P2S VPN クライアントの構成: 証明書認証 - ネイティブ VPN クライアント - macOS
ポイント対サイト (P2S) VPN Gateway が IKEv2 と証明書認証を使用するように構成されている場合、macOS オペレーティング システムの一部であるネイティブ VPN クライアントを使用して、仮想ネットワークに接続できます。 この記事では、ネイティブ VPN クライアントを構成し、仮想ネットワークに接続する手順について説明します。
開始する前に
クライアントの構成を開始する前に、お読みになっている記事が適切かをご確認ください。 次の表は、Azure VPN Gateway P2S VPN クライアントで使用できる構成記事を示しています。 手順は、認証の種類、トンネルの種類、クライアント OS によって異なります。
| 認証 | トンネルの種類 | クライアントの OS | VPN client |
|---|---|---|---|
| 証明書 | |||
| IKEv2、SSTP | Windows | ネイティブ VPN クライアント | |
| IKEv2 | macOS | ネイティブ VPN クライアント | |
| IKEv2 | Linux | strongSwan | |
| OpenVPN | Windows | Azure VPN クライアント OpenVPN クライアント |
|
| OpenVPN | macOS | OpenVPN クライアント | |
| OpenVPN | iOS | OpenVPN クライアント | |
| OpenVPN | Linux | Azure VPN クライアント OpenVPN クライアント |
|
| Microsoft Entra ID | |||
| OpenVPN | Windows | Azure VPN クライアント | |
| OpenVPN | macOS | Azure VPN クライアント | |
| OpenVPN | Linux | Azure VPN クライアント |
前提条件
この記事では、次の前提条件が既に実行されていることを前提としています。
- ポイント対サイト証明書認証と OpenVPN トンネルの種類用に VPN ゲートウェイを作成して構成しました。 手順については、「P2S VPN Gateway 接続用にサーバー設定を構成する - 証明書認証」を参照してください。
- VPN クライアント構成ファイルを生成し、ダウンロードした。 手順については、「VPN クライアント プロファイル構成ファイルを生成する」を参照してください。
- クライアント証明書を生成できる、または認証に必要な適切なクライアント証明書を取得できる。
ワークフロー
この記事のワークフローは次のとおりです。
- クライアント証明書をまだ生成していない場合は生成する。
- 生成した VPN クライアント プロファイル構成パッケージに含まれている VPN クライアント プロファイル構成ファイルを表示する。
- 証明書をインストールする。
- OS に既にインストールされているネイティブ VPN クライアントを構成する。
- Azure に接続します。
証明書の生成
証明書認証の場合は、1 つのクライアント証明書を各クライアント コンピューターにインストールする必要があります。 使用するクライアント証明書は秘密キーを含めてエクスポートし、証明書パスにすべての証明書が含まれている必要があります。 さらに、一部の構成では、ルート証明書情報もインストールする必要があります。
証明書の操作の詳細については、Linux でのポイント対サイトの証明書生成に関するページを参照してください。
VPN クライアント プロファイル構成ファイルを表示する
VPN クライアントに必要なすべての構成設定は、VPN クライアント プロファイル構成 zip ファイルに含まれています。 PowerShell または Azure portal を使用して、クライアント プロファイル構成ファイルを生成できます。 どちらの方法でも、同じ zip ファイルが返されます。
VPN クライアント プロファイル構成ファイルは、仮想ネットワークの P2S VPN ゲートウェイ構成に特化しています。 ファイルを生成した後に、P2S VPN 構成に変更があった場合は (VPN プロトコルの種類や認証の種類の変更など)、新しい VPN クライアント プロファイル構成ファイルを生成し、接続するすべての VPN クライアントに新しい構成を適用する必要があります。
そのファイルを解凍して、フォルダーを表示します。 macOS ネイティブ クライアントを構成する場合は、Generic フォルダー内のファイルを使用します。 Generic フォルダーが存在するのは、IKEv2 をゲートウェイに構成した場合です。 ネイティブ VPN クライアントを構成するために必要なすべての情報は、Generic フォルダーにあります。 Generic フォルダーが表示されない場合は、次の項目を確認してから、もう一度 zip ファイルを生成します。
- 構成のトンネルの種類を確認します。 IKEv2 がトンネルの種類として選択されていない可能性があります。
- VPN ゲートウェイで、SKU が Basic ではないかを確認します。 VPN Gateway Basic SKU は IKEv2 をサポートしていません。 macOS クライアントを接続する場合は、適切な SKU とトンネルの種類を使用してゲートウェイを再構築する必要があります。
Generic フォルダーには、次のファイルが含まれています。
- VpnSettings.xml。サーバー アドレスやトンネルの種類など、重要な設定が含まれています。
- VpnServerRoot.cer。P2S 接続の設定中に Azure VPN Gateway を検証するために必要なルート証明書が含まれています。
証明書をインストールする
ルート証明書
- Mac にルート証明書ファイル - VpnServerRoot.cer - をコピーします。 証明書をダブルクリックする お使いのオペレーティング システムに応じて、証明書が自動的にインストールされるか、[証明書の追加] ページが表示されます。
- [証明書の追加] ページが表示される場合は、[キーチェーン] で矢印をクリックし、ドロップダウンから [ログイン] を選択します。
- [追加] をクリックしてファイルをインポートします。
クライアント証明書
クライアント証明書は認証に使用され、必須です。 通常は、クライアント証明書をクリックするだけでインストールできます。 クライアント証明書のインストール方法については、クライアント証明書のインストールに関するページを参照してください。
証明書のインストールを確認する
クライアント証明書とルート証明書の両方がインストールされていることを確認します。
- [キーチェーン アクセス] を開きます。
- [証明書] タブに移動します。
- クライアント証明書とルート証明書の両方がインストールされていることを確認します。
VPN クライアント プロファイルを構成する
[システム環境設定] -> [ネットワーク] に移動します。 [ネットワーク] ページで '+' をクリックして、Azure 仮想ネットワークへの P2S 接続用に、新しい VPN クライアント接続プロファイルを作成します。
![[ネットワーク] ウィンドウのスクリーンショット。[+] をクリックします。](media/point-to-site-vpn-client-cert-mac/mac/new.png)
[インターフェイスの選択] ページで、[インターフェイス] の横にある矢印をクリックします。 ドロップダウンから [VPN] をクリックします。
![インターフェイスを選択するオプションが表示された [ネットワーク] ウィンドウのスクリーンショット。[VPN] が選択されています。](media/point-to-site-vpn-client-cert-mac/mac/vpn.png)
[VPN の種類] では、ドロップダウンから [IKEv2] をクリックします。 [サービス名] フィールドに、プロファイルのフレンドリ名を指定して、[作成] をクリックします。
![[ネットワーク] ウィンドウのスクリーンショット。インターフェイスの選択、VPN の種類の選択、サービス名の入力オプションが表示されています。](media/point-to-site-vpn-client-cert-mac/mac/service-name.png)
ダウンロードした VPN クライアント プロファイルに移動します。 テキスト エディターを使用して Generic フォルダーの VpnSettings.xml ファイルを開きます。 この例では、トンネルの種類とサーバー アドレスに関する情報が表示されています。 2 つの VPN の種類が表示されていますが、この VPN クライアントでは IKEv2 経由で接続します。 VpnServer タグの値をコピーします。
VpnServer タグの値を、プロファイルの [サーバー アドレス] と [リモート ID] の両方のフィールドに貼り付けます。 [ローカル ID] は空のままにします。 次に、[認証設定] をクリックします。
![[ネットワーク] ウィンドウのスクリーンショット。[+] をクリックします。](media/point-to-site-vpn-client-cert-mac/mac/new.png#lightbox)
![インターフェイスを選択するオプションが表示された [ネットワーク] ウィンドウのスクリーンショット。[VPN] が選択されています。](media/point-to-site-vpn-client-cert-mac/mac/vpn.png#lightbox)
![[ネットワーク] ウィンドウのスクリーンショット。インターフェイスの選択、VPN の種類の選択、サービス名の入力オプションが表示されています。](media/point-to-site-vpn-client-cert-mac/mac/service-name.png#lightbox)
認証設定を構成する
認証設定を構成します。
[認証設定] ページの [認証設定] フィールドで、矢印をクリックして [証明書] を選択します。
![[認証設定] のスクリーンショット。[証明書] が選択されています。](media/point-to-site-vpn-client-cert-mac/monterey/certificate.png)
[選択] をクリックして、 [Choose An Identity](ID の選択) ページを開きます。
![[選択] のクリックを示すスクリーンショット。](media/point-to-site-vpn-client-cert-mac/monterey/select.png)
[Choose An Identity](ID の選択) ページでは、選択できる証明書の一覧が表示されます。 使用する証明書が不明な場合は、[証明書の表示] を選択して、各証明書の詳細を確認できます。 適切な証明書をクリックして、[続ける] をクリックします。
[認証設定] ページで適切な証明書が表示されていることを確認し、 [OK] をクリックします。
![[Choose An Identity]\(ID の選択\) ダイアログ ボックスのスクリーンショット。適切な証明書を選択できます。](media/point-to-site-vpn-client-cert-mac/monterey/verify.png)
![[認証設定] のスクリーンショット。[証明書] が選択されています。](media/point-to-site-vpn-client-cert-mac/monterey/certificate.png#lightbox)
![[選択] のクリックを示すスクリーンショット。](media/point-to-site-vpn-client-cert-mac/monterey/select.png#lightbox)
![[Choose An Identity]\(ID の選択\) ダイアログ ボックスのスクリーンショット。適切な証明書を選択できます。](media/point-to-site-vpn-client-cert-mac/monterey/verify.png#lightbox)
証明書の指定
[ローカル ID] フィールドに、証明書の名前を指定します。 この例では、P2SChildCertMac です。
[適用] をクリックしてすべての変更を保存します。
接続する
[接続] をクリックして、Azure 仮想ネットワークへの P2S 接続を開始します。 "ログイン" キーチェーンのパスワードの入力が必要な場合があります。
![[接続] ボタンを示すスクリーンショット。](media/point-to-site-vpn-client-cert-mac/mac/select-connect.png)
接続が確立されると、状態が [接続済み] と表示され、VPN クライアント アドレス プールから取得した IP アドレスが表示されます。
![[接続] ボタンを示すスクリーンショット。](media/point-to-site-vpn-client-cert-mac/mac/select-connect.png#lightbox)
次のステップ
引き続き、追加のサーバーや接続の設定を行います。 「ポイント対サイトの構成の手順」を参照してください。
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示