Настройка собственного VPN-клиента Windows для подключений проверки подлинности сертификата P2S
Если VPN-шлюз типа "точка — сеть" (P2S) настроен для использования проверки подлинности IKEv2/SSTP и сертификата, вы можете подключиться к виртуальной сети с помощью собственного VPN-клиента, который входит в операционную систему Windows. В этой статье описаны действия по настройке собственного VPN-клиента и подключению к виртуальной сети.
Подготовка к работе
В этой статье предполагается, что вы уже выполнили следующие предварительные требования:
- Вы создали и настроили VPN-шлюз для проверки подлинности сертификата типа "точка — сеть" и типа туннеля IKEv2/SSTP. Инструкции по настройке параметров сервера для подключений VPN-шлюз P2S — проверка подлинности на основе сертификата.
- Вы создали сертификаты клиента и скачали файлы конфигурации VPN-клиента. См. сведения о VPN-клиентах типа "точка — сеть": проверка подлинности сертификатов в Windows
Перед началом рабочего процесса убедитесь, что вы находитесь в правильной статье конфигурации VPN-клиента. В следующей таблице показаны статьи о конфигурации, доступные для VPN-шлюз VPN-клиентов типа "точка — сеть". Шаги различаются в зависимости от типа проверки подлинности, типа туннеля и клиентской ОС.
| Проверка подлинности | Тип туннеля | Создание файлов конфигурации | Настройка VPN-клиента |
|---|---|---|---|
| Сертификат Azure | IKEv2, SSTP | Windows | Собственный VPN-клиент |
| Сертификат Azure | OpenVPN | Windows | - Клиент OpenVPN - VPN-клиент Azure |
| Сертификат Azure | IKEv2, OpenVPN | macOS-iOS | macOS-iOS |
| Сертификат Azure | IKEv2, OpenVPN | Linux | Linux |
| Microsoft Entra ID | OpenVPN (SSL) | Windows | Windows |
| Microsoft Entra ID | OpenVPN (SSL) | macOS | macOS |
| RADIUS — сертификат | - | Статья | Статья |
| RADIUS — пароль | - | Статья | Статья |
| RADIUS — другие методы | - | Статья | Статья |
Просмотр файлов конфигурации
Пакет конфигурации профиля VPN-клиента содержит определенные папки. Файлы в папках содержат параметры, необходимые для настройки профиля VPN-клиента на клиентском компьютере. Файлы и параметры, которые они содержат, относятся к VPN-шлюзу, а тип проверки подлинности и туннелирование VPN-шлюза настроен для использования.
Найдите и распакуйте созданный пакет конфигурации профиля VPN-клиента. Для проверки подлинности сертификата и IKEv2/SSTP вы увидите следующие файлы:
- WindowsAmd64 и WindowsX86 содержат 64-разрядные и 32-разрядные пакеты установщика Windows соответственно. Пакет установщика WindowsAmd64 предназначен для всех поддерживаемых 64-разрядных клиентов Windows, а не только AMD.
- Универсальный содержит общие сведения, используемые для создания собственной конфигурации VPN-клиента. Эта папка доступна, если для шлюза настроены протоколы IKEv2 и SSTP+IKEv2. Если настроен только протокол SSTP, эта папка отсутствует.
Настройка профиля VPN-клиента
Чтобы подключиться, сначала необходимо настроить VPN-клиент с необходимыми параметрами. Для этого настройте профиль VPN-клиента с помощью параметров, содержащихся в пакете конфигурации VPN-клиента. Параметры пакета относятся к VPN-шлюзу, к которому вы подключаетесь.
На каждом клиентском компьютере Windows можно использовать один и тот же пакет конфигурации VPN-клиента, если его версия соответствует архитектуре клиента. Список поддерживаемых клиентских операционных систем см. в разделе с описанием подключений типа "точка — сеть" в статье VPN-шлюз: вопросы и ответы.
Примечание.
Вам потребуются права администратора для клиентского компьютера Windows, с которого устанавливается подключение.
Установка пакета конфигурации VPN-клиента
- Выберите файлы конфигурации VPN-клиента, которые соответствуют архитектуре компьютера Windows. Для 64-разрядной архитектуры процессора выберите пакет установщика VpnClientSetupAmd64. Для 32-разрядной архитектуры процессора выберите пакет установщика VpnClientSetupX86.
- Дважды щелкните пакет, чтобы установить его. При появлении всплывающего окна SmartScreen щелкните Подробнее, а затем Выполнить в любом случае.
Установка сертификата клиента
Каждому компьютеру требуется сертификат клиента для проверки подлинности. Если сертификат клиента еще не установлен на локальном компьютере, его можно установить, выполнив следующие действия.
- Найдите сертификат клиента. Дополнительные сведения о сертификатах клиента см. в разделе "Установка сертификатов клиента".
- Установите сертификат клиента. Как правило, это можно сделать, дважды щелкнув файл сертификата и указав пароль (при необходимости).
Связь
Подключение в виртуальную сеть через VPN типа "точка — сеть".
- Перейдите к параметрам VPN и найдите созданное VPN-подключение . Это то же имя, что и виртуальная сеть. Нажмите Подключиться. Может появиться всплывающее сообщение. В таком случае выберите Продолжить, чтобы использовать более высокий уровень привилегий.
- На странице состояния подключения щелкните Подключить. Если появится окно Выбор сертификата, убедитесь в том, что отображается сертификат клиента, с помощью которого вы хотите подключиться к сети. Если это не так, используйте стрелку раскрывающегося списка, чтобы выбрать правильный сертификат, а затем нажмите кнопку "ОК".
Следующие шаги
Этапынастройки "точка — сеть" — VPN-клиенты типа "точка — сеть": проверка подлинности на основе сертификатов — Windows