ユーザー VPN P2S クライアントの構成 - 証明書認証 - macOS と iOS

  • [アーティクル]

この記事は、証明書認証を使用する構成のために、ユーザー VPN P2S 経由で macOS または iOS オペレーティング システムから Azure Virtual WAN に接続するのに役立ちます。 OpenVPN トンネル経由で iOS または macOS オペレーティング システムから接続するには、OpenVPN クライアントを使用します。 IKEv2 トンネル経由で macOS オペレーティング システムから接続するには、Mac にネイティブにインストールされている VPN クライアントを使用します。

開始する前に

  • チュートリアル: Azure Virtual WAN を使用して P2S ユーザー VPN 接続を作成する」で必要な構成手順を完了していることを確認します。

  • VPN クライアント構成ファイルの生成: 生成する VPN クライアント構成ファイルは、ダウンロードする Virtual WAN ユーザー VPN プロファイルに固有のものです。 Virtual WAN には、WAN レベル (グローバル) とハブ レベルの 2 種類の構成プロファイルがあります。 ファイルの生成後に P2S VPN 構成に変更があった場合、または別のプロファイルの種類に変更した場合は、新しい VPN クライアント構成ファイルを生成し、接続するすべての VPN クライアントに新しい構成を適用する必要があります。 ユーザー VPN クライアント構成ファイルの生成に関するページを参照してください。

  • 証明書の取得: 以下のセクションでは、証明書が必要です。 クライアント証明書とルート サーバー証明書の両方の情報があることを確認します。 詳細については、証明書の生成とエクスポートに関するページを参照してください。

IKEv2 - ネイティブ クライアント - macOS の手順

VPN クライアント構成パッケージを生成してダウンロードしたら、それを解凍してフォルダーを表示します。 macOS ネイティブ クライアントを構成する場合は、Generic フォルダー内のファイルを使用します。 Generic フォルダーが存在するのは、IKEv2 をゲートウェイに構成した場合です。 ネイティブ VPN クライアントを構成するために必要なすべての情報は、Generic フォルダーにあります。 Generic フォルダーが表示されない場合は、IKEv2 がトンネルの種類の 1 つであることを確認してから、構成パッケージをもう一度ダウンロードします。

Generic フォルダーには、次のファイルが含まれています。

  • VpnSettings.xml。サーバー アドレスやトンネルの種類など、重要な設定が含まれています。
  • VpnServerRoot.cer。P2S 接続の設定中に Azure VPN Gateway を検証するために必要なルート証明書が含まれています。

証明書認証用に Mac 上でネイティブ VPN クライアントを構成するには、次の手順を実行してください。 これらの手順は、Azure に接続する Mac ごとに完了する必要があります。

証明書をインストールする

ルート証明書

  1. Mac にルート証明書ファイル - VpnServerRoot.cer - をコピーします。 証明書をダブルクリックする お使いのオペレーティング システムに応じて、証明書が自動的にインストールされるか、[証明書の追加] ページが表示されます。
  2. [証明書の追加] ページが表示される場合は、[キーチェーン] で矢印をクリックし、ドロップダウンから [ログイン] を選択します。
  3. [追加] をクリックしてファイルをインポートします。

クライアント証明書

クライアント証明書は認証に使用され、必須です。 通常は、クライアント証明書をクリックするだけでインストールできます。 クライアント証明書のインストール方法については、クライアント証明書のインストールに関するページを参照してください。

証明書のインストールを確認する

クライアント証明書とルート証明書の両方がインストールされていることを確認します。

  1. [キーチェーン アクセス] を開きます。
  2. [証明書] タブに移動します。
  3. クライアント証明書とルート証明書の両方がインストールされていることを確認します。

VPN クライアント プロファイルを構成する

  1. [システム環境設定] -> [ネットワーク] に移動します。 [ネットワーク] ページで '+' をクリックして、Azure 仮想ネットワークへの P2S 接続用に、新しい VPN クライアント接続プロファイルを作成します。

    [+] 記号をクリックする [ネットワーク] ウィンドウを示すスクリーンショット。

  2. [インターフェイスの選択] ページで、[インターフェイス] の横にある矢印をクリックします。 ドロップダウンから [VPN] をクリックします。

    インターフェイスを選択するオプションが表示された [ネットワーク] ウィンドウのスクリーンショット。[VPN] が選択されています。

  3. [VPN の種類] では、ドロップダウンから [IKEv2] をクリックします。 [サービス名] フィールドに、プロファイルのフレンドリ名を指定して、[作成] をクリックします。

    [ネットワーク] ウィンドウのスクリーンショット。インターフェイスの選択、VPN の種類の選択、サービス名の入力オプションが表示されています。

  4. ダウンロードした VPN クライアント プロファイルに移動します。 テキスト エディターを使用して Generic フォルダーの VpnSettings.xml ファイルを開きます。 この例では、この VPN クライアント プロファイルが WAN レベルのユーザー VPN プロファイルに接続し、VpnTypes が IKEv2 と OpenVPN であることを確認できます。 2 つの VPN の種類が表示されていますが、この VPN クライアントは IKEv2 経由で接続します。 VpnServer タグの値をコピーします。

    VpnSettings.xml ファイルが開かれているスクリーンショット。VpnServer タグが強調表示されています。

  5. VpnServer タグの値を、プロファイルの [サーバー アドレス][リモート ID] の両方のフィールドに貼り付けます。 [ローカル ID] は空のままにします。 次に、[認証設定] をクリックします。

    サーバー情報をフィールドに貼り付けたことを示すスクリーンショット。

認証設定を構成する

Big Sur 以降

  1. [認証設定] ページの [認証設定] フィールドで、矢印をクリックして [証明書] を選択します。

    [認証設定] のスクリーンショット。[証明書] が選択されています。

  2. [選択] をクリックして、 [Choose An Identity](ID の選択) ページを開きます。

    [選択] のクリックを示すスクリーンショット。

  3. [Choose An Identity](ID の選択) ページでは、選択できる証明書の一覧が表示されます。 使用する証明書が不明な場合は、[証明書の表示] を選択して、各証明書の詳細を確認できます。 適切な証明書をクリックして、[続ける] をクリックします。

    証明書のプロパティを示すスクリーンショット。

  4. [認証設定] ページで適切な証明書が表示されていることを確認し、 [OK] をクリックします。

    [Choose An Identity]\(ID の選択\) ダイアログ ボックスのスクリーンショット。適切な証明書を選択できます。

Catalina

Catalina を使用している場合は、次の認証設定手順を使用します。

  1. [認証設定][なし] を選択します。

  2. [証明書] をクリックし、[選択] をクリックして、前にインストールした適切なクライアント証明書をクリックします。 次に、 [OK] をクリックします

証明書の指定

  1. [ローカル ID] フィールドに、証明書の名前を指定します。 この例では、P2SChildCertMac です。

    ローカル ID の値を示すスクリーンショット。

  2. [適用] をクリックしてすべての変更を保存します。

接続する

  1. [接続] をクリックして、Azure 仮想ネットワークへの P2S 接続を開始します。 "ログイン" キーチェーンのパスワードの入力が必要な場合があります。

    [接続] ボタンを示すスクリーンショット。

  2. 接続が確立されると、状態が [接続済み] と表示され、VPN クライアント アドレス プールから取得した IP アドレスが表示されます。

    接続済みを示すスクリーンショット。

OpenVPN クライアント - macOS の手順

次の例では TunnelBlick を使用します。

重要

OpenVPN プロトコルでは、MacOS 10.13 以上のみがサポートされています。

注意

OpenVPN クライアント version 2.6 はまだサポートされていません。

  1. TunnelBlick などの OpenVPN クライアントをダウンロードしてインストールします。

  2. まだ行っていない場合は、Azure portal から VPN クライアント プロファイル パッケージをダウンロードします。

  3. プロファイルを展開します。 テキスト エディターで OpenVPN フォルダーから vpnconfig.ovpn 構成ファイルを開きます。

  4. P2S クライアント証明書セクションに、base64 の P2S クライアント証明書の公開キーを指定します。 PEM 形式の証明書の場合、.cer ファイルを開き、証明書ヘッダー間にある base64 キーを上書きしてコピーします。

  5. 秘密キー セクションに、base64 の P2S クライアント証明書の秘密キーを指定します。 秘密キーの抽出方法については、OpenVPN サイトにある秘密キーのエクスポートに関するページを参照してください。

  6. その他のフィールドは変更しないでください。 クライアント入力に入力された構成を使用して VPN に接続します。

  7. プロファイル ファイルをダブルクリックして、Tunnelblick にプロファイルを作成します。

  8. アプリケーション フォルダーから Tunnelblick を起動します。

  9. システム トレイの Tunnelblick アイコンをクリックし、[接続] を選択します。

OpenVPN クライアント - iOS の手順

次の例では、アプリ ストアの OpenVPN Connect を使用します。

重要

OpenVPN プロトコルでは、iOS 11.0 以上のみがサポートされています。

注意

OpenVPN クライアント version 2.6 はまだサポートされていません。

  1. App store から OpenVPN クライアント (バージョン 2.4 以降) をインストールします。 バージョン 2.6 はまだサポートされていません。

  2. まだ行っていない場合は、Azure portal から VPN クライアント プロファイル パッケージをダウンロードします。

  3. プロファイルを展開します。 テキスト エディターで OpenVPN フォルダーから vpnconfig.ovpn 構成ファイルを開きます。

  4. P2S クライアント証明書セクションに、base64 の P2S クライアント証明書の公開キーを指定します。 PEM 形式の証明書の場合、.cer ファイルを開き、証明書ヘッダー間にある base64 キーを上書きしてコピーします。

  5. 秘密キー セクションに、base64 の P2S クライアント証明書の秘密キーを指定します。 秘密キーの抽出方法については、OpenVPN サイトにある秘密キーのエクスポートに関するページを参照してください。

  6. その他のフィールドは変更しないでください。

  7. ご利用の iPhone 上のメール アプリで構成されている電子メール アカウントにプロファイル ファイル (ovpn) を電子メールで送信します。

  8. iPhone 上のメール アプリで電子メールを開き、添付ファイルをタップします。

    送信準備ができたメッセージを示すスクリーンショット。

  9. [OpenVPN にコピー] オプションが表示されない場合は、[その他] をタップします。

    [その他] のタップを示すスクリーンショット。

  10. [OpenVPN にコピー] をタップします。

    [OpenVPN にコピー] を示すスクリーンショット。

  11. [プロファイルのインポート] ページで [追加] をタップします。

    [プロファイルのインポート] を示すスクリーンショット。

  12. [インポート済みプロファイル] ページで [追加] をタップします。

    [インポート済みプロファイル] を示すスクリーンショット。

  13. OpenVPN アプリを起動し、[プロファイル] ページでスイッチを右にスライドして接続します。

    スライドして接続を示すスクリーンショット。

次の手順

チュートリアル: Azure Virtual WAN を使用して P2S ユーザー VPN 接続を作成する