다음을 통해 공유

지점 및 사이트 간 VPN 클라이언트 구성: RADIUS - 인증서 인증

  • 아티클

P2S(지점 및 사이트 간) 연결을 통해 가상 네트워크에 연결하려면 연결할 클라이언트 디바이스를 구성해야 합니다. 이 문서는 RADIUS 인증서 인증을 위한 VPN 클라이언트 구성을 만들고 설치하는 데 도움이 됩니다.

RADIUS 인증을 사용하는 경우 인증서 인증, 암호 인증기타 인증 방법 및 프로토콜과 같은 여러 인증 지침이 있습니다. VPN 클라이언트 구성은 각 인증 유형마다 다릅니다. VPN 클라이언트를 구성하려면 필요한 설정을 포함하는 클라이언트 구성 파일을 사용합니다.

참고 항목

2018년 7월 1일부터 Azure VPN 게이트웨이에서 1.1 및 TLS 1.0에 대한 지원이 제거될 예정입니다. VPN Gateway는 TLS 1.2만 지원합니다. 지점 및 사이트 간 연결만 영향을 받으며 사이트 간 연결은 영향을 받지 않습니다. Windows 10 이상 클라이언트에서 지점 및 사이트 간 VPN에 TLS를 사용하는 경우 작업을 취할 필요가 없습니다. Windows 7 및 Windows 8 클라이언트에서 지점-사이트 간 연결에 TLS를 사용하는 경우 VPN Gateway FAQ에서 업데이트 지침을 참조하세요.

워크플로

P2S RADIUS 인증에 대한 구성 워크플로는 다음과 같습니다.

  1. P2S 연결을 위한 Azure VPN 게이트웨이를 설정합니다.

  2. 인증을 위한 RADIUS 서버를 설정합니다.

  3. 선택한 인증 옵션에 대한 VPN 클라이언트 구성을 가져오고 이 구성을 사용하여 VPN 클라이언트를 설정합니다(이 문서).

  4. P2S 구성을 완료하고 연결합니다.

Important

VPN 프로토콜 유형 또는 인증 유형 등 VPN 클라이언트 구성 프로필을 생성한 후 지점 및 사이트 간 구성을 변경한 경우, 새 VPN 클라이언트 구성을 생성하고 사용자 디바이스에 설치해야 합니다.

EAP-TLS 프로토콜을 사용하는 RADIUS 인증서 인증을 위해 VPN 클라이언트 구성 파일을 만들 수 있습니다. 일반적으로 VPN에 대해 사용자를 인증할 때는 엔터프라이즈에서 발급한 인증서를 사용합니다. 연결하는 모든 사용자의 디바이스에 인증서가 설치되어 있고 RADIUS 서버가 인증서의 유효성을 검사할 수 있는지 확인합니다.

명령에서 -AuthenticationMethodEapTls입니다. 인증서를 인증하는 동안 클라이언트가 인증서의 유효성을 검사하여 RADIUS 서버의 유효성을 검사합니다. -RadiusRootCert는 RADIUS 서버의 유효성을 검사하는 데 사용하는 루트 인증서를 포함하는 .cer 파일입니다.

각 VPN 클라이언트 디바이스는 설치된 클라이언트 인증서를 요구합니다. Windows 디바이스가 클라이언트 인증서 여러 개를 포함하는 경우도 있습니다. 인증하는 동안 이 때문에 모든 인증서를 나열하는 팝업 대화 상자가 표시될 수 있습니다. 이때 사용자는 사용할 인증서를 선택해야 합니다. 클라이언트 인증서가 연결해야 하는 루트 인증서를 지정하여 올바른 인증서를 필터링할 수 있습니다.

-ClientRootCert는 루트 인증서를 포함하는 .cer 파일입니다. 이는 선택적 매개 변수입니다. 연결하려는 디바이스에 클라이언트 인증서가 하나만 있으면 이 매개 변수를 지정할 필요가 없습니다.

VPN 클라이언트 구성 파일 생성

Azure Portal 또는 Azure PowerShell를 사용하여 VPN 클라이언트 구성 파일을 생성할 수 있습니다.

Azure Portal

  1. 가상 네트워크 게이트웨이로 이동합니다.

  2. 지점 및 사이트 간 구성을 클릭합니다.

  3. VPN 클라이언트 다운로드를 클릭합니다.

  4. 클라이언트를 선택하고 요청된 정보를 입력합니다. 구성에 따라 Radius 루트 인증서를 포털에 업로드하도록 요청될 수 있습니다. 필수 Base-64로 인코딩된 X.509(.CER) 형식으로 인증서를 내보내고 메모장과 같은 텍스트 편집기를 사용하여 엽니다. 다음 예제와 비슷한 텍스트가 표시됩니다. 파란색으로 강조 표시된 섹션에는 복사하여 Azure에 업로드하는 정보가 포함되어 있습니다.

    메모장에서 열려 인증서 데이터가 강조 표시된 CER 파일을 보여 주는 스크린샷

    파일이 예제와 비슷하지 않은 경우 일반적으로 파일을 Base-64로 인코딩된 X.509(.CER) 형식으로 내보내지 않았음을 의미합니다. 또한 메모장 이외의 다른 텍스트 편집기를 사용하는 경우 일부 편집기에서 의도하지 않은 형식을 백그라운드로 도입할 수 있습니다. 이 경우 인증서의 텍스트를 Azure로 업로드할 때 문제가 발생할 수 있습니다.

  5. 다운로드를 클릭하여 .zip 파일을 생성합니다.

  6. .zip 파일은 일반적으로 다운로드 폴더에 다운로드됩니다.

Azure PowerShell

인증서 인증에 사용할 VPN 클라이언트 구성 파일을 생성합니다. 다음 명령을 사용하여 VPN 클라이언트 구성 파일을 생성할 수 있습니다.

New-AzVpnClientConfiguration -ResourceGroupName "TestRG" -Name "VNet1GW" -AuthenticationMethod "EapTls" -RadiusRootCert <full path name of .cer file containing the RADIUS root> -ClientRootCert <full path name of .cer file containing the client root> | fl

명령을 실행하면 링크가 반환됩니다. 링크를 복사하여 웹 브라우저에 붙여넣고 VpnClientConfiguration.zip을 다운로드합니다. 파일의 압축을 풀어 다음 폴더를 확인합니다.

  • WindowsAmd64WindowsX86: 이 폴더에는 Windows 64비트 및 32비트 설치 관리자 패키지가 각각 포함되어 있습니다.
  • GenericDevice: 이 폴더에는 자체 VPN 클라이언트 구성을 만드는 데 사용되는 일반 정보가 포함되어 있습니다.

클라이언트 구성 파일을 이미 만든 경우 Get-AzVpnClientConfiguration cmdlet을 사용하여 검색할 수 있습니다. 단, VPN 프로토콜 유형 또는 인증 유형 등 P2S VPN 구성을 변경하면 구성이 자동으로 업데이트되지 않습니다. New-AzVpnClientConfiguration cmdlet을 실행하여 새 구성 다운로드를 만들어야 합니다.

이전에 생성된 클라이언트 구성 파일을 검색하려면 다음 명령을 사용합니다.

Get-AzVpnClientConfiguration -ResourceGroupName "TestRG" -Name "VNet1GW" | fl

Windows 네이티브 VPN 클라이언트

IKEv2 또는 SSTP를 구성한 경우 네이티브 VPN 클라이언트를 사용할 수 있습니다.

  1. 구성 패키지를 선택하고 클라이언트 디바이스에 설치합니다. 64비트 프로세서 아키텍처의 경우 VpnClientSetupAmd64 설치 관리자 패키지를 선택합니다. 32비트 프로세서 아키텍처의 경우 VpnClientSetupX86 설치 관리자 패키지를 선택합니다. SmartScreen 팝업이 표시되면 자세한 정보>실행을 선택합니다. 다른 클라이언트 컴퓨터에 설치하기 위해 패키지를 저장할 수도 있습니다.

  2. 인증을 위해 각 클라이언트에 클라이언트 인증서가 필요합니다. 클라이언트 인증서를 설치합니다. 클라이언트 인증서에 대한 자세한 내용은 지점 및 사이트 간 연결을 위한 클라이언트 인증서를 참조하세요. 생성된 인증서를 설치하려면 Windows 클라이언트에 인증서 설치를 참조하세요.

  3. 클라이언트 컴퓨터에서 네트워크 설정으로 이동하고 VPN을 선택합니다. VPN 연결에서 연결되는 가상 네트워크의 이름을 표시합니다.

Mac(macOS) 네이티브 VPN 클라이언트

Azure 가상 네트워크에 연결하는 모든 Mac 디바이스에 별도의 프로파일을 만들어야 합니다. 이러한 디바이스를 프로필에 지정하려면 인증을 위한 사용자 인증서가 필요하기 때문입니다. 또한 구성에 IKEv2 터널 유형을 포함하는 경우에만 macOS 네이티브 VPN 클라이언트를 사용할 수 있습니다. Generic 폴더에는 프로필을 만드는 데 필요한 모든 정보가 들어 있습니다.

  • VpnSettings.xml은 서버 주소 및 터널 유형 같은 중요한 설정을 포함합니다.
  • VpnServerRoot.cer은 P2S 연결 설정 중에 VPN Gateway 유효성을 검사하는 데 필요한 루트 인증서를 포함합니다.
  • RadiusServerRoot.cer은 인증하는 동안 RADIUS 서버 유효성을 검사하는 데 필요한 루트 인증서를 포함합니다.

다음 단계에 따라 인증서 인증을 위해 Mac에서 기본 VPN 클라이언트를 구성합니다.

  1. VpnServerRootRadiusServerRoot 루트 인증서를 Mac으로 가져옵니다. 각 파일을 Mac에 복사하고 두 번 클릭한 다음, 추가를 선택합니다.

  2. 인증을 위해 각 클라이언트에 클라이언트 인증서가 필요합니다. 클라이언트 디바이스에 클라이언트 인증서를 설치합니다.

  3. 네트워크 기본 설정에서 네트워크 대화 상자를 엽니다. +를 선택하여 Azure 가상 네트워크에 P2S 연결을 위해 새 VPN 클라이언트 연결 프로필을 만듭니다.

    인터페이스 값은 VPN이고, VPN 유형 값은 IKEv2입니다. 서비스 이름 상자에 프로필 이름을 지정한 다음, 만들기를 선택하여 VPN 클라이언트 연결 프로필을 만듭니다.

  4. Generic 폴더의 VpnSettings.xml 파일에서 VpnServer 태그 값을 복사합니다. 이 값을 프로필의 서버 주소원격 ID 상자에 붙여넣습니다. 로컬 ID 상자는 비워둡니다.

  5. 인증 설정을 선택하고 인증서를 선택합니다.

  6. 선택을 클릭하여 인증에 사용할 인증서를 선택합니다.

  7. ID 선택은 선택할 수 있는 인증서의 목록을 표시합니다. 적절한 인증서를 선택한 다음, 계속을 선택합니다.

  8. 로컬 ID 상자에 인증서 이름(6단계에서 사용한 이름)을 지정합니다. 이 예에서는 ikev2Client.com입니다. 그런 다음, 적용 단추를 선택하여 변경 내용을 저장합니다.

  9. 네트워크 대화 상자에서 적용을 선택하여 변경 내용을 모두 저장합니다. 그런 다음, 연결을 선택하여 Azure 가상 네트워크에 대한 P2S 연결을 시작합니다.

다음 단계

P2S 구성 문서로 돌아가서 연결을 확인합니다.

P2S 문제 해결 정보는 Azure 지점 및 사이트 간 연결 문제 해결을 참조하세요.