Konfigurowanie klientów sieci VPN typu punkt-lokacja: uwierzytelnianie certyfikatu — macOS i iOS
Ten artykuł ułatwia nawiązywanie połączenia z siecią wirtualną platformy Azure przy użyciu uwierzytelniania punkt-lokacja (P2S) i bramy VPN Gateway. W tym artykule znajduje się wiele zestawów kroków, w zależności od typu tunelu wybranego dla konfiguracji połączenia punkt-lokacja, systemu operacyjnego i klienta sieci VPN używanego do nawiązywania połączenia.
Podczas pracy z uwierzytelnianiem certyfikatu należy zwrócić uwagę na następujące kwestie:
W przypadku typu tunelu IKEv2 można nawiązać połączenie przy użyciu klienta sieci VPN zainstalowanego natywnie w systemie macOS.
W przypadku typu tunelu OpenVPN można użyć klienta OpenVPN.
Klient sieci VPN platformy Azure nie jest dostępny dla systemów macOS i iOS podczas korzystania z uwierzytelniania certyfikatu, nawet jeśli wybrano typ tunelu OpenVPN dla konfiguracji P2S.
Zanim rozpoczniesz
Przed rozpoczęciem sprawdź, czy jesteś w odpowiednim artykule. W poniższej tabeli przedstawiono artykuły konfiguracji dostępne dla klientów sieci VPN P2S usługi Azure VPN Gateway. Kroki różnią się w zależności od typu uwierzytelniania, typu tunelu i systemu operacyjnego klienta.
Uwierzytelnianie | Typ tunelu | Generowanie plików konfiguracji | Konfigurowanie klienta sieci VPN |
---|---|---|---|
Certyfikat platformy Azure | IKEv2, SSTP | Windows | Natywny klient sieci VPN |
Certyfikat platformy Azure | OpenVPN | Windows | - Klient OpenVPN - Klient sieci VPN platformy Azure |
Certyfikat platformy Azure | IKEv2, OpenVPN | macOS-iOS | macOS-iOS |
Certyfikat platformy Azure | IKEv2, OpenVPN | Linux | Linux |
Microsoft Entra ID | OpenVPN (SSL) | Windows | Windows |
Microsoft Entra ID | OpenVPN (SSL) | macOS | macOS |
RADIUS — certyfikat | - | Artykuł | Artykuł |
RADIUS — hasło | - | Artykuł | Artykuł |
RADIUS — inne metody | - | Artykuł | Artykuł |
Ważne
Od 1 lipca 2018 r. z usługi Azure VPN Gateway zostanie usunięta obsługa techniczna protokołów TLS 1.0 i 1.1. Usługa VPN Gateway będzie obsługiwać tylko protokół TLS 1.2. Dotyczy to tylko połączeń punkt-lokacja; Nie będzie to miało wpływu na połączenia typu lokacja-lokacja. Jeśli używasz protokołu TLS dla sieci VPN typu punkt-lokacja na klientach z systemem Windows 10 lub nowszym, nie musisz podejmować żadnych działań. Jeśli używasz protokołu TLS dla połączeń punkt-lokacja na klientach z systemami Windows 7 i Windows 8, zapoznaj się z często zadawanymi pytaniami dotyczącymi usługi VPN Gateway, aby uzyskać instrukcje dotyczące aktualizacji.
Generowanie certyfikatów
W przypadku uwierzytelniania certyfikatu należy zainstalować certyfikat klienta na każdym komputerze klienckim. Certyfikat klienta, którego chcesz użyć, musi zostać wyeksportowany z kluczem prywatnym i musi zawierać wszystkie certyfikaty w ścieżce certyfikacji. Ponadto w przypadku niektórych konfiguracji należy również zainstalować informacje o certyfikacie głównym.
Aby uzyskać informacje na temat pracy z certyfikatami, zobacz Punkt-lokacja: Generowanie certyfikatów — Linux.
Generowanie plików konfiguracji klienta sieci VPN
Wszystkie niezbędne ustawienia konfiguracji dla klientów sieci VPN są zawarte w pliku zip konfiguracji profilu klienta sieci VPN. Pliki konfiguracji profilu klienta można wygenerować przy użyciu programu PowerShell lub witryny Azure Portal. Każda metoda zwraca ten sam plik zip.
Wygenerowane pliki konfiguracji profilu klienta sieci VPN są specyficzne dla konfiguracji bramy sieci VPN punkt-lokacja dla sieci wirtualnej. Jeśli po wygenerowaniu plików zostaną wprowadzone jakiekolwiek zmiany w konfiguracji sieci VPN typu punkt-lokacja, takie jak zmiany typu protokołu sieci VPN lub typu uwierzytelniania, należy wygenerować nowe pliki konfiguracji profilu klienta sieci VPN i zastosować nową konfigurację do wszystkich klientów sieci VPN, z którymi chcesz nawiązać połączenie. Aby uzyskać więcej informacji na temat połączeń typu punkt-lokacja, zobacz About point-to-site VPN (Informacje o sieci VPN typu punkt-lokacja).
Aby wygenerować pliki przy użyciu witryny Azure Portal:
W witrynie Azure Portal przejdź do bramy sieci wirtualnej dla sieci wirtualnej, z którą chcesz nawiązać połączenie.
Na stronie bramy sieci wirtualnej wybierz pozycję Konfiguracja połączenia punkt-lokacja, aby otworzyć stronę konfiguracji punkt-lokacja.
W górnej części strony konfiguracja punkt-lokacja wybierz pozycję Pobierz klienta sieci VPN. Nie pobiera to oprogramowania klienckiego sieci VPN, generuje pakiet konfiguracji używany do konfigurowania klientów sieci VPN. Wygenerowanie pakietu konfiguracji klienta trwa kilka minut. W tym czasie może nie być widocznych żadnych wskazówek, dopóki pakiet nie zostanie wygenerowany.
Po wygenerowaniu pakietu konfiguracji przeglądarka wskazuje, że plik zip konfiguracji klienta jest dostępny. Ma ona taką samą nazwę jak brama.
Rozpakuj plik, aby wyświetlić foldery. Użyjesz niektórych lub wszystkich tych plików do skonfigurowania klienta sieci VPN. Wygenerowane pliki odpowiadają ustawieniu uwierzytelniania i typu tunelu skonfigurowanym na serwerze punkt-lokacja.
Następnie skonfiguruj klienta sieci VPN. Wybierz elementy z następujących instrukcji:
- IKEv2: natywny klient sieci VPN — kroki systemu macOS
- OpenVPN: kroki systemu macOS
- OpenVPN: kroki systemu iOS
IKEv2: natywny klient sieci VPN — kroki systemu macOS
Poniższe sekcje ułatwiają skonfigurowanie natywnego klienta sieci VPN, który jest już zainstalowany w ramach systemu macOS. Ten typ połączenia działa tylko za pośrednictwem protokołu IKEv2.
Wyświetlanie plików
Rozpakuj plik, aby wyświetlić foldery. Podczas konfigurowania klientów natywnych systemu macOS pliki są używane w folderze Generic . Folder Ogólny jest obecny, jeśli protokół IKEv2 został skonfigurowany w bramie. Wszystkie informacje potrzebne do skonfigurowania natywnego klienta sieci VPN można znaleźć w folderze Generic . Jeśli nie widzisz folderu Generic, sprawdź następujące elementy, a następnie ponownie wygeneruj plik zip.
- Sprawdź typ tunelu dla konfiguracji. Prawdopodobnie protokół IKEv2 nie został wybrany jako typ tunelu.
- W bramie sieci VPN sprawdź, czy jednostka SKU nie jest podstawowa. Podstawowa jednostka SKU bramy sieci VPN nie obsługuje protokołu IKEv2. Następnie wybierz pozycję IKEv2 i ponownie wygeneruj plik zip, aby pobrać folder Generic.
Folder Generic zawiera następujące pliki.
- Vpn Ustawienia.xml, która zawiera ważne ustawienia, takie jak adres serwera i typ tunelu.
- VpnServerRoot.cer, który zawiera certyfikat główny wymagany do zweryfikowania bramy sieci VPN platformy Azure podczas konfigurowania połączenia punkt-lokacja.
Wykonaj poniższe kroki, aby skonfigurować natywnego klienta sieci VPN na komputerze Mac na potrzeby uwierzytelniania certyfikatu. Te kroki należy wykonać na każdym komputerze Mac, który chcesz nawiązać połączenie z platformą Azure.
Instalowanie certyfikatów
Certyfikat główny
- Skopiuj do pliku certyfikatu głównego — VpnServerRoot.cer — na komputer Mac. Kliknij dwukrotnie certyfikat. W zależności od systemu operacyjnego certyfikat zostanie automatycznie zainstalowany lub zostanie wyświetlona strona Dodawanie certyfikatów .
- Jeśli zostanie wyświetlona strona Dodawanie certyfikatów , w polu Pęku kluczy kliknij strzałki i wybierz pozycję zaloguj się z listy rozwijanej.
- Kliknij przycisk Dodaj , aby zaimportować plik.
Certyfikat klienta
Certyfikat klienta jest używany do uwierzytelniania i jest wymagany. Zazwyczaj można po prostu kliknąć certyfikat klienta, aby go zainstalować. Aby uzyskać więcej informacji na temat sposobu instalowania certyfikatu klienta, zobacz Instalowanie certyfikatu klienta.
Weryfikowanie instalacji certyfikatu
Sprawdź, czy zainstalowano zarówno klienta, jak i certyfikat główny.
- Otwórz pozycję Dostęp pęku kluczy.
- Przejdź do karty Certyfikaty .
- Sprawdź, czy zainstalowano zarówno klienta, jak i certyfikat główny.
Konfigurowanie profilu klienta sieci VPN
Przejdź do obszaru Preferencje systemowe —> sieć. Na stronie Sieć kliknij pozycję "+" , aby utworzyć nowy profil połączenia klienta sieci VPN dla połączenia punkt-lokacja z siecią wirtualną platformy Azure.
Na stronie Wybieranie interfejsu kliknij strzałki obok pozycji Interfejs:. Z listy rozwijanej kliknij pozycję SIEĆ VPN.
W polu Typ sieci VPN z listy rozwijanej kliknij pozycję IKEv2. W polu Nazwa usługi określ przyjazną nazwę profilu, a następnie kliknij pozycję Utwórz.
Przejdź do pobranego profilu klienta sieci VPN. W folderze Generic otwórz plik Vpn Ustawienia.xml przy użyciu edytora tekstów. W tym przykładzie można zobaczyć informacje o typie tunelu i adresie serwera. Mimo że na liście znajdują się dwa typy sieci VPN, ten klient sieci VPN połączy się za pośrednictwem protokołu IKEv2. Skopiuj wartość tagu VpnServer .
Wklej wartość tagu VpnServer w polach Adres serwera i Identyfikator zdalny profilu. Pozostaw wartość pustą identyfikatora lokalnego. Następnie kliknij pozycję Uwierzytelnianie Ustawienia....
Konfigurowanie ustawień uwierzytelniania
Konfigurowanie ustawień uwierzytelniania. Istnieją dwa zestawy instrukcji. Wybierz instrukcje odpowiadające wersji systemu operacyjnego.
Big Sur i później
Na stronie Uwierzytelnianie Ustawienia w polu Ustawienia uwierzytelniania kliknij strzałki, aby wybrać pozycję Certyfikat.
Kliknij pozycję Wybierz , aby otworzyć stronę Wybierz tożsamość .
Na stronie Wybierz tożsamość zostanie wyświetlona lista certyfikatów do wyboru. Jeśli nie masz pewności, którego certyfikatu użyć, możesz wybrać pozycję Pokaż certyfikat , aby wyświetlić więcej informacji o każdym certyfikacie. Kliknij odpowiedni certyfikat, a następnie kliknij przycisk Kontynuuj.
Na stronie Uwierzytelnianie Ustawienia sprawdź, czy jest wyświetlany prawidłowy certyfikat, a następnie kliknij przycisk OK.
Catalina
Jeśli używasz systemu Catalina, wykonaj następujące kroki ustawień uwierzytelniania:
W obszarze Uwierzytelnianie Ustawienia wybierz pozycję Brak.
Kliknij pozycję Certyfikat, kliknij pozycję Wybierz i kliknij odpowiedni certyfikat klienta, który został zainstalowany wcześniej. Następnie kliknij przycisk OK.
Określanie certyfikatu
W polu Identyfikator lokalny określ nazwę certyfikatu. W tym przykładzie jest to P2SChildCertMac.
Kliknij przycisk Zastosuj , aby zapisać wszystkie zmiany.
Połącz
Kliknij Połączenie, aby uruchomić połączenie punkt-lokacja z siecią wirtualną platformy Azure. Może być konieczne wprowadzenie hasła łańcucha kluczy "login".
Po nawiązaniu połączenia stan jest wyświetlany jako Połączenie i można wyświetlić adres IP, który został pobrany z puli adresów klienta sieci VPN.
OpenVPN: kroki systemu macOS
W poniższym przykładzie użyto metody Tunnel Pst.
Ważne
Tylko system MacOS 10.13 lub nowszy jest obsługiwany przy użyciu protokołu OpenVPN.
Uwaga
Klient OpenVPN w wersji 2.6 nie jest jeszcze obsługiwany.
Pobierz i zainstaluj klienta OpenVPN, takiego jak Tunnel Wystarczy.
Jeśli jeszcze tego nie zrobiono, pobierz pakiet profilu klienta sieci VPN z witryny Azure Portal.
Rozpakuj profil. Otwórz plik konfiguracji vpnconfig.ovpn z folderu OpenVPN w edytorze tekstów.
W sekcji certyfikatu klienta P2S wprowadź klucz publiczny certyfikatu klienta P2S w formacie base64. W certyfikacie sformatowanym PEM można otworzyć plik .cer i skopiować klucz base64 między nagłówkami certyfikatu.
W sekcji klucza prywatnego wprowadź klucz prywatny certyfikatu klienta P2S w formacie base64. Aby uzyskać informacje na temat sposobu wyodrębniania klucza prywatnego, zobacz Eksportowanie klucza prywatnego w witrynie OpenVPN.
Nie zmieniaj żadnych innych pól. Użyj konfiguracji wprowadzonej w danych wejściowych klienta, aby nawiązać połączenie z siecią VPN.
Kliknij dwukrotnie plik profilu, aby utworzyć profil w tunelu.
Uruchom tunel tunnel z folderu applications.
Kliknij ikonę Tunelu na pasku zadań systemowych i wybierz pozycję Połącz.
OpenVPN: kroki systemu iOS
W poniższym przykładzie użyto Połączenie OpenVPN ze sklepu App Store.
Ważne
Tylko system iOS 11.0 lub nowszy jest obsługiwany przy użyciu protokołu OpenVPN.
Uwaga
Klient OpenVPN w wersji 2.6 nie jest jeszcze obsługiwany.
Zainstaluj klienta OpenVPN (wersja 2.4 lub nowsza) ze sklepu App Store. Wersja 2.6 nie jest jeszcze obsługiwana.
Jeśli jeszcze tego nie zrobiono, pobierz pakiet profilu klienta sieci VPN z witryny Azure Portal.
Rozpakuj profil. Otwórz plik konfiguracji vpnconfig.ovpn z folderu OpenVPN w edytorze tekstów.
W sekcji certyfikatu klienta P2S wprowadź klucz publiczny certyfikatu klienta P2S w formacie base64. W certyfikacie sformatowanym PEM można otworzyć plik .cer i skopiować klucz base64 między nagłówkami certyfikatu.
W sekcji klucza prywatnego wprowadź klucz prywatny certyfikatu klienta P2S w formacie base64. Aby uzyskać informacje na temat sposobu wyodrębniania klucza prywatnego, zobacz Eksportowanie klucza prywatnego w witrynie OpenVPN.
Nie zmieniaj żadnych innych pól.
Wyślij wiadomość e-mail do pliku profilu (ovpn) do konta e-mail skonfigurowanego w aplikacji poczty e-mail w aplikacji i Telefon.
Otwórz wiadomość e-mail w aplikacji poczty w pliku i Telefon i naciśnij dołączony plik.
Naciśnij pozycję Więcej , jeśli nie widzisz opcji Kopiuj do protokołu OpenVPN .
Naciśnij pozycję Kopiuj do protokołu OpenVPN.
Naciśnij pozycję DODAJ na stronie Importowanie profilu
Naciśnij pozycję DODAJ na stronie Zaimportowany profil
Uruchom aplikację OpenVPN i przesuń przełącznik na stronie Profil bezpośrednio, aby nawiązać połączenie
Następne kroki
Aby uzyskać dodatkowe kroki, wróć do oryginalnego artykułu punkt-lokacja, z którego pracujesz.