Бөлісу құралы:


Настройка собственного VPN-клиента для подключений проверки подлинности сертификатов P2S — Windows

Если VPN-шлюз типа "точка — сеть" (P2S) настроен для использования проверки подлинности IKEv2/SSTP и сертификата, вы можете подключиться к виртуальной сети с помощью собственного VPN-клиента, который входит в операционную систему Windows. В этой статье описаны действия по настройке собственного VPN-клиента и подключению к виртуальной сети.

Подготовка к работе

Перед началом действий по настройке клиента убедитесь, что вы находитесь в правильной статье конфигурации VPN-клиента. В следующей таблице показаны статьи о конфигурации, доступные для VPN-шлюз VPN-клиентов типа "точка — сеть". Шаги различаются в зависимости от типа проверки подлинности, типа туннеля и клиентской ОС.

Проверка подлинности Тип туннеля ОС клиента VPN-клиент
Сертификат
IKEv2, SSTP Windows Собственный VPN-клиент
IKEv2 macOS Собственный VPN-клиент
IKEv2 Linux strongSwan
OpenVPN Windows VPN-клиент Azure
Клиент OpenVPN версии 2.x
Клиент OpenVPN версии 3.x
OpenVPN macOS Клиент OpenVPN
OpenVPN iOS Клиент OpenVPN
OpenVPN Linux VPN-клиент Azure
Клиент OpenVPN
Microsoft Entra ID
OpenVPN Windows VPN-клиент Azure
OpenVPN macOS VPN-клиент Azure
OpenVPN Linux VPN-клиент Azure

Необходимые компоненты

В этой статье предполагается, что вы уже выполнили следующие предварительные требования:

  • Вы создали и настроили VPN-шлюз для проверки подлинности сертификата типа "точка — сеть" и типа туннеля IKEv2/SSTP. Инструкции по настройке параметров сервера для подключений VPN-шлюз P2S — проверка подлинности на основе сертификата.
  • Вы создали и скачали файлы конфигурации VPN-клиента. Инструкции см. в разделе "Создание файлов конфигурации профиля VPN-клиента".
  • Вы можете создать сертификаты клиента или получить соответствующие сертификаты клиента, необходимые для проверки подлинности.

Рабочий процесс

Рабочий процесс для этой статьи выглядит следующим образом:

  1. Создайте и установите сертификаты клиента, если вы еще этого не сделали.
  2. Просмотрите файлы конфигурации профиля VPN-клиента, содержащиеся в созданном пакете конфигурации профиля VPN-клиента.
  3. Настройте собственный VPN-клиент, который уже установлен на компьютере Windows.
  4. Подключитесь к Azure.

Создание и установка сертификатов клиента

Для проверки подлинности сертификата сертификат должен быть установлен на каждом клиентском компьютере. Сертификат клиента, который вы хотите использовать, должен экспортироваться с закрытым ключом и содержать все сертификаты в пути сертификации. Кроме того, для некоторых конфигураций также потребуется установить сведения о корневом сертификате.

Во многих случаях сертификат клиента можно установить непосредственно на клиентском компьютере, дважды щелкнув его. Однако для некоторых конфигураций клиента OpenVPN может потребоваться извлечь сведения из сертификата клиента, чтобы завершить настройку.

  • Сведения о работе с сертификатами см . на сайте": создание сертификатов.
  • Чтобы просмотреть установленный сертификат клиента, откройте раздел Управление сертификатами пользователей. Сертификат клиента устанавливается в каталог Current User\Personal\Certificates.

Установка сертификата клиента

Каждому компьютеру требуется сертификат клиента для проверки подлинности. Если сертификат клиента еще не установлен на локальном компьютере, его можно установить, выполнив следующие действия.

  1. Найдите сертификат клиента. Дополнительные сведения о сертификатах клиента см. в разделе "Установка сертификатов клиента".
  2. Установите сертификат клиента. Как правило, это можно сделать, дважды щелкнув файл сертификата и указав пароль (при необходимости).

Просмотр файлов конфигурации

Пакет конфигурации профиля VPN-клиента содержит определенные папки. Файлы в папках содержат параметры, необходимые для настройки профиля VPN-клиента на клиентском компьютере. Файлы и параметры, которые они содержат, относятся к VPN-шлюзу, а тип проверки подлинности и туннелирование VPN-шлюза настроен для использования.

Найдите и распакуйте созданный пакет конфигурации профиля VPN-клиента. Для проверки подлинности сертификата и IKEv2/SSTP вы увидите следующие файлы:

  • WindowsAmd64 и WindowsX86 содержат 64-разрядные и 32-разрядные пакеты установщика Windows соответственно. Пакет установщика WindowsAmd64 предназначен для всех поддерживаемых 64-разрядных клиентов Windows, а не только AMD.
  • Универсальный содержит общие сведения, используемые для создания собственной конфигурации VPN-клиента. Эта папка доступна, если для шлюза настроены протоколы IKEv2 и SSTP+IKEv2. Если настроен только протокол SSTP, эта папка отсутствует.

Настройка профиля VPN-клиента

Чтобы подключиться, сначала необходимо настроить VPN-клиент с необходимыми параметрами. Для этого настройте профиль VPN-клиента с помощью параметров, содержащихся в пакете конфигурации VPN-клиента. Параметры пакета относятся к VPN-шлюзу, к которому вы подключаетесь.

На каждом клиентском компьютере Windows можно использовать один и тот же пакет конфигурации VPN-клиента, если его версия соответствует архитектуре клиента. Список поддерживаемых клиентских операционных систем см. в разделе с описанием подключений типа "точка — сеть" в статье VPN-шлюз: вопросы и ответы.

Примечание.

Вам потребуются права администратора для клиентского компьютера Windows, с которого устанавливается подключение.

Установка пакета конфигурации VPN-клиента

  1. Выберите файлы конфигурации VPN-клиента, которые соответствуют архитектуре компьютера Windows. Для 64-разрядной архитектуры процессора выберите пакет установщика VpnClientSetupAmd64. Для 32-разрядной архитектуры процессора выберите пакет установщика VpnClientSetupX86.
  2. Дважды щелкните пакет, чтобы установить его. При появлении всплывающего окна SmartScreen щелкните Подробнее, а затем Выполнить в любом случае.

Connect

Подключитесь к виртуальной сети через VPN типа "точка — сеть".

  1. Перейдите к параметрам VPN и найдите созданное VPN-подключение . Это то же имя, что и виртуальная сеть. Нажмите Подключиться. Может появиться всплывающее сообщение. В таком случае выберите Продолжить, чтобы использовать более высокий уровень привилегий.
  2. На странице состояния подключения щелкните Подключить. Если появится окно Выбор сертификата, убедитесь в том, что отображается сертификат клиента, с помощью которого вы хотите подключиться к сети. Если это не так, используйте стрелку раскрывающегося списка, чтобы выбрать правильный сертификат, а затем нажмите кнопку "ОК".

Следующие шаги

Дальнейшие действия с любыми дополнительными параметрами сервера или подключения. См . инструкции по настройке "точка — сеть".