Настройка VPN-клиентов P2S: проверка подлинности сертификата — собственный VPN-клиент — macOS
Если VPN-шлюз типа "точка — сеть" (P2S) настроен для использования IKEv2 и проверки подлинности сертификата, вы можете подключиться к виртуальной сети с помощью собственного VPN-клиента, который входит в операционную систему macOS. В этой статье описаны действия по настройке собственного VPN-клиента и подключению к виртуальной сети.
Подготовка к работе
Прежде чем приступить к настройке клиента, убедитесь, что вы находитесь в правильной статье. В следующей таблице приведены статьи о конфигурации, доступные для VPN-клиентов P2S VPN-шлюза Azure. Шаги различаются в зависимости от типа проверки подлинности, типа туннеля и клиентской ОС.
| Проверка подлинности | Тип туннеля | ОС клиента | VPN-клиент |
|---|---|---|---|
| Сертификат | |||
| IKEv2, SSTP | Windows | Собственный VPN-клиент | |
| IKEv2 | macOS | Собственный VPN-клиент | |
| IKEv2 | Linux | strongSwan | |
| OpenVPN | Windows | VPN-клиент Azure Клиент OpenVPN версии 2.x Клиент OpenVPN версии 3.x |
|
| OpenVPN | macOS | Клиент OpenVPN | |
| OpenVPN | iOS | Клиент OpenVPN | |
| OpenVPN | Linux | VPN-клиент Azure Клиент OpenVPN |
|
| Microsoft Entra ID | |||
| OpenVPN | Windows | VPN-клиент Azure | |
| OpenVPN | macOS | VPN-клиент Azure | |
| OpenVPN | Linux | VPN-клиент Azure |
Необходимые компоненты
В этой статье предполагается, что вы уже выполнили следующие предварительные требования:
- Вы создали и настроили VPN-шлюз для проверки подлинности сертификата типа "точка — сеть" и типа туннеля OpenVPN. Инструкции по настройке параметров сервера для подключений VPN-шлюз P2S — проверка подлинности на основе сертификата.
- Вы создали и скачали файлы конфигурации VPN-клиента. Инструкции см. в разделе "Создание файлов конфигурации профиля VPN-клиента".
- Вы можете создать сертификаты клиента или получить соответствующие сертификаты клиента, необходимые для проверки подлинности.
Рабочий процесс
Рабочий процесс для этой статьи выглядит следующим образом:
- Создайте сертификаты клиента, если вы еще этого не сделали.
- Просмотрите файлы конфигурации профиля VPN-клиента, содержащиеся в созданном пакете конфигурации профиля VPN-клиента.
- Установите сертификаты.
- Настройте собственный VPN-клиент, который уже установлен вашей ОС.
- Подключитесь к Azure.
Создание сертификатов
Для проверки подлинности сертификата сертификат должен быть установлен на каждом клиентском компьютере. Сертификат клиента, который вы хотите использовать, должен экспортироваться с закрытым ключом и содержать все сертификаты в пути сертификации. Кроме того, для некоторых конфигураций также потребуется установить сведения о корневом сертификате.
Сведения о работе с сертификатами см. в разделе "Создание и экспорт сертификатов".
Просмотр файлов конфигурации профиля VPN-клиента
Все необходимые параметры конфигурации для VPN-клиентов содержатся в ZIP-файле конфигурации профиля VPN-клиента. Файлы конфигурации профиля клиента можно создать с помощью PowerShell или с помощью портал Azure. И в первом, и во втором случае возвращается один и тот же ZIP-файл.
Файлы конфигурации профиля VPN-клиента относятся к конфигурации VPN-шлюза P2S для виртуальной сети. Если после создания файлов есть какие-либо изменения в конфигурации VPN P2S, например изменения типа VPN-протокола или типа проверки подлинности, необходимо создать новые файлы конфигурации профиля VPN-клиента и применить новую конфигурацию ко всем VPN-клиентам, которые требуется подключить.
Распакуйте файл. После этого отобразятся папки. При настройке собственных клиентов macOS используются файлы в папке Generic. Эта папка доступна, если для шлюза настроен протокол IKEv2. Если вы не видите папку Generic, проверьте следующие элементы, а затем создайте ZIP-файл еще раз.
- Проверьте тип туннеля для вашей конфигурации. Скорее всего, вы не выбрали IKEv2 в качестве типа туннеля.
- Убедитесь, что шлюз не настроен с помощью номера SKU уровня "Базовый". VPN-шлюз со SKU "Базовый" не поддерживает IKEv2. Необходимо перестроить шлюз с соответствующим номером SKU и типом туннеля, если требуется подключение клиентов macOS.
Папка Generic содержит следующие файлы.
- Файл VpnSettings.xml — содержит такие важные параметры, как адрес сервера и тип туннеля.
- Файл VpnServerRoot.cer содержит корневой сертификат, который требуется для проверки VPN-шлюза Azure при настройке подключения типа "точка — сеть".
Установка сертификатов
Вам потребуется как корневой сертификат, так и дочерний сертификат, установленный на компьютере Mac. Дочерний сертификат должен быть экспортирован с закрытым ключом и должен содержать все сертификаты в пути сертификации.
Корневой сертификат
- Скопируйте корневой файл сертификата (файл .cer) в mac. Дважды щелкните сертификат. В зависимости от операционной системы либо сертификат будет установлен автоматически, либо откроется страница Добавление сертификатов.
- Если отображается страница Добавление сертификатов, для Цепочки ключей щелкните стрелки и выберите имя входа в раскрывающемся списке.
- Чтобы импортировать файл, щелкните Добавить.
Сертификат клиента
Сертификат клиента (PFX-файл) используется для проверки подлинности и является обязательным. Как правило, можно просто щелкнуть сертификат клиента для установки. Сведения о том, как установить сертификат клиента, см. в разделе Установка сертификата клиента.
Проверка установки сертификатов
Убедитесь в том, что установлены как сертификат клиента, так и корневой сертификат.
- Откройте приложение Keychain Access.
- Перейдите на вкладку Сертификаты.
- Убедитесь в том, что установлены как сертификат клиента, так и корневой сертификат.
Настройка профиля VPN-клиента
Используйте действия, описанные в руководстве пользователя Mac, которые подходят для версии операционной системы, чтобы добавить конфигурацию профиля VPN-клиента со следующими параметрами.
Выберите IKEv2 в качестве типа VPN.
Для отображаемого имени выберите понятное имя профиля.
Для адреса сервера и удаленного идентификатора используйте значение тега VpnServer в файле VpnSettings.xml.
Для параметров проверки подлинности выберите сертификат.
Для сертификата выберите дочерний сертификат, который вы хотите использовать для проверки подлинности. Если у вас несколько сертификатов, можно выбрать "Показать сертификат ", чтобы просмотреть дополнительные сведения о каждом сертификате.
В поле "Локальный идентификатор" введите имя выбранного дочернего сертификата.
После завершения настройки профиля VPN-клиента сохраните профиль.
Connect
Действия по подключению относятся к версии операционной системы macOS. Ознакомьтесь с руководством пользователя Mac. Выберите версию операционной системы, которую вы используете, и выполните действия по подключению.
После установки подключения состояние отображается как подключено. IP-адрес выделяется из пула АДРЕСОВ VPN-клиента.
Следующие шаги
Дальнейшие действия с любыми дополнительными параметрами сервера или подключения. См . инструкции по настройке "точка — сеть".