Flusso di lavoro di configurazione del client VPN da punto a sito: autenticazione del certificato - Windows

Questo articolo illustra il flusso di lavoro e i passaggi per configurare i client VPN per le connessioni di rete virtuale da punto a sito (P2S) che usano l'autenticazione del certificato. Questi passaggi continuano dagli articoli precedenti in cui sono configurate le impostazioni del server da punto a sito Gateway VPN. In questo articolo verranno generati i file di configurazione client e verranno installati i certificati client necessari usati per l'autenticazione.

Operazioni preliminari

Questo articolo presuppone che sia già stato creato e configurato il gateway VPN per l'autenticazione del certificato da punto a sito. Per la procedura, vedere Configurare le impostazioni del server per le connessioni da punto a sito Gateway VPN - Autenticazione del certificato.

Prima di iniziare il flusso di lavoro, verificare di essere nell'articolo corretto. La tabella seguente illustra gli articoli di configurazione disponibili per i client VPN da sito a sito di Azure Gateway VPN. I passaggi variano a seconda del tipo di autenticazione, del tipo di tunnel e del sistema operativo client.

Autenticazione Tipo di tunnel Generare file di configurazione Configurare il client VPN
Certificato di Azure IKEv2, SSTP Windows Client VPN nativo
Certificato di Azure OpenVPN Windows - Client OpenVPN
- Client VPN di Azure
Certificato di Azure IKEv2, OpenVPN macOS-iOS macOS-iOS
Certificato di Azure IKEv2, OpenVPN Linux Linux
Microsoft Entra ID OpenVPN (SSL) Windows Windows
Microsoft Entra ID OpenVPN (SSL) macOS macOS
RADIUS - Certificato - Articolo Articolo
RADIUS - Password - Articolo Articolo
RADIUS - altri metodi - Articolo Articolo

Workflow

In questo articolo si inizia con la generazione di file di configurazione del client VPN e certificati client:

  1. Generare file per configurare il client VPN.

  2. Generare certificati per il client VPN.

  3. Configurare il client VPN. La procedura usata per configurare il client VPN dipende dal tipo di tunnel per il gateway VPN da sito a sito e dal client VPN nel computer client. I collegamenti vengono forniti agli articoli di configurazione per il tunnel specifico e il client corrispondente.

    • IKEv2 e SSTP - Client VPN nativo: se il gateway VPN da punto a sito è configurato per l'uso dell'autenticazione IKEv2/SSTP e del certificato, ci si connette alla rete virtuale usando il client VPN nativo che fa parte del sistema operativo Windows. Questa configurazione non richiede software client aggiuntivo. Per i passaggi, vedere IKEv2 e SSTP - client VPN nativo.
    • OpenVPN - Client VPN di Azure e client OpenVPN: se il gateway VPN da punto a sito è configurato per usare un tunnel OpenVPN e l'autenticazione del certificato, è possibile connettersi usando il client VPN di Azure o il client OpenVPN.

1. Generare file di configurazione del client VPN

Tutte le impostazioni di configurazione necessarie per i client VPN sono contenute in un file ZIP di configurazione del profilo client VPN. È possibile generare file di configurazione del profilo client usando PowerShell o usando il portale di Azure. Entrambi i metodi restituiscono lo stesso file con estensione zip.

I file di configurazione del profilo client VPN generati sono specifici della configurazione del gateway VPN da sito a sito per la rete virtuale. Se sono state apportate modifiche alla configurazione VPN da sito a sito dopo aver generato i file, ad esempio le modifiche al tipo di protocollo VPN o al tipo di autenticazione, è necessario generare nuovi file di configurazione del profilo client VPN e applicare la nuova configurazione a tutti i client VPN da connettere. Per altre informazioni sulle connessioni da punto a sito, vedere Informazioni sulla VPN da punto a sito.

PowerShell

Quando si generano file di configurazione del client VPN, il valore di "-AuthenticationMethod" è "EapTls". Generare i file di configurazione del client VPN con il comando seguente:

$profile=New-AzVpnClientConfiguration -ResourceGroupName "TestRG" -Name "VNet1GW" -AuthenticationMethod "EapTls"

$profile.VPNProfileSASUrl

Copiare l'URL nel browser per scaricare il file ZIP.

Azure portal

  1. Nella portale di Azure passare al gateway di rete virtuale per la rete virtuale a cui si vuole connettersi.

  2. Nella pagina gateway di rete virtuale selezionare Configurazione da punto a sito per aprire la pagina di configurazione da punto a sito.

  3. Nella parte superiore della pagina di configurazione da punto a sito selezionare Scarica client VPN. Questo non scarica il software client VPN, genera il pacchetto di configurazione usato per configurare i client VPN. La generazione del pacchetto di configurazione client richiede qualche minuto. Durante questo periodo di tempo, è possibile che non vengano visualizzate indicazioni fino a quando il pacchetto non viene generato.

    Screenshot della pagina di configurazione da punto a sito.

  4. Dopo aver generato il pacchetto di configurazione, il browser indica che è disponibile un file ZIP di configurazione client. È denominato con lo stesso nome del gateway.

  5. Decomprimere il file per visualizzare le cartelle. Si useranno alcuni o tutti questi file per configurare il client VPN. I file generati corrispondono alle impostazioni del tipo di autenticazione e tunnel configurate nel server da sito a sito.

2. Generare certificati client

Per l'autenticazione del certificato, è necessario installare un certificato client in ogni computer client. Il certificato client che si vuole usare deve essere esportato con la chiave privata e deve contenere tutti i certificati nel percorso di certificazione. Inoltre, per alcune configurazioni, è anche necessario installare le informazioni sul certificato radice.

In molti casi, è possibile installare il certificato client direttamente nel computer client facendo doppio clic. Tuttavia, per alcune configurazioni client OpenVPN, potrebbe essere necessario estrarre informazioni dal certificato client per completare la configurazione.

  • Per informazioni sull'uso dei certificati, vedere Da punto a sito: Generare certificati.
  • Per visualizzare un certificato client installato, aprire Gestisci certificati utente. Il certificato client viene installato in Utente corrente\Personale\Certificati.

3. Configurare il client VPN

Configurare quindi il client VPN. Selezionare una delle istruzioni seguenti:

Tunnel Client VPN
IKEv2 e SSTP Passaggi del client VPN nativo
OpenVPN Passaggi del client VPN di Azure
OpenVPN Passaggi del client OpenVPN

Passaggi successivi

Per altri passaggi, tornare all'articolo P2S da cui si stava lavorando.