione Impostazioni verificare che sia visualizzato il certificato corretto e quindi fare clic su OK.

    Screenshot che mostra la finestra di dialogo Scegli un'identità in cui è possibile selezionare il certificato appropriato.

Catalina

Se si usa Catalina, seguire questa procedura per le impostazioni di autenticazione:

  1. Per Autenticazione Impostazioni scegliere Nessuno.

  2. Fare clic su Certificato, selezionare e fare clic sul certificato client corretto installato in precedenza. Successivamente, scegliere OK.

Specificare un certificato

  1. Nel campo ID locale specificare il nome del certificato. In questo esempio si tratta di P2SChildCertMac.

    Screenshot che mostra il valore ID locale.

  2. Fare clic su Applica per salvare tutte le modifiche.

Connessione

  1. Fare clic su Connessione per avviare la connessione da punto a sito alla rete virtuale di Azure. Potrebbe essere necessario immettere la password keychain "login".

    Screenshot che mostra il pulsante Connetti.

  2. Dopo aver stabilito la connessione, lo stato viene visualizzato come Connessione ed ed è possibile visualizzare l'indirizzo IP estratto dal pool di indirizzi client VPN.

    Screenshot che mostra Connessione ed.

OpenVPN: passaggi di macOS

Nell'esempio seguente viene usato TunnelPartizioni.

Importante

Solo MacOS 10.13 e versioni successive è supportato con il protocollo OpenVPN.

Nota

OpenVPN Client versione 2.6 non è ancora supportato.

  1. Scaricare e installare un client OpenVPN, ad esempio Tunnel Esegui.

  2. Se non è già stato fatto, scaricare il pacchetto del profilo client VPN dal portale di Azure.

  3. Decomprimere il profilo. Aprire il file di configurazione vpnconfig.ovpn dalla cartella OpenVPN in un editor di testo.

  4. Completare la sezione relativa al certificato client da punto a sito con la chiave pubblica del certificato client da punto a sito in formato Base 64. In un certificato in formato PEM è possibile aprire il file con estensione cer e copiare la chiave in formato Base 64 tra le intestazioni del certificato.

  5. Completare la sezione relativa alla chiave privata con la chiave privata del certificato client da punto a sito in formato Base 64. Per informazioni su come estrarre una chiave privata, vedere Esportare la chiave privata nel sito OpenVPN.

  6. Non modificare altri campi. Usare la configurazione così completata nell'input del client per connettersi alla rete VPN.

  7. Fare doppio clic sul file di profilo per creare il profilo in Tunnel[...].

  8. Avviare Tunnel dallo cartella delle applicazioni.

  9. Fare clic sull'icona tunneling nella barra delle applicazioni e selezionare connetti.

OpenVPN: passaggi per iOS

L'esempio seguente usa Connessione OpenVPN dall'App Store.

Importante

Solo iOS 11.0 e versioni successive sono supportati con il protocollo OpenVPN.

Nota

OpenVPN Client versione 2.6 non è ancora supportato.

  1. Installare il client OpenVPN (versione 2.4 o successiva) dall'App Store. La versione 2.6 non è ancora supportata.

  2. Se non è già stato fatto, scaricare il pacchetto del profilo client VPN dal portale di Azure.

  3. Decomprimere il profilo. Aprire il file di configurazione vpnconfig.ovpn dalla cartella OpenVPN in un editor di testo.

  4. Completare la sezione relativa al certificato client da punto a sito con la chiave pubblica del certificato client da punto a sito in formato Base 64. In un certificato in formato PEM è possibile aprire il file con estensione cer e copiare la chiave in formato Base 64 tra le intestazioni del certificato.

  5. Completare la sezione relativa alla chiave privata con la chiave privata del certificato client da punto a sito in formato Base 64. Per informazioni su come estrarre una chiave privata, vedere Esportare la chiave privata nel sito OpenVPN.

  6. Non modificare altri campi.

  7. Inviare tramite posta elettronica il file di profilo (con estensione ovpn) all'account di posta elettronica configurato nell'app di posta elettronica in i Telefono.

  8. Aprire il messaggio di posta elettronica nell'app di posta elettronica nell'i Telefono e toccare il file allegato.

    Screenshot che mostra il messaggio pronto per l'invio.

  9. Tocca Altro se non vedi l'opzione Copia in OpenVPN .

    Screenshot che mostra come toccare altro.

  10. Toccare Copia in OpenVPN.

    Screenshot che mostra la copia in OpenVPN.

  11. Toccare AGGIUNGI nella pagina Importa profilo

    Screenshot che mostra Importa profilo.

  12. Toccare AGGIUNGI nella pagina Profilo importato

    Screenshot che mostra il profilo importato.

  13. Avviare l'app OpenVPN e scorrere l'opzione nella pagina Profilo a destra per connettersi

    Screenshot che mostra la diapositiva da connettere.

Passaggi successivi

Per altri passaggi, tornare all'articolo originale da punto a sito da cui si stava lavorando.