Przepływ pracy konfiguracji klienta sieci VPN typu punkt-lokacja: uwierzytelnianie certyfikatu — Windows

  • Artykuł

W tym artykule przedstawiono przepływ pracy i kroki konfigurowania klientów sieci VPN dla połączeń sieci wirtualnej typu punkt-lokacja (P2S), które korzystają z uwierzytelniania certyfikatu. Te kroki są kontynuowane w poprzednich artykułach, w których skonfigurowano ustawienia serwera punkt-lokacja bramy sieci VPN. W tym artykule wygenerujesz pliki konfiguracji klienta i zainstalujesz niezbędne certyfikaty klienta używane do uwierzytelniania.

Zanim rozpoczniesz

W tym artykule założono, że brama sieci VPN została już utworzona i skonfigurowana na potrzeby uwierzytelniania certyfikatu P2S. Aby uzyskać instrukcje, zobacz Konfigurowanie ustawień serwera dla połączeń bramy sieci VPN typu punkt-lokacja — uwierzytelnianie certyfikatu.

Przed rozpoczęciem przepływu pracy sprawdź, czy jesteś w odpowiednim artykule. W poniższej tabeli przedstawiono artykuły konfiguracji dostępne dla klientów sieci VPN P2S usługi Azure VPN Gateway. Kroki różnią się w zależności od typu uwierzytelniania, typu tunelu i systemu operacyjnego klienta.

Uwierzytelnianie Typ tunelu Generowanie plików konfiguracji Konfigurowanie klienta sieci VPN
Certyfikat platformy Azure IKEv2, SSTP Windows Natywny klient sieci VPN
Certyfikat platformy Azure OpenVPN Windows - Klient OpenVPN
- Klient sieci VPN platformy Azure
Certyfikat platformy Azure IKEv2, OpenVPN macOS-iOS macOS-iOS
Certyfikat platformy Azure IKEv2, OpenVPN Linux Linux
Microsoft Entra ID OpenVPN (SSL) Windows Windows
Microsoft Entra ID OpenVPN (SSL) macOS macOS
RADIUS — certyfikat - Artykuł Artykuł
RADIUS — hasło - Artykuł Artykuł
RADIUS — inne metody - Artykuł Artykuł

Przepływ pracy

W tym artykule zaczniemy od generowania plików konfiguracji klienta sieci VPN i certyfikatów klienta:

  1. Generowanie plików w celu skonfigurowania klienta sieci VPN.

  2. Generowanie certyfikatów dla klienta sieci VPN.

  3. Skonfiguruj klienta sieci VPN. Kroki używane do skonfigurowania klienta sieci VPN zależą od typu tunelu dla bramy sieci VPN typu punkt-lokacja oraz klienta sieci VPN na komputerze klienckim. Linki są dostarczane do artykułów dotyczących konfiguracji dla określonego tunelu i odpowiedniego klienta.

    • Protokoły IKEv2 i SSTP — natywny klient sieci VPN — jeśli brama sieci VPN typu punkt-lokacja jest skonfigurowana do używania protokołu IKEv2/SSTP i uwierzytelniania certyfikatu, połącz się z siecią wirtualną przy użyciu natywnego klienta sieci VPN będącego częścią systemu operacyjnego Windows. Ta konfiguracja nie wymaga dodatkowego oprogramowania klienckiego. Aby uzyskać instrukcje, zobacz IKEv2 i SSTP — natywny klient sieci VPN.
    • OpenVPN — klient sieci VPN platformy Azure i klient OpenVPN — jeśli brama sieci VPN typu punkt-lokacja jest skonfigurowana do korzystania z uwierzytelniania tunelu OpenVPN i certyfikatu, możesz nawiązać połączenie przy użyciu klienta sieci VPN platformy Azure lub klienta openVPN.

1. Generowanie plików konfiguracji klienta sieci VPN

Wszystkie niezbędne ustawienia konfiguracji dla klientów sieci VPN są zawarte w pliku zip konfiguracji profilu klienta sieci VPN. Pliki konfiguracji profilu klienta można wygenerować przy użyciu programu PowerShell lub witryny Azure Portal. Każda metoda zwraca ten sam plik zip.

Wygenerowane pliki konfiguracji profilu klienta sieci VPN są specyficzne dla konfiguracji bramy sieci VPN punkt-lokacja dla sieci wirtualnej. Jeśli po wygenerowaniu plików zostaną wprowadzone jakiekolwiek zmiany w konfiguracji sieci VPN typu punkt-lokacja, takie jak zmiany typu protokołu sieci VPN lub typu uwierzytelniania, należy wygenerować nowe pliki konfiguracji profilu klienta sieci VPN i zastosować nową konfigurację do wszystkich klientów sieci VPN, z którymi chcesz nawiązać połączenie. Aby uzyskać więcej informacji na temat połączeń typu punkt-lokacja, zobacz About point-to-site VPN (Informacje o sieci VPN typu punkt-lokacja).

PowerShell

Podczas generowania plików konfiguracji klienta sieci VPN wartość "-AuthenticationMethod" to "EapTls". Wygeneruj pliki konfiguracji klienta sieci VPN przy użyciu następującego polecenia:

$profile=New-AzVpnClientConfiguration -ResourceGroupName "TestRG" -Name "VNet1GW" -AuthenticationMethod "EapTls"

$profile.VPNProfileSASUrl

Skopiuj adres URL do przeglądarki, aby pobrać plik zip.

Azure Portal

  1. W witrynie Azure Portal przejdź do bramy sieci wirtualnej dla sieci wirtualnej, z którą chcesz nawiązać połączenie.

  2. Na stronie bramy sieci wirtualnej wybierz pozycję Konfiguracja połączenia punkt-lokacja, aby otworzyć stronę konfiguracji punkt-lokacja.

  3. W górnej części strony konfiguracja punkt-lokacja wybierz pozycję Pobierz klienta sieci VPN. Nie pobiera to oprogramowania klienckiego sieci VPN, generuje pakiet konfiguracji używany do konfigurowania klientów sieci VPN. Wygenerowanie pakietu konfiguracji klienta trwa kilka minut. W tym czasie może nie być widocznych żadnych wskazówek, dopóki pakiet nie zostanie wygenerowany.

    Zrzut ekranu przedstawiający stronę konfiguracji punkt-lokacja.

  4. Po wygenerowaniu pakietu konfiguracji przeglądarka wskazuje, że plik zip konfiguracji klienta jest dostępny. Ma ona taką samą nazwę jak brama.

  5. Rozpakuj plik, aby wyświetlić foldery. Użyjesz niektórych lub wszystkich tych plików do skonfigurowania klienta sieci VPN. Wygenerowane pliki odpowiadają ustawieniu uwierzytelniania i typu tunelu skonfigurowanym na serwerze punkt-lokacja.

2. Generowanie certyfikatów klienta

W przypadku uwierzytelniania certyfikatu należy zainstalować certyfikat klienta na każdym komputerze klienckim. Certyfikat klienta, którego chcesz użyć, musi zostać wyeksportowany z kluczem prywatnym i musi zawierać wszystkie certyfikaty w ścieżce certyfikacji. Ponadto w przypadku niektórych konfiguracji należy również zainstalować informacje o certyfikacie głównym.

W wielu przypadkach można zainstalować certyfikat klienta bezpośrednio na komputerze klienckim, klikając dwukrotnie. Jednak w przypadku niektórych konfiguracji klienta OpenVPN może być konieczne wyodrębnienie informacji z certyfikatu klienta w celu ukończenia konfiguracji.

  • Aby uzyskać informacje na temat pracy z certyfikatami, zobacz Punkt-lokacja: Generowanie certyfikatów.
  • Aby wyświetlić zainstalowany certyfikat klienta, otwórz pozycję Zarządzaj certyfikatami użytkowników. Certyfikat klienta jest instalowany w folderze Current User\Personal\Certificates.

3. Konfigurowanie klienta sieci VPN

Następnie skonfiguruj klienta sieci VPN. Wybierz elementy z następujących instrukcji:

Tunel Klient sieci VPN
IKEv2 i SSTP Kroki natywnego klienta sieci VPN
OpenVPN Kroki klienta sieci VPN platformy Azure
OpenVPN Kroki klienta openVPN

Następne kroki

Aby uzyskać dodatkowe kroki, wróć do artykułu P2S, z którego pracujesz.

  • Kroki konfiguracji programu PowerShell.
  • Kroki konfiguracji witryny Azure Portal.