Настройка VPN-клиентов типа "точка — сеть": проверка подлинности на основе сертификата — Windows

Эта статья поможет вам подключиться к виртуальной сети Azure с помощью VPN-шлюз подключения типа "точка — сеть" (P2S) и проверки подлинности на основе сертификата. В этой статье описано несколько наборов действий в зависимости от типа туннеля, выбранного для конфигурации P2S, операционной системы и VPN-клиента, используемого для подключения.

При подключении к виртуальной сети Azure с помощью туннеля P2S IKEv2/SSTP и проверки подлинности на основе сертификата можно использовать VPN-клиент, который изначально установлен в операционной системе Windows, из которой вы подключаетесь. Если вы используете тип туннеля OpenVPN, вы также можете использовать VPN-клиент Azure или клиентское программное обеспечение OpenVPN. В этой статье описывается настройка VPN-клиентов.

Подготовка к работе

Перед началом убедитесь, что вы работаете с нужной статьей. В следующей таблице приведены статьи о конфигурации, доступные для VPN-клиентов Azure VPN-шлюза P2S. Шаги различаются в зависимости от типа проверки подлинности, типа туннеля и клиентской ОС.

Проверка подлинности Тип туннеля Статья с руководством
Сертификат Azure IKEv2, OpenVPN, SSTP Windows
Сертификат Azure IKEv2, OpenVPN macOS-iOS
Сертификат Azure IKEv2, OpenVPN Linux
Azure AD OpenVPN (SSL) Windows
Azure AD OpenVPN (SSL) macOS
RADIUS — сертификат - Статья
RADIUS — пароль - Статья
RADIUS — другие методы - Статья

Важно!

Начиная с 1 июля 2018 года прекращается поддержка TLS 1.0 и TLS 1.1 в VPN-шлюзе Azure. VPN-шлюз будет поддерживать только TLS 1.2. Затрагиваются только подключения "точка — сеть", но не подключения "сеть — сеть". Если вы используете TLS для VPN-подключений "точка — сеть" на клиентах с Windows 10 или более поздней версии, никаких действий не требуется. Если вы используете TLS для подключений "точка — сеть" на клиентах с Windows 7 и Windows 8, инструкции по обновлению см. в разделе VPN-шлюз: вопросы и ответы.

Создание файлов конфигурации VPN-клиента

Все необходимые параметры конфигурации для VPN-клиентов содержатся в ZIP-файле конфигурации профиля VPN-клиента. Файлы конфигурации профиля клиента можно создать с помощью PowerShell или с помощью портал Azure. И в первом, и во втором случае возвращается один и тот же ZIP-файл.

Создаваемые файлы конфигурации профиля VPN-клиента относятся к конфигурации VPN-шлюза P2S для виртуальной сети. Если после создания файлов в конфигурации VPN типа "точка — сеть" будут изменены, например тип протокола VPN или тип проверки подлинности, необходимо создать новые файлы конфигурации профиля VPN-клиента и применить новую конфигурацию ко всем VPN-клиентам, к которым требуется подключиться. Дополнительные сведения о конфигурациях P2S см. в статье Сведения о VPN "точка — сеть".

PowerShell

При создании файлов конфигурации VPN-клиента значение для параметра -AuthenticationMethod равно EapTls. Создайте конфигурацию VPN-клиента с помощью следующей команды:

$profile=New-AzVpnClientConfiguration -ResourceGroupName "TestRG" -Name "VNet1GW" -AuthenticationMethod "EapTls"

$profile.VPNProfileSASUrl

Портал Azure

  1. В портал Azure перейдите к шлюзу виртуальной сети, к которой требуется подключиться.

  2. На странице шлюза виртуальной сети выберите элемент Конфигурация "точка — сеть" , чтобы открыть страницу этой конфигурации.

  3. В верхней части страницы конфигурации "точка — сеть " выберите Скачать VPN-клиент. При этом не скачивается клиентское программное обеспечение для VPN, а создается пакет конфигурации для настройки VPN-клиентов. Пакет конфигурации клиента создается несколько минут. Пока пакет не будет создан, может ничего не происходить.

    Снимок экрана: страница конфигурации

  4. После создания пакета конфигурации браузер выявляет, что доступен ZIP-файл конфигурации клиента. Он получает такое же имя, как у вашего шлюза. Распакуйте файл. После этого отобразятся папки.

Создание сертификатов клиентов

Для проверки подлинности сертификата на каждом клиентском компьютере должен быть установлен сертификат клиента. Сертификат клиента, который вы хотите использовать, должен быть экспортирован с закрытым ключом и содержать все сертификаты в пути сертификации. Кроме того, для некоторых конфигураций также потребуется установить сведения о корневом сертификате.

Во многих случаях сертификат клиента можно установить непосредственно на клиентском компьютере, дважды щелкнув его. Однако для некоторых конфигураций клиента OpenVPN может потребоваться извлечь сведения из сертификата клиента, чтобы завершить настройку.

  • Сведения о работе с сертификатами см. в разделе Точка — сеть: создание сертификатов.
  • Чтобы просмотреть установленный сертификат клиента, откройте раздел Управление сертификатами пользователей. Сертификат клиента устанавливается в каталог Current User\Personal\Certificates.

Затем настройте VPN-клиент. Выберите один из следующих инструкций:

IKEv2 и SSTP: шаги собственного VPN-клиента

В этом разделе описано, как настроить собственный VPN-клиент, который является частью операционной системы Windows, для подключения к виртуальной сети. Для такой конфигурации дополнительное клиентское программное обеспечение не требуется.

Просмотр файлов конфигурации

Распакуйте файл конфигурации профиля VPN-клиента, чтобы просмотреть следующие папки:

  • WindowsAmd64 и WindowsX86, которые содержат пакеты установщика 64- и 32-разрядной версий Windows. Пакет установщика WindowsAmd64 предназначен для всех поддерживаемых 64-разрядных клиентов Windows, не только Amd.
  • Generic. Эта папка содержит общие сведения для создания собственной конфигурации VPN-клиента. Эта папка доступна, если для шлюза настроены протоколы IKEv2 и SSTP+IKEv2. Если настроен только протокол SSTP, эта папка отсутствует.

Настройка профиля VPN-клиента

На каждом клиентском компьютере Windows можно использовать один и тот же пакет конфигурации VPN-клиента, если его версия соответствует архитектуре клиента. Список поддерживаемых клиентских операционных систем см. в разделе с описанием подключений типа "точка — сеть" в статье VPN-шлюз: вопросы и ответы.

Примечание

Вам потребуются права администратора для клиентского компьютера Windows, с которого устанавливается подключение.

  1. Выберите файлы конфигурации VPN-клиента, которые соответствуют архитектуре компьютера Windows. Для 64-разрядной архитектуры процессора выберите пакет установщика VpnClientSetupAmd64. Для 32-разрядной архитектуры процессора выберите пакет установщика VpnClientSetupX86.

  2. Дважды щелкните пакет, чтобы установить его. При появлении всплывающего окна SmartScreen щелкните Дополнительно, а затем выберите Выполнить в любом случае.

  3. Установите сертификат клиента. Как правило, это можно сделать, дважды щелкнув файл сертификата и указав пароль при необходимости. Дополнительные сведения см. в разделе Установка сертификатов клиента.

  4. Подключитесь к VPN. Перейдите к параметрам VPN и найдите созданное VPN-подключение. Это то же имя, что и виртуальная сеть. Выберите Подключиться. Может появиться всплывающее сообщение. В таком случае выберите Продолжить, чтобы использовать более высокий уровень привилегий.

  5. На странице Состояние подключения выберите Подключить , чтобы начать подключение. При отображении экрана Выбор сертификата убедитесь, что отображается именно тот сертификат клиента, который предполагается использовать для соединения. Если это не так, воспользуйтесь стрелкой раскрывающегося списка, чтобы выбрать правильный сертификат, а затем нажмите кнопку ОК.

OpenVPN: шаги VPN-клиента Azure

Этот раздел относится к конфигурациям проверки подлинности сертификатов, использующих тип туннеля OpenVPN. Следующие действия помогут скачать, установить и настроить VPN-клиент Azure для подключения к виртуальной сети. Чтобы подключиться к виртуальной сети, для каждого клиента должны быть выполнены следующие условия:

  • Установлено программное обеспечение VPN-клиента Azure.
  • Профиль VPN-клиента Azure настраивается с помощью загруженного файла конфигурации azurevpnconfig.xml .
  • Сертификат клиента установлен локально.

Просмотр файлов конфигурации

При открытии ZIP-файла вы увидите папку AzureVPN. Найдите файл azurevpnconfig.xml. Этот файл содержит параметры, используемые для настройки профиля VPN-клиента. Если файл не отображается, проверьте следующее:

  • Убедитесь, что VPN-шлюз настроен для использования типа туннеля OpenVPN.
  • Если вы используете проверку подлинности Azure AD, папка AzureVPN может отсутствовать. См. вместо этого статью о конфигурации Azure AD.

Загрузка VPN-клиента Azure

  1. Загрузите последнюю версию установочных файлов VPN-клиента Azure, используя одну из следующих ссылок:

    • Выполните установку с использованием установочных файлов клиента: https://aka.ms/azvpnclientdownload.
    • Установите напрямую после входа на клиентский компьютер: Microsoft Store.
  2. Установите клиент Azure на все компьютеры.

  3. Убедитесь в том, что у VPN-клиента Azure есть разрешение на запуск в фоновом режиме. Инструкции см. в статье Фоновые приложения Windows.

  4. Чтобы проверить установленную версию клиента, откройте VPN-клиент Azure. Перейдите в нижнюю часть клиента и щелкните ... -> ? Справка. В правой области отображается номер версии клиента.

Настройка профиля VPN-клиента

  1. Откройте VPN-клиент Azure.

  2. Щелкните + в нижней левой части страницы, а затем выберите Импорт.

  3. В окне перейдите к файлу azurevpnconfig.xml, выберите его, а затем нажмите кнопку Открыть.

  4. В раскрывающемся списке Сведения о сертификате выберите имя дочернего сертификата (сертификат клиента). Например, P2SChildCert.

    Снимок экрана: страница конфигурации профиля клиента VPN Azure.

    Если сертификат клиента не отображается в раскрывающемся списке Сведения о сертификате , необходимо отменить и устранить проблему, прежде чем продолжить. Возможно, что имеет место одна из следующих ситуаций:

    • Сертификат клиента не установлен локально на клиентском компьютере.
    • На локальном компьютере установлено несколько сертификатов с одинаковым именем (типично для тестовых сред).
    • Дочерний сертификат поврежден.
  5. После проверки импорта (импорт выполняется без ошибок) нажмите кнопку Сохранить.

  6. На панели слева найдите VPN-подключение, а затем щелкните Подключение.

Необязательные параметры для VPN-клиента Azure

В следующих разделах рассматриваются дополнительные необязательные параметры конфигурации, доступные для VPN-клиента Azure.

Профиль вторичного VPN-клиента

VPN-клиент Azure обеспечивает высокий уровень доступности для профилей клиентов. Добавление дополнительного профиля клиента дает клиенту более устойчивый способ доступа к VPN. При сбое в регионе или сбое подключения к профилю основного VPN-клиента VPN клиент Azure автоматически подключается к профилю дополнительного клиента без каких-либо сбоев.

Для этой функции требуется VPN-клиент Azure версии 2.2124.51.0, который в настоящее время находится в процессе развертывания. Чтобы использовать эту функцию, добавьте еще один профиль VPN-клиента в VPN-клиент Azure. Затем выберите дополнительный профиль в раскрывающемся списке Дополнительный профиль .

Пользовательские параметры: DNS и маршрутизация

Вы можете настроить VPN-клиент Azure с дополнительными параметрами конфигурации, такими как дополнительные DNS-серверы, настраиваемые DNS, принудительное туннелирование, пользовательские маршруты и другие дополнительные параметры. Описание доступных параметров и действий по настройке см. в разделе Необязательные параметры VPN-клиента Azure.

OpenVPN: шаги клиента OpenVPN

Этот раздел описывает конфигурации проверки подлинности на основе сертификата, настроенные для использования типа туннеля OpenVPN. Следующие шаги помогут настроить клиент протокола OpenVPN® и подключиться к виртуальной сети.

Просмотр файлов конфигурации

При открытии ZIP-файла пакета конфигурации VPN-клиента должна появиться папка OpenVPN. Если папка не отображается, проверьте следующее:

  • Убедитесь, что VPN-шлюз настроен для использования типа туннеля OpenVPN.
  • Если вы используете проверку подлинности Azure AD, папка OpenVPN может отсутствовать. См. вместо этого статью о конфигурации Azure AD.
  1. Загрузите и установите официальный клиент OpenVPN (версии 2.4 или выше) с веб-сайта OpenVPN.

  2. Найдите пакет конфигурации профиля VPN-клиента, который вы создали и скачали на компьютер. Извлеките пакет. Перейдите в папку OpenVPN и откройте файл конфигурации vpnconfig.ovpn с помощью Блокнота.

  3. Затем найдите созданный дочерний сертификат. Если у вас нет сертификата, воспользуйтесь одной из следующих ссылок, чтобы выполнить экспорт сертификата. Сведения о сертификате будут использоваться на следующем шаге.

  4. Из дочернего сертификата извлеките закрытый ключ и отпечаток base64 из PFX-файла. Это можно сделать несколькими способами. Это можно сделать с помощью OpenSSL на компьютере. Файл profileinfo.txt содержит закрытый ключ, отпечаток для ЦС и сертификат клиента. Не забудьте использовать отпечаток сертификата клиента.

    openssl pkcs12 -in "filename.pfx" -nodes -out "profileinfo.txt"
    
  5. Перейдите к файлу vpnconfig.ovpn , открытому в Блокноте. Заполните раздел между <cert> и </cert>, получив значения для $CLIENT_CERTIFICATE, $INTERMEDIATE_CERTIFICATE и $ROOT_CERTIFICATE, как показано ниже.

       # P2S client certificate
       # please fill this field with a PEM formatted cert
       <cert>
       $CLIENT_CERTIFICATE
       $INTERMEDIATE_CERTIFICATE (optional)
       $ROOT_CERTIFICATE
       </cert>
    
    • Откройте в Блокноте файл profileinfo.txt с предыдущего шага. Каждый сертификат можно определить, просмотрев строку subject=. Например, если ваш дочерний сертификат называется P2SChildCert, сертификат клиента будет указан после атрибута subject=CN = P2SChildCert.
    • Для каждого сертификата в цепочке скопируйте текст "-----BEGIN CERTIFICATE-----" и "-----END CERTIFICATE-----" (включая текст между ними).
    • Значение $INTERMEDIATE_CERTIFICATE добавляйте только в том случае, если в файле profileinfo.txt есть промежуточный сертификат.
  6. Откройте файл profileinfo.txt в Блокноте. Чтобы получить закрытый ключ, выделите текст между "-----BEGIN PRIVATE KEY-----" и "-----END PRIVATE KEY-----" (включая эти строки) и скопируйте его.

  7. Вернитесь к файлу vpnconfig.ovpn в Блокноте и найдите этот раздел. Вставьте закрытый ключ, заменив все между <key> и </key>.

    # P2S client root certificate private key
    # please fill this field with a PEM formatted key
    <key>
    $PRIVATEKEY
    </key>
    
  8. Не изменяйте остальные поля. Для подключения к VPN используйте заполненную конфигурацию на входе клиента.

  9. Скопируйте файл vpnconfig.ovpn в папку C:\Program Files\OpenVPN\config.

  10. Щелкните правой кнопкой мыши значок OpenVPN в области уведомлений и выберите подключиться.

Дальнейшие действия

Дополнительные действия см. в статье P2S, в которую вы работали.