Настройка пользовательских VPN-клиентов P2S — Проверка подлинности на основе сертификата — macOS и iOS

  • Статья

Эта статья поможет вам подключиться к Виртуальной глобальной сети Azure из операционной системы macOS или iOS через Пользовательское VPN-подключение P2S для конфигураций, использующих проверку подлинности сертификата. Чтобы подключиться из операционной системы iOS или macOS через туннель OpenVPN, используйте клиент OpenVPN. Чтобы подключиться из операционной системы macOS через туннель IKEv2, используйте VPN-клиент, установленный на компьютере Mac.

Перед началом

  • Убедитесь, что вы выполнили необходимые действия по настройке, описанные в Руководстве по созданию Пользовательского VPN-подключения P2S с помощью Виртуальной глобальной сети Azure.

  • Создание файлов конфигурации VPN-клиента. Создаваемые файлы конфигурации VPN-клиента зависят от скачиваемого профиля VPN пользователя Виртуальной глобальной сети. Виртуальная глобальная сеть имеет два разных типа профилей конфигурации: уровень глобальной сети (глобальный) и уровень концентратора. Если в конфигурацию VPN P2S вносятся изменения после создания файлов или если вы изменяете тип профиля, необходимо создать новые файлы конфигурации VPN-клиента и применить эту новую конфигурацию ко всем VPN-клиентам, которых вы хотите подключить. См. Создание файлов конфигурации VPN-клиента.

  • Получение сертификатов. В следующих разделах требуются сертификаты. Убедитесь, что у вас есть как сертификат клиента, так и сведения о сертификате корневого сервера. Дополнительные сведения см. в разделе Создание и экспорт сертификатов.

IKEv2 — собственный клиент — навигация в macOS

После создания и скачивания пакета конфигурации VPN-клиента распакуйте его, чтобы просмотреть папки. При настройке собственных клиентов macOS используются файлы в папке Generic. Эта папка доступна, если для шлюза настроен протокол IKEv2. Все сведения, необходимые для настройки собственного VPN-клиента, можно найти в папке Generic. Если папка Generic отсутствует, убедитесь, что IKEv2 является одним из типов туннелей, а затем скачайте пакет конфигурации еще раз.

Папка Generic содержит следующие файлы.

  • Файл VpnSettings.xml — содержит такие важные параметры, как адрес сервера и тип туннеля.
  • Файл VpnServerRoot.cer содержит корневой сертификат, который требуется для проверки VPN-шлюза Azure при настройке подключения типа "точка — сеть".

Чтобы настроить на устройстве Mac собственный VPN-клиент для аутентификации на основе сертификата, сделайте следующее: Эти действия необходимо выполнить на каждом компьютере Mac, который нужно подключить к Azure.

Установка сертификатов

Корневой сертификат

  1. Скопируйте файл корневого сертификата VpnServerRoot.cer на компьютер Mac. Дважды щелкните сертификат. В зависимости от операционной системы либо сертификат будет установлен автоматически, либо откроется страница Добавление сертификатов.
  2. Если отображается страница Добавление сертификатов, для Цепочки ключей щелкните стрелки и выберите имя входа в раскрывающемся списке.
  3. Чтобы импортировать файл, щелкните Добавить.

Сертификат клиента

Этот сертификат клиента требуется для аутентификации. Как правило, можно просто щелкнуть сертификат клиента для установки. Сведения о том, как установить сертификат клиента, см. в разделе Установка сертификата клиента.

Проверка установки сертификата

Убедитесь в том, что установлены как сертификат клиента, так и корневой сертификат.

  1. Откройте приложение Keychain Access.
  2. Перейдите во вкладку Сертификаты.
  3. Убедитесь в том, что установлены как сертификат клиента, так и корневой сертификат.

Настройка профиля VPN-клиента

  1. Выберите Настройки системы -> Сеть. На странице "Сеть" щелкните '+', чтобы создать профиль подключения VPN-клиента для подключения P2S к виртуальной сети Azure.

    Снимок экрана: окно

  2. На странице Выбора интерфейса щелкните стрелки рядом с пунктом Интерфейс:. В раскрывающемся списке выберите VPN.

    Снимок экрана: окно

  3. В раскрывающемся списке Тип VPN выберите IKEv2. В поле Имя службы укажите понятное имя для профиля, а затем нажмите Create.

    Снимок экрана, на котором показано окно сети для выбора интерфейса, выбора типа VPN и ввода имени службы.

  4. Перейдите в скачанный профиль VPN-клиента. В папке Generic откройте файл VpnSettings.xml в текстовом редакторе. В этом примере видно, что этот профиль VPN-клиента подключается к профилю VPN на уровне глобальной сети и что VpnTypes — IKEv2 и OpenVPN. Несмотря на то, что в списке есть два типа VPN, этот VPN-клиент будет подключаться через IKEv2. Скопируйте значение тега VpnServer.

    Снимок экрана: открытый файл VpnSettings.xml с выделенным тегом VpnServer.

  5. Вставьте значение тега VpnServer в поля профиля Адрес сервера и Удаленный ИД. Оставьте поле Локальный идентификатор пустым. Затем щелкните Параметры аутентификации....

    Снимок экрана. Информация о сервере в полях.

Настройка параметров проверки подлинности

Big Sur и более поздние версии

  1. На странице Параметры проверки подлинности в поле "Параметры проверки подлинности" щелкните стрелки, чтобы выбрать Сертификат.

    Снимок экрана: параметры проверки подлинности с выбранным сертификатом.

  2. Щелкните Выбрать, чтобы открыть страницу Выбор удостоверения.

    Снимок экрана. Кнопка

  3. На странице Выбор удостоверения приводится список доступных сертификатов. Если вы не уверены, какой сертификат следует использовать, можно щелкнуть Показать сертификат, чтобы просмотреть дополнительные сведения о каждом сертификате. Выберите нужный сертификат, а затем щелкните Продолжить.

    Снимок экрана: свойства сертификата.

  4. На странице Параметры проверки подлинности убедитесь в том, что отображается правильный сертификат, а затем нажмите кнопку ОК.

    Снимок экрана, на котором показано диалоговое окно

Catalina

Если вы используете Catalina, выполните следующие действия по проверке подлинности:

  1. В разделе Параметры проверки подлинности выберите Нет.

  2. Выберите Сертификат, щелкните Выбрать и выберите правильный сертификат клиента, установленный ранее. Затем нажмите кнопку ОК.

Выбор сертификата

  1. В поле Локальный идентификатор укажите имя сертификата. В этом примере это P2SChildCertMac.

    Снимок экрана: значение локального идентификатора.

  2. Нажмите кнопку Применить, чтобы сохранить все изменения.

Подключение

  1. Выберите Подключиться, чтобы установить подключение "точка — сеть" к виртуальной сети Azure. Вам может потребоваться ввести пароль из связки ключей для вашего "имени входа".

    Снимок экрана: кнопка

  2. После установления подключения состояние поменяется на Подключено и вы можете просмотреть IP-адрес, полученный из пула адресов VPN-клиента.

    Снимок экрана: состояние

Клиент OpenVPN — навигация для macOS

В следующем примере используется TunnelBlick.

Важно!

Протокол OpenVPN поддерживает только macOS 10.13 и более поздних версий.

Примечание

Клиент OpenVPN версии 2.6 пока не поддерживается.

  1. Скачайте и установите клиент OpenVPN, например TunnelBlik.

  2. Скачайте пакет профиля VPN-клиента с портала Azure, если вы еще этого не сделали.

  3. Распакуйте профиль. Откройте файл конфигурации vpnconfig.ovpn из папки OpenVPN в текстовом редакторе.

  4. Заполните раздел сертификата клиента подключения "точка — сеть" открытым ключом сертификата клиента P2S в формате base64. В сертификате с форматированием PEM вы можете открыть файл CER и скопировать ключ в формате base64, находящийся между заголовками сертификата.

  5. Заполните раздел секретного ключа закрытым ключом сертификата клиента P2S в base64. Дополнительные сведения о том, как извлечь закрытый ключ, см. в разделе Экспорт закрытого ключа на сайте OpenVPN.

  6. Не изменяйте остальные поля. Для подключения к VPN используйте заполненную конфигурацию на входе клиента.

  7. Дважды щелкните файл профиля, чтобы создать профиль в Tunnelblik.

  8. Запустите Tunnelblik из папки приложения.

  9. Нажмите значок Tunneblik на панели задач и выберите подключение.

Клиент OpenVPN — навигация для iOS

В следующем примере используется OpenVPN Connect из Магазина приложений.

Важно!

Протокол OpenVPN поддерживает только iOS 11.0 и более поздних версий.

Примечание

OpenVPN Client версии 2.6 пока не поддерживается.

  1. Установите клиент OpenVPN (версии 2.4 или выше) из App Store. Версия 2.6 пока не поддерживается.

  2. Скачайте пакет профиля VPN-клиента с портала Azure, если вы еще этого не сделали.

  3. Распакуйте профиль. Откройте файл конфигурации vpnconfig.ovpn из папки OpenVPN в текстовом редакторе.

  4. Заполните раздел сертификата клиента подключения "точка — сеть" открытым ключом сертификата клиента P2S в формате base64. В сертификате с форматированием PEM вы можете открыть файл CER и скопировать ключ в формате base64, находящийся между заголовками сертификата.

  5. Заполните раздел секретного ключа закрытым ключом сертификата клиента P2S в base64. Дополнительные сведения о том, как извлечь закрытый ключ, см. в разделе Экспорт закрытого ключа на сайте OpenVPN.

  6. Не изменяйте остальные поля.

  7. Отправьте файл профиля (.ovpn) по электронной почте в учетную запись электронной почты, настроенную в приложении "Почта" на устройстве iPhone.

  8. Откройте сообщение электронной почты в приложении "Почта" на устройстве iPhone и нажмите вложенный файл.

    Снимок экрана: сообщение, готовое к отправке.

  9. Коснитесь More (Дополнительно), если вы не видите вариант Copy to OpenVPN (Копировать в OpenVPN).

    Снимок экрана: нажатие кнопки

  10. Коснитесь Copy to OpenVPN (Копировать в OpenVPN).

    Снимок экрана: копирование в OpenVPN.

  11. Нажмите ДОБАВИТЬ на странице Импорт профиля.

    Снимок экрана: импорт профиля.

  12. Нажмите ДОБАВИТЬ на странице Импортированный профиль.

    Снимок экрана: импортированный профиль.

  13. Запустите приложение OpenVPN и сдвиньте переключатель на странице Профиль вправо, чтобы установить подключение.

    Снимок экрана: сдвиг переключателя для подключения.

Дальнейшие действия

Руководство по созданию пользовательского соединения VPN типа "точка — сеть" с помощью Виртуальной глобальной сети Azure.