Konfigurowanie klientów sieci VPN typu punkt-lokacja: uwierzytelnianie certyfikatu — macOS i iOS

  • Artykuł

Ten artykuł ułatwia nawiązywanie połączenia z siecią wirtualną platformy Azure przy użyciu uwierzytelniania punkt-lokacja (P2S) i bramy VPN Gateway. W tym artykule znajduje się wiele zestawów kroków, w zależności od typu tunelu wybranego dla konfiguracji połączenia punkt-lokacja, systemu operacyjnego i klienta sieci VPN używanego do nawiązywania połączenia.

Podczas pracy z uwierzytelnianiem certyfikatu należy zwrócić uwagę na następujące kwestie:

  • W przypadku typu tunelu IKEv2 można nawiązać połączenie przy użyciu klienta sieci VPN zainstalowanego natywnie w systemie macOS.

  • W przypadku typu tunelu OpenVPN można użyć klienta OpenVPN.

  • Klient sieci VPN platformy Azure nie jest dostępny dla systemów macOS i iOS podczas korzystania z uwierzytelniania certyfikatu, nawet jeśli wybrano typ tunelu OpenVPN dla konfiguracji P2S.

Zanim rozpoczniesz

Przed rozpoczęciem sprawdź, czy jesteś w odpowiednim artykule. W poniższej tabeli przedstawiono artykuły konfiguracji dostępne dla klientów sieci VPN P2S usługi Azure VPN Gateway. Kroki różnią się w zależności od typu uwierzytelniania, typu tunelu i systemu operacyjnego klienta.

Uwierzytelnianie Typ tunelu Generowanie plików konfiguracji Konfigurowanie klienta sieci VPN
Certyfikat platformy Azure IKEv2, SSTP Windows Natywny klient sieci VPN
Certyfikat platformy Azure OpenVPN Windows - Klient OpenVPN
- Klient sieci VPN platformy Azure
Certyfikat platformy Azure IKEv2, OpenVPN macOS-iOS macOS-iOS
Certyfikat platformy Azure IKEv2, OpenVPN Linux Linux
Microsoft Entra ID OpenVPN (SSL) Windows Windows
Microsoft Entra ID OpenVPN (SSL) macOS macOS
RADIUS — certyfikat - Artykuł Artykuł
RADIUS — hasło - Artykuł Artykuł
RADIUS — inne metody - Artykuł Artykuł

Ważne

Od 1 lipca 2018 r. z usługi Azure VPN Gateway zostanie usunięta obsługa techniczna protokołów TLS 1.0 i 1.1. Usługa VPN Gateway będzie obsługiwać tylko protokół TLS 1.2. Dotyczy to tylko połączeń punkt-lokacja; Nie będzie to miało wpływu na połączenia typu lokacja-lokacja. Jeśli używasz protokołu TLS dla sieci VPN typu punkt-lokacja na klientach z systemem Windows 10 lub nowszym, nie musisz podejmować żadnych działań. Jeśli używasz protokołu TLS dla połączeń punkt-lokacja na klientach z systemami Windows 7 i Windows 8, zapoznaj się z często zadawanymi pytaniami dotyczącymi usługi VPN Gateway, aby uzyskać instrukcje dotyczące aktualizacji.

Generowanie certyfikatów

W przypadku uwierzytelniania certyfikatu należy zainstalować certyfikat klienta na każdym komputerze klienckim. Certyfikat klienta, którego chcesz użyć, musi zostać wyeksportowany z kluczem prywatnym i musi zawierać wszystkie certyfikaty w ścieżce certyfikacji. Ponadto w przypadku niektórych konfiguracji należy również zainstalować informacje o certyfikacie głównym.

Aby uzyskać informacje na temat pracy z certyfikatami, zobacz Punkt-lokacja: Generowanie certyfikatów — Linux.

Generowanie plików konfiguracji klienta sieci VPN

Wszystkie niezbędne ustawienia konfiguracji dla klientów sieci VPN są zawarte w pliku zip konfiguracji profilu klienta sieci VPN. Pliki konfiguracji profilu klienta można wygenerować przy użyciu programu PowerShell lub witryny Azure Portal. Każda metoda zwraca ten sam plik zip.

Wygenerowane pliki konfiguracji profilu klienta sieci VPN są specyficzne dla konfiguracji bramy sieci VPN punkt-lokacja dla sieci wirtualnej. Jeśli po wygenerowaniu plików zostaną wprowadzone jakiekolwiek zmiany w konfiguracji sieci VPN typu punkt-lokacja, takie jak zmiany typu protokołu sieci VPN lub typu uwierzytelniania, należy wygenerować nowe pliki konfiguracji profilu klienta sieci VPN i zastosować nową konfigurację do wszystkich klientów sieci VPN, z którymi chcesz nawiązać połączenie. Aby uzyskać więcej informacji na temat połączeń typu punkt-lokacja, zobacz About point-to-site VPN (Informacje o sieci VPN typu punkt-lokacja).

Aby wygenerować pliki przy użyciu witryny Azure Portal:

  1. W witrynie Azure Portal przejdź do bramy sieci wirtualnej dla sieci wirtualnej, z którą chcesz nawiązać połączenie.

  2. Na stronie bramy sieci wirtualnej wybierz pozycję Konfiguracja połączenia punkt-lokacja, aby otworzyć stronę konfiguracji punkt-lokacja.

  3. W górnej części strony konfiguracja punkt-lokacja wybierz pozycję Pobierz klienta sieci VPN. Nie pobiera to oprogramowania klienckiego sieci VPN, generuje pakiet konfiguracji używany do konfigurowania klientów sieci VPN. Wygenerowanie pakietu konfiguracji klienta trwa kilka minut. W tym czasie może nie być widocznych żadnych wskazówek, dopóki pakiet nie zostanie wygenerowany.

    Zrzut ekranu przedstawiający stronę konfiguracji punkt-lokacja.

  4. Po wygenerowaniu pakietu konfiguracji przeglądarka wskazuje, że plik zip konfiguracji klienta jest dostępny. Ma ona taką samą nazwę jak brama.

  5. Rozpakuj plik, aby wyświetlić foldery. Użyjesz niektórych lub wszystkich tych plików do skonfigurowania klienta sieci VPN. Wygenerowane pliki odpowiadają ustawieniu uwierzytelniania i typu tunelu skonfigurowanym na serwerze punkt-lokacja.

Następnie skonfiguruj klienta sieci VPN. Wybierz elementy z następujących instrukcji:

IKEv2: natywny klient sieci VPN — kroki systemu macOS

Poniższe sekcje ułatwiają skonfigurowanie natywnego klienta sieci VPN, który jest już zainstalowany w ramach systemu macOS. Ten typ połączenia działa tylko za pośrednictwem protokołu IKEv2.

Wyświetlanie plików

Rozpakuj plik, aby wyświetlić foldery. Podczas konfigurowania klientów natywnych systemu macOS pliki są używane w folderze Generic . Folder Ogólny jest obecny, jeśli protokół IKEv2 został skonfigurowany w bramie. Wszystkie informacje potrzebne do skonfigurowania natywnego klienta sieci VPN można znaleźć w folderze Generic . Jeśli nie widzisz folderu Generic, sprawdź następujące elementy, a następnie ponownie wygeneruj plik zip.

  • Sprawdź typ tunelu dla konfiguracji. Prawdopodobnie protokół IKEv2 nie został wybrany jako typ tunelu.
  • W bramie sieci VPN sprawdź, czy jednostka SKU nie jest podstawowa. Podstawowa jednostka SKU bramy sieci VPN nie obsługuje protokołu IKEv2. Następnie wybierz pozycję IKEv2 i ponownie wygeneruj plik zip, aby pobrać folder Generic.

Folder Generic zawiera następujące pliki.

  • Vpn Ustawienia.xml, która zawiera ważne ustawienia, takie jak adres serwera i typ tunelu.
  • VpnServerRoot.cer, który zawiera certyfikat główny wymagany do zweryfikowania bramy sieci VPN platformy Azure podczas konfigurowania połączenia punkt-lokacja.

Wykonaj poniższe kroki, aby skonfigurować natywnego klienta sieci VPN na komputerze Mac na potrzeby uwierzytelniania certyfikatu. Te kroki należy wykonać na każdym komputerze Mac, który chcesz nawiązać połączenie z platformą Azure.

Instalowanie certyfikatów

Certyfikat główny

  1. Skopiuj do pliku certyfikatu głównego — VpnServerRoot.cer — na komputer Mac. Kliknij dwukrotnie certyfikat. W zależności od systemu operacyjnego certyfikat zostanie automatycznie zainstalowany lub zostanie wyświetlona strona Dodawanie certyfikatów .
  2. Jeśli zostanie wyświetlona strona Dodawanie certyfikatów , w polu Pęku kluczy kliknij strzałki i wybierz pozycję zaloguj się z listy rozwijanej.
  3. Kliknij przycisk Dodaj , aby zaimportować plik.

Certyfikat klienta

Certyfikat klienta jest używany do uwierzytelniania i jest wymagany. Zazwyczaj można po prostu kliknąć certyfikat klienta, aby go zainstalować. Aby uzyskać więcej informacji na temat sposobu instalowania certyfikatu klienta, zobacz Instalowanie certyfikatu klienta.

Weryfikowanie instalacji certyfikatu

Sprawdź, czy zainstalowano zarówno klienta, jak i certyfikat główny.

  1. Otwórz pozycję Dostęp pęku kluczy.
  2. Przejdź do karty Certyfikaty .
  3. Sprawdź, czy zainstalowano zarówno klienta, jak i certyfikat główny.

Konfigurowanie profilu klienta sieci VPN

  1. Przejdź do obszaru Preferencje systemowe —> sieć. Na stronie Sieć kliknij pozycję "+" , aby utworzyć nowy profil połączenia klienta sieci VPN dla połączenia punkt-lokacja z siecią wirtualną platformy Azure.

    Zrzut ekranu przedstawiający okno Sieć, aby kliknąć pozycję +.

  2. Na stronie Wybieranie interfejsu kliknij strzałki obok pozycji Interfejs:. Z listy rozwijanej kliknij pozycję SIEĆ VPN.

    Zrzut ekranu przedstawia okno Sieć z opcją wybrania interfejsu, wybrana jest sieć VPN.

  3. W polu Typ sieci VPN z listy rozwijanej kliknij pozycję IKEv2. W polu Nazwa usługi określ przyjazną nazwę profilu, a następnie kliknij pozycję Utwórz.

    Zrzut ekranu przedstawia okno Sieć z opcją wybrania interfejsu, wybierz typ sieci VPN i wprowadź nazwę usługi.

  4. Przejdź do pobranego profilu klienta sieci VPN. W folderze Generic otwórz plik Vpn Ustawienia.xml przy użyciu edytora tekstów. W tym przykładzie można zobaczyć informacje o typie tunelu i adresie serwera. Mimo że na liście znajdują się dwa typy sieci VPN, ten klient sieci VPN połączy się za pośrednictwem protokołu IKEv2. Skopiuj wartość tagu VpnServer .

    Zrzut ekranu przedstawia otwarty plik Vpn Ustawienia.xml z wyróżnionym tagiem VpnServer.

  5. Wklej wartość tagu VpnServer w polach Adres serwera i Identyfikator zdalny profilu. Pozostaw wartość pustą identyfikatora lokalnego. Następnie kliknij pozycję Uwierzytelnianie Ustawienia....

    Zrzut ekranu przedstawia informacje o serwerze wklejone do pól.

Konfigurowanie ustawień uwierzytelniania

Konfigurowanie ustawień uwierzytelniania. Istnieją dwa zestawy instrukcji. Wybierz instrukcje odpowiadające wersji systemu operacyjnego.

Big Sur i później

  1. Na stronie Uwierzytelnianie Ustawienia w polu Ustawienia uwierzytelniania kliknij strzałki, aby wybrać pozycję Certyfikat.

    Zrzut ekranu przedstawiający ustawienia uwierzytelniania z wybranym certyfikatem.

  2. Kliknij pozycję Wybierz , aby otworzyć stronę Wybierz tożsamość .

    Zrzut ekranu, aby kliknąć pozycję Wybierz.

  3. Na stronie Wybierz tożsamość zostanie wyświetlona lista certyfikatów do wyboru. Jeśli nie masz pewności, którego certyfikatu użyć, możesz wybrać pozycję Pokaż certyfikat , aby wyświetlić więcej informacji o każdym certyfikacie. Kliknij odpowiedni certyfikat, a następnie kliknij przycisk Kontynuuj.

    Zrzut ekranu przedstawiający właściwości certyfikatu.

  4. Na stronie Uwierzytelnianie Ustawienia sprawdź, czy jest wyświetlany prawidłowy certyfikat, a następnie kliknij przycisk OK.

    Zrzut ekranu przedstawia okno dialogowe Wybieranie tożsamości, w którym można wybrać odpowiedni certyfikat.

Catalina

Jeśli używasz systemu Catalina, wykonaj następujące kroki ustawień uwierzytelniania:

  1. W obszarze Uwierzytelnianie Ustawienia wybierz pozycję Brak.

  2. Kliknij pozycję Certyfikat, kliknij pozycję Wybierz i kliknij odpowiedni certyfikat klienta, który został zainstalowany wcześniej. Następnie kliknij przycisk OK.

Określanie certyfikatu

  1. W polu Identyfikator lokalny określ nazwę certyfikatu. W tym przykładzie jest to P2SChildCertMac.

    Zrzut ekranu przedstawia wartość identyfikatora lokalnego.

  2. Kliknij przycisk Zastosuj , aby zapisać wszystkie zmiany.

Połącz

  1. Kliknij Połączenie, aby uruchomić połączenie punkt-lokacja z siecią wirtualną platformy Azure. Może być konieczne wprowadzenie hasła łańcucha kluczy "login".

    Zrzut ekranu przedstawia przycisk Połącz.

  2. Po nawiązaniu połączenia stan jest wyświetlany jako Połączenie i można wyświetlić adres IP, który został pobrany z puli adresów klienta sieci VPN.

    Zrzut ekranu przedstawia Połączenie ed.

OpenVPN: kroki systemu macOS

W poniższym przykładzie użyto metody Tunnel Pst.

Ważne

Tylko system MacOS 10.13 lub nowszy jest obsługiwany przy użyciu protokołu OpenVPN.

Uwaga

Klient OpenVPN w wersji 2.6 nie jest jeszcze obsługiwany.

  1. Pobierz i zainstaluj klienta OpenVPN, takiego jak Tunnel Wystarczy.

  2. Jeśli jeszcze tego nie zrobiono, pobierz pakiet profilu klienta sieci VPN z witryny Azure Portal.

  3. Rozpakuj profil. Otwórz plik konfiguracji vpnconfig.ovpn z folderu OpenVPN w edytorze tekstów.

  4. W sekcji certyfikatu klienta P2S wprowadź klucz publiczny certyfikatu klienta P2S w formacie base64. W certyfikacie sformatowanym PEM można otworzyć plik .cer i skopiować klucz base64 między nagłówkami certyfikatu.

  5. W sekcji klucza prywatnego wprowadź klucz prywatny certyfikatu klienta P2S w formacie base64. Aby uzyskać informacje na temat sposobu wyodrębniania klucza prywatnego, zobacz Eksportowanie klucza prywatnego w witrynie OpenVPN.

  6. Nie zmieniaj żadnych innych pól. Użyj konfiguracji wprowadzonej w danych wejściowych klienta, aby nawiązać połączenie z siecią VPN.

  7. Kliknij dwukrotnie plik profilu, aby utworzyć profil w tunelu.

  8. Uruchom tunel tunnel z folderu applications.

  9. Kliknij ikonę Tunelu na pasku zadań systemowych i wybierz pozycję Połącz.

OpenVPN: kroki systemu iOS

W poniższym przykładzie użyto Połączenie OpenVPN ze sklepu App Store.

Ważne

Tylko system iOS 11.0 lub nowszy jest obsługiwany przy użyciu protokołu OpenVPN.

Uwaga

Klient OpenVPN w wersji 2.6 nie jest jeszcze obsługiwany.

  1. Zainstaluj klienta OpenVPN (wersja 2.4 lub nowsza) ze sklepu App Store. Wersja 2.6 nie jest jeszcze obsługiwana.

  2. Jeśli jeszcze tego nie zrobiono, pobierz pakiet profilu klienta sieci VPN z witryny Azure Portal.

  3. Rozpakuj profil. Otwórz plik konfiguracji vpnconfig.ovpn z folderu OpenVPN w edytorze tekstów.

  4. W sekcji certyfikatu klienta P2S wprowadź klucz publiczny certyfikatu klienta P2S w formacie base64. W certyfikacie sformatowanym PEM można otworzyć plik .cer i skopiować klucz base64 między nagłówkami certyfikatu.

  5. W sekcji klucza prywatnego wprowadź klucz prywatny certyfikatu klienta P2S w formacie base64. Aby uzyskać informacje na temat sposobu wyodrębniania klucza prywatnego, zobacz Eksportowanie klucza prywatnego w witrynie OpenVPN.

  6. Nie zmieniaj żadnych innych pól.

  7. Wyślij wiadomość e-mail do pliku profilu (ovpn) do konta e-mail skonfigurowanego w aplikacji poczty e-mail w aplikacji i Telefon.

  8. Otwórz wiadomość e-mail w aplikacji poczty w pliku i Telefon i naciśnij dołączony plik.

    Zrzut ekranu przedstawia komunikat gotowy do wysłania.

  9. Naciśnij pozycję Więcej , jeśli nie widzisz opcji Kopiuj do protokołu OpenVPN .

    Zrzut ekranu przedstawia, aby nacisnąć więcej.

  10. Naciśnij pozycję Kopiuj do protokołu OpenVPN.

    Zrzut ekranu przedstawiający kopiowanie do protokołu OpenVPN.

  11. Naciśnij pozycję DODAJ na stronie Importowanie profilu

    Zrzut ekranu przedstawiający profil importu.

  12. Naciśnij pozycję DODAJ na stronie Zaimportowany profil

    Zrzut ekranu przedstawiający zaimportowany profil.

  13. Uruchom aplikację OpenVPN i przesuń przełącznik na stronie Profil bezpośrednio, aby nawiązać połączenie

    Zrzut ekranu przedstawia slajd do nawiązania połączenia.

Następne kroki

Aby uzyskać dodatkowe kroki, wróć do oryginalnego artykułu punkt-lokacja, z którego pracujesz.

  • Kroki konfiguracji programu PowerShell.
  • Kroki konfiguracji witryny Azure Portal.