Настройка VPN-клиентов типа "точка — сеть": проверка подлинности сертификатов — macOS и iOS

  • Статья

В этой статье показано, как подключиться к виртуальной сети Azure с помощью VPN-шлюз проверки подлинности типа "точка — сеть" (P2S) и проверки подлинности на основе сертификатов. В этой статье существует несколько наборов шагов в зависимости от типа туннеля, выбранного для конфигурации P2S, операционной системы и VPN-клиента, используемого для подключения.

Обратите внимание на следующее при работе с проверкой подлинности сертификата:

  • Для типа туннеля IKEv2 можно подключиться с помощью VPN-клиента, который изначально установлен в системе macOS.

  • Для типа туннеля OpenVPN можно использовать клиент OpenVPN.

  • VPN-клиент Azure недоступен для macOS и iOS при использовании проверки подлинности сертификата, даже если выбран тип туннеля OpenVPN для конфигурации P2S.

Подготовка к работе

Перед началом убедитесь, что вы работаете с нужной статьей. В следующей таблице приведены статьи о конфигурации, доступные для VPN-клиентов P2S VPN-шлюза Azure. Шаги различаются в зависимости от типа проверки подлинности, типа туннеля и клиентской ОС.

Проверка подлинности Тип туннеля Создание файлов конфигурации Настройка VPN-клиента
Сертификат Azure IKEv2, SSTP Windows Собственный VPN-клиент
Сертификат Azure OpenVPN Windows - Клиент OpenVPN
- VPN-клиент Azure
Сертификат Azure IKEv2, OpenVPN macOS-iOS macOS-iOS
Сертификат Azure IKEv2, OpenVPN Linux Linux
Microsoft Entra ID OpenVPN (SSL) Windows Windows
Microsoft Entra ID OpenVPN (SSL) macOS macOS
RADIUS — сертификат - Статья Статья
RADIUS — пароль - Статья Статья
RADIUS — другие методы - Статья Статья

Внимание

Начиная с 1 июля 2018 года прекращается поддержка TLS 1.0 и TLS 1.1 в VPN-шлюзе Azure. VPN-шлюз будет поддерживать только TLS 1.2. Затрагиваются только подключения "точка — сеть", но не подключения "сеть — сеть". Если вы используете TLS для VPN-подключений "точка — сеть" на клиентах с Windows 10 или более поздней версии, никаких действий не требуется. Если вы используете TLS для подключений "точка — сеть" клиентов с Windows 7 и Windows 8, обратитесь к разделу VPN-шлюз: вопросы и ответы за инструкциями по обновлению.

Создание сертификатов

Для проверки подлинности сертификата сертификат должен быть установлен на каждом клиентском компьютере. Сертификат клиента, который вы хотите использовать, должен экспортироваться с закрытым ключом и содержать все сертификаты в пути сертификации. Кроме того, для некоторых конфигураций также потребуется установить сведения о корневом сертификате.

Сведения о работе с сертификатами см . на сайте "Точка — сеть": создание сертификатов — Linux.

Создание файлов конфигурации VPN-клиента

Все необходимые параметры конфигурации для VPN-клиентов содержатся в ZIP-файле конфигурации профиля VPN-клиента. Файлы конфигурации профиля клиента можно создать с помощью PowerShell или с помощью портал Azure. И в первом, и во втором случае возвращается один и тот же ZIP-файл.

Файлы конфигурации профиля VPN-клиента, которые вы создаете, относятся к конфигурации VPN-шлюза P2S для виртуальной сети. Если после создания файлов есть какие-либо изменения в конфигурации VPN P2S, например изменения типа VPN-протокола или типа проверки подлинности, необходимо создать новые файлы конфигурации профиля VPN-клиента и применить новую конфигурацию ко всем VPN-клиентам, которые требуется подключить. Дополнительные сведения о подключениях P2S см. в статье Сведения о VPN-подключениях типа "точка — сеть".

Чтобы создать файлы с помощью портал Azure:

  1. В портал Azure перейдите к шлюзу виртуальной сети для виртуальной сети, к которой требуется подключиться.

  2. На странице шлюза виртуальной сети выберите элемент Конфигурация "точка — сеть", чтобы открыть страницу этой конфигурации.

  3. В верхней части страницы конфигурации "Точка — сеть" выберите "Скачать VPN-клиент". При этом не скачивается клиентское программное обеспечение для VPN, а создается пакет конфигурации для настройки VPN-клиентов. Пакет конфигурации клиента создается несколько минут. В течение этого времени может не отображаться никаких признаков, пока пакет не будет создан.

    Снимок экрана: страница конфигурации

  4. После создания пакета конфигурации браузер указывает, что zip-файл конфигурации клиента доступен. Он получает такое же имя, как у вашего шлюза.

  5. Распакуйте файл. После этого отобразятся папки. Вы будете использовать некоторые или все эти файлы для настройки VPN-клиента. Созданные файлы соответствуют параметрам типа проверки подлинности и туннеля, настроенным на сервере P2S.

Затем настройте VPN-клиент. Выберите из следующих инструкций:

IKEv2: собственный VPN-клиент — шаги macOS

В следующих разделах описана настройка собственного VPN-клиента, который уже установлен в составе macOS. Этот тип подключения работает только над IKEv2.

Просмотреть файлы

Распакуйте файл. После этого отобразятся папки. При настройке собственных клиентов macOS используются файлы в папке Generic. Эта папка доступна, если для шлюза настроен протокол IKEv2. Все сведения, необходимые для настройки собственного VPN-клиента, можно найти в папке Generic. Если вы не видите папку Generic, проверьте следующие элементы, а затем создайте ZIP-файл еще раз.

  • Проверьте тип туннеля для вашей конфигурации. Скорее всего, вы не выбрали IKEv2 в качестве типа туннеля.
  • В VPN-шлюзе убедитесь в том, что номер SKU отличается от базового. VPN-шлюз со SKU "Базовый" не поддерживает IKEv2. Затем выберите IKEv2 и создайте ZIP-файл еще раз для получения папки Generic.

Папка Generic содержит следующие файлы.

  • Файл VpnSettings.xml — содержит такие важные параметры, как адрес сервера и тип туннеля.
  • Файл VpnServerRoot.cer содержит корневой сертификат, который требуется для проверки VPN-шлюза Azure при настройке подключения типа "точка — сеть".

Чтобы настроить на устройстве Mac собственный VPN-клиент для аутентификации на основе сертификата, сделайте следующее: Эти действия необходимо выполнить на каждом компьютере Mac, который нужно подключить к Azure.

Установка сертификатов

Корневой сертификат

  1. Скопируйте файл корневого сертификата VpnServerRoot.cer на компьютер Mac. Дважды щелкните сертификат. В зависимости от операционной системы либо сертификат будет установлен автоматически, либо откроется страница Добавление сертификатов.
  2. Если отображается страница Добавление сертификатов, для Цепочки ключей щелкните стрелки и выберите имя входа в раскрывающемся списке.
  3. Чтобы импортировать файл, щелкните Добавить.

Сертификат клиента

Этот сертификат клиента требуется для аутентификации. Как правило, можно просто щелкнуть сертификат клиента для установки. Сведения о том, как установить сертификат клиента, см. в разделе Установка сертификата клиента.

Проверка установки сертификата

Убедитесь в том, что установлены как сертификат клиента, так и корневой сертификат.

  1. Откройте приложение Keychain Access.
  2. Перейдите на вкладку Сертификаты.
  3. Убедитесь в том, что установлены как сертификат клиента, так и корневой сертификат.

Настройка профиля VPN-клиента

  1. Выберите Настройки системы -> Сеть. На странице "Сеть" щелкните '+', чтобы создать профиль подключения VPN-клиента для подключения типа "точка — сеть" к виртуальной сети Azure.

    Снимок экрана: окно

  2. На странице Выбор интерфейса щелкните стрелки рядом с пунктом Интерфейс:. В раскрывающемся списке выберите VPN.

    Снимок экрана: окно

  3. В раскрывающемся списке Тип VPN выберите IKEv2. В поле Имя службы укажите понятное имя для профиля, а затем нажмите Создать.

    Снимок экрана, на котором показано окно сети для выбора интерфейса, выбора типа VPN и ввода имени службы.

  4. Перейдите в скачанный профиль VPN-клиента. В папке Generic откройте файл VpnSettings.xml в текстовом редакторе. В этом примере можно просмотреть сведения о типе туннеля и адресе сервера. Несмотря на то, что в списке есть два типа VPN, этот VPN-клиент будет подключаться через IKEv2. Скопируйте значение тега VpnServer.

    Снимок экрана: открытый файл VpnSettings.xml с выделенным тегом VpnServer.

  5. Вставьте значение тега VpnServer в поля профиля Адрес сервера и Удаленный ИД. Оставьте пустым поле Локальный идентификатор. Затем щелкните Параметры аутентификации....

    Снимок экрана: информация о сервере, вставленная в поля.

Настройка параметров проверки подлинности

Настройте параметры проверки подлинности. Есть два набора инструкций. Выберите инструкции, соответствующие вашей версии ОС.

Big Sur и более поздние версии

  1. На странице Параметры проверки подлинности в поле "Параметры проверки подлинности" щелкните стрелки, чтобы выбрать Сертификат.

    Снимок экрана: параметры проверки подлинности с выбранным сертификатом.

  2. Щелкните Выбрать, чтобы открыть страницу Выбор удостоверения.

    Снимок экрана: кнопка

  3. На странице Выбор удостоверения приводится список доступных сертификатов. Если вы не уверены, какой сертификат следует использовать, можно щелкнуть Показать сертификат, чтобы просмотреть дополнительные сведения о каждом сертификате. Выберите нужный сертификат, а затем щелкните Продолжить.

    Снимок экрана: свойства сертификата.

  4. На странице Параметры проверки подлинности убедитесь в том, что отображается правильный сертификат, а затем нажмите кнопку ОК.

    Снимок экрана, на котором показано диалоговое окно

Catalina

Если вы используете Catalina, выполните следующие действия по проверке подлинности:

  1. В разделе Параметры проверки подлинности выберите Нет.

  2. Щелкните Сертификат, затем Выбрать и выберите правильный сертификат клиента, установленный ранее. Затем нажмите кнопку ОК.

Выбор сертификата

  1. В поле Локальный идентификатор укажите имя сертификата. В этом примере это P2SChildCertMac.

    Снимок экрана: значение локального идентификатора.

  2. Нажмите кнопку Применить, чтобы сохранить все изменения.

Связь

  1. Выберите Подключиться, чтобы установить подключение "точка — сеть" к виртуальной сети Azure. Вам может потребоваться ввести пароль из связки ключей для вашего "имени входа".

    Снимок экрана: кнопка

  2. После установления подключения состояние поменяется на Подключено и вы можете просмотреть IP-адрес, полученный из пула адресов VPN-клиента.

    Снимок экрана: состояние

OpenVPN: шаги macOS

В следующем примере используется TunnelBlick.

Внимание

Протокол OpenVPN поддерживает только macOS 10.13 и более поздних версий.

Примечание.

Клиент OpenVPN версии 2.6 еще не поддерживается.

  1. Скачайте и установите клиент OpenVPN, например TunnelBlik.

  2. Скачайте пакет профиля VPN-клиента с портала Azure, если вы еще этого не сделали.

  3. Распакуйте профиль. Откройте файл конфигурации vpnconfig.ovpn из папки OpenVPN в текстовом редакторе.

  4. Заполните раздел сертификата клиента подключения "точка — сеть" открытым ключом сертификата клиента P2S в формате base64. В сертификате с форматированием PEM вы можете открыть файл CER и скопировать ключ в формате base64, находящийся между заголовками сертификата.

  5. Заполните раздел секретного ключа закрытым ключом сертификата клиента P2S в base64. Дополнительные сведения о том, как извлечь закрытый ключ, см. в разделе Экспорт закрытого ключа на сайте OpenVPN.

  6. Не изменяйте остальные поля. Для подключения к VPN используйте заполненную конфигурацию на входе клиента.

  7. Дважды щелкните файл профиля, чтобы создать профиль в Tunnelblik.

  8. Запустите Tunnelblik из папки приложения.

  9. Нажмите значок Tunneblik на панели задач и выберите подключение.

OpenVPN: шаги iOS

В следующем примере используется OpenVPN Connect из Магазина приложений.

Внимание

Протокол OpenVPN поддерживает только iOS 11.0 и более поздних версий.

Примечание.

Клиент OpenVPN версии 2.6 еще не поддерживается.

  1. Установите клиент OpenVPN (версии 2.4 или выше) из App Store. Версия 2.6 еще не поддерживается.

  2. Скачайте пакет профиля VPN-клиента с портала Azure, если вы еще этого не сделали.

  3. Распакуйте профиль. Откройте файл конфигурации vpnconfig.ovpn из папки OpenVPN в текстовом редакторе.

  4. Заполните раздел сертификата клиента подключения "точка — сеть" открытым ключом сертификата клиента P2S в формате base64. В сертификате с форматированием PEM вы можете открыть файл CER и скопировать ключ в формате base64, находящийся между заголовками сертификата.

  5. Заполните раздел секретного ключа закрытым ключом сертификата клиента P2S в base64. Дополнительные сведения о том, как извлечь закрытый ключ, см. в разделе Экспорт закрытого ключа на сайте OpenVPN.

  6. Не изменяйте остальные поля.

  7. Отправьте файл профиля (.ovpn) по электронной почте в учетную запись электронной почты, настроенную в приложении "Почта" на устройстве iPhone.

  8. Откройте сообщение электронной почты в приложении "Почта" на устройстве iPhone и нажмите вложенный файл.

    Снимок экрана: сообщение, готовое к отправке.

  9. Коснитесь More (Дополнительно), если вы не видите вариант Copy to OpenVPN (Копировать в OpenVPN).

    Снимок экрана: нажатие кнопки

  10. Коснитесь Copy to OpenVPN (Копировать в OpenVPN).

    Снимок экрана: копирование в OpenVPN.

  11. Нажмите ДОБАВИТЬ на странице Импорт профиля.

    Снимок экрана: импорт профиля.

  12. Нажмите ДОБАВИТЬ на странице Импортированный профиль.

    Снимок экрана: импортированный профиль.

  13. Запустите приложение OpenVPN и сдвиньте переключатель на странице Профиль вправо, чтобы установить подключение.

    Снимок экрана: сдвиг переключателя для подключения.

Следующие шаги

Чтобы узнать о дополнительных шагах, вернитесь к исходной статье о конфигурации "точка — сеть", с которой вы работали.