Konfigurera punkt-till-plats-VPN-klienter: certifikatautentisering – macOS och iOS

  • Artikel

Den här artikeln hjälper dig att ansluta till ditt virtuella Azure-nätverk (VNet) med hjälp av VPN Gateway punkt-till-plats (P2S) och certifikatautentisering. Det finns flera uppsättningar steg i den här artikeln, beroende på vilken tunneltyp du har valt för P2S-konfigurationen, operativsystemet och VPN-klienten som används för att ansluta.

Observera följande när du arbetar med certifikatautentisering:

  • För tunneltypen IKEv2 kan du ansluta med vpn-klienten som är internt installerad i macOS-systemet.

  • För OpenVPN-tunneltypen kan du använda en OpenVPN-klient.

  • Azure VPN-klienten är inte tillgänglig för macOS och iOS när du använder certifikatautentisering, även om du har valt OpenVPN-tunneltypen för P2S-konfigurationen.

Innan du börjar

Kontrollera att du har rätt artikel innan du börjar. I följande tabell visas de konfigurationsartiklar som är tillgängliga för Azure VPN Gateway P2S VPN-klienter. Stegen skiljer sig åt beroende på autentiseringstyp, tunneltyp och klientoperativsystem.

Autentisering Tunneltyp Generera konfigurationsfiler Konfigurera VPN-klient
Azure-certifikat IKEv2, SSTP Windows Intern VPN-klient
Azure-certifikat OpenVPN Windows - OpenVPN-klient
- Azure VPN-klient
Azure-certifikat IKEv2, OpenVPN macOS-iOS macOS-iOS
Azure-certifikat IKEv2, OpenVPN Linux Linux
Microsoft Entra ID OpenVPN (SSL) Windows Windows
Microsoft Entra ID OpenVPN (SSL) macOS macOS
RADIUS – certifikat - Artikel Artikel
RADIUS – lösenord - Artikel Artikel
RADIUS – andra metoder - Artikel Artikel

Viktigt!

Från och med 1 juli 2018 tas stödet för TLS 1.0 och 1.1 bort från Azure VPN Gateway. VPN Gateway kommer endast att stödja TLS 1.2. Endast punkt-till-plats-anslutningar påverkas. plats-till-plats-anslutningar påverkas inte. Om du använder TLS för punkt-till-plats-VPN på Windows 10- eller senare klienter behöver du inte vidta några åtgärder. Om du använder TLS för punkt-till-plats-anslutningar på Windows 7- och Windows 8-klienter kan du läsa vanliga frågor och svar om VPN Gateway för uppdateringsinstruktioner.

Generera certifikat

För certifikatautentisering måste ett klientcertifikat installeras på varje klientdator. Det klientcertifikat som du vill använda måste exporteras med den privata nyckeln och måste innehålla alla certifikat i certifieringssökvägen. För vissa konfigurationer måste du också installera rotcertifikatinformation.

Information om hur du arbetar med certifikat finns i Punkt-till-plats: Generera certifikat – Linux.

Generera VPN-klientkonfigurationsfiler

Alla nödvändiga konfigurationsinställningar för VPN-klienterna finns i en ZIP-fil för VPN-klientprofilkonfiguration. Du kan generera konfigurationsfiler för klientprofiler med Hjälp av PowerShell eller med hjälp av Azure-portalen. Båda metoderna returnerar samma zip-fil.

Konfigurationsfilerna för VPN-klientprofilen som du genererar är specifika för konfigurationen av P2S VPN-gatewayen för det virtuella nätverket. Om det finns några ändringar i P2S VPN-konfigurationen när du har genererat filerna, till exempel ändringar av VPN-protokolltypen eller autentiseringstypen, måste du generera nya konfigurationsfiler för VPN-klientprofilen och tillämpa den nya konfigurationen på alla VPN-klienter som du vill ansluta till. Mer information om P2S-anslutningar finns i Om punkt-till-plats-VPN.

Så här genererar du filer med Hjälp av Azure-portalen:

  1. I Azure-portalen går du till den virtuella nätverksgatewayen för det virtuella nätverk som du vill ansluta till.

  2. På sidan virtuell nätverksgateway väljer du Punkt-till-plats-konfiguration för att öppna konfigurationssidan punkt-till-plats.

  3. Längst upp på sidan Punkt-till-plats-konfiguration väljer du Ladda ned VPN-klient. Detta laddar inte ned VPN-klientprogramvara, utan genererar konfigurationspaketet som används för att konfigurera VPN-klienter. Det tar några minuter innan klientkonfigurationspaketet genereras. Under den här tiden kanske du inte ser några indikationer förrän paketet genererar.

    Skärmbild av punkt-till-plats-konfigurationssidan.

  4. När konfigurationspaketet har genererats anger webbläsaren att en zip-fil för klientkonfiguration är tillgänglig. Den heter samma namn som din gateway.

  5. Packa upp filen för att visa mapparna. Du använder några eller alla av dessa filer för att konfigurera VPN-klienten. De filer som genereras motsvarar inställningarna för autentisering och tunneltyp som du konfigurerade på P2S-servern.

Konfigurera sedan VPN-klienten. Välj från följande instruktioner:

IKEv2: intern VPN-klient – macOS-steg

Följande avsnitt hjälper dig att konfigurera den interna VPN-klienten som redan är installerad som en del av macOS. Den här typen av anslutning fungerar endast via IKEv2.

Visa filer

Packa upp filen för att visa mapparna. När du konfigurerar interna macOS-klienter använder du filerna i mappen Generic . Mappen Generic finns om IKEv2 har konfigurerats på gatewayen. Du hittar all information som du behöver för att konfigurera den interna VPN-klienten i mappen Generic . Om du inte ser mappen Generic kontrollerar du följande objekt och genererar sedan zip-filen igen.

  • Kontrollera tunneltypen för konfigurationen. Det är troligt att IKEv2 inte har valts som tunneltyp.
  • På VPN-gatewayen kontrollerar du att SKU:n inte är Basic. VPN Gateway Basic SKU stöder inte IKEv2. Välj sedan IKEv2 och generera zip-filen igen för att hämta mappen Generic.

Mappen Generic innehåller följande filer.

  • Vpn Inställningar.xml, som innehåller viktiga inställningar som serveradress och tunneltyp.
  • VpnServerRoot.cer, som innehåller det rotcertifikat som krävs för att verifiera Azure VPN-gatewayen under P2S-anslutningskonfigurationen.

Använd följande steg för att konfigurera den interna VPN-klienten på Mac för certifikatautentisering. De här stegen måste slutföras på alla Mac-datorer som du vill ansluta till Azure.

Installera certifikat

Rotcertifikat

  1. Kopiera till rotcertifikatfilen – VpnServerRoot.cer – till din Mac. Dubbelklicka på certifikatet. Beroende på operativsystemet installeras certifikatet antingen automatiskt eller så visas sidan Lägg till certifikat .
  2. Om du ser sidan Lägg till certifikat för Nyckelring: klicka på pilarna och välj inloggning i listrutan.
  3. Klicka på Lägg till för att importera filen.

Klientcertifikat

Klientcertifikatet används för autentisering och krävs. Vanligtvis kan du bara klicka på klientcertifikatet för att installera. Mer information om hur du installerar ett klientcertifikat finns i Installera ett klientcertifikat.

Kontrollera att certifikatet har installerats

Kontrollera att både klienten och rotcertifikatet är installerade.

  1. Öppna åtkomst till nyckelringar.
  2. Gå till fliken Certifikat .
  3. Kontrollera att både klienten och rotcertifikatet är installerade.

Konfigurera VPN-klientprofil

  1. Gå till Systeminställningar –> Nätverk. På sidan Nätverk klickar du på +för att skapa en ny VPN-klientanslutningsprofil för en P2S-anslutning till det virtuella Azure-nätverket.

    Skärmbild som visar fönstret Nätverk för att klicka på +.

  2. På sidan Välj gränssnitt klickar du på pilarna bredvid Gränssnitt:. I listrutan klickar du på VPN.

    Skärmbild som visar fönstret Nätverk med alternativet att välja ett gränssnitt, VPN är valt.

  3. För VPN-typ klickar du på IKEv2 i listrutan. I fältet Tjänstnamn anger du ett eget namn för profilen och klickar sedan på Skapa.

    Skärmbild som visar fönstret Nätverk med alternativet att välja ett gränssnitt, välja VPN-typ och ange ett tjänstnamn.

  4. Gå till VPN-klientprofilen som du laddade ned. I mappen Generic öppnar du filen Vpn Inställningar.xml med hjälp av en textredigerare. I exemplet kan du se information om tunneltypen och serveradressen. Även om det finns två VPN-typer i listan ansluter den här VPN-klienten via IKEv2. Kopiera taggvärdet VpnServer .

    Skärmbild som visar vpn Inställningar.xml-filen öppen med taggen VpnServer markerad.

  5. Klistra in taggvärdet VpnServer i både fälten Serveradress och Fjärr-ID i profilen. Lämna lokalt ID tomt. Klicka sedan på Autentisering Inställningar....

    Skärmbild som visar serverinformation som klistrats in i fält.

Konfigurera autentiseringsinställningar

Konfigurera autentiseringsinställningar. Det finns två uppsättningar med instruktioner. Välj de instruktioner som motsvarar din os-version.

Big Sur och senare

  1. På sidan Autentisering Inställningar för fältet Autentiseringsinställningar klickar du på pilarna för att välja Certifikat.

    Skärmbild som visar autentiseringsinställningar med certifikatet valt.

  2. Klicka på Välj för att öppna sidan Välj en identitet .

    Skärmbild för att klicka på Välj.

  3. sidan Välj en identitet visas en lista med certifikat som du kan välja mellan. Om du är osäker på vilket certifikat som ska användas kan du välja Visa certifikat för att se mer information om varje certifikat. Klicka på rätt certifikat och klicka sedan på Fortsätt.

    Skärmbild som visar certifikategenskaper.

  4. På sidan Autentisering Inställningar kontrollerar du att rätt certifikat visas och klickar sedan på OK.

    Skärmbild som visar dialogrutan Välj en identitet där du kan välja rätt certifikat.

Catalina

Om du använder Catalina använder du följande autentiseringsinställningar:

  1. För Autentisering Inställningar välj Ingen.

  2. Klicka på Certifikat, klicka på Välj och klicka på rätt klientcertifikat som du installerade tidigare. Klicka sedan på OK.

Ange certifikat

  1. I fältet Lokalt ID anger du namnet på certifikatet. I det här exemplet är det P2SChildCertMac.

    Skärmbild som visar det lokala ID-värdet.

  2. Klicka på Använd för att spara alla ändringar.

Anslut

  1. Klicka på Anslut för att starta P2S-anslutningen till det virtuella Azure-nätverket. Du kan behöva ange ditt "inloggningslösenord".

    Skärmbild som visar knappen Anslut.

  2. När anslutningen har upprättats visas statusen som Anslut och du kan visa IP-adressen som hämtades från VPN-klientadresspoolen.

    Skärmbild som visar Anslut.

OpenVPN: macOS-steg

I följande exempel används TunnelBlick.

Viktigt!

Endast MacOS 10.13 och senare stöds med OpenVPN-protokollet.

Kommentar

OpenVPN-klientversion 2.6 stöds ännu inte.

  1. Ladda ned och installera en OpenVPN-klient, till exempel TunnelBlick.

  2. Om du inte redan har gjort det laddar du ned VPN-klientprofilpaketet från Azure-portalen.

  3. Packa upp profilen. Öppna konfigurationsfilen vpnconfig.ovpn från mappen OpenVPN i en textredigerare.

  4. Fyll i avsnittet för P2S-klientcertifikatet med P2S-klientcertifikatets offentliga nyckel i base64. I ett PEM-formaterat certifikat kan du öppna .cer-filen och kopiera över base64-nyckeln mellan certifikatrubrikerna.

  5. Fyll i avsnittet för den privata nyckeln med P2S-klientcertifikatets privata nyckel i base64. Mer information om hur du extraherar en privat nyckel finns i Exportera din privata nyckel på OpenVPN-webbplatsen.

  6. Ändra inga andra fält. Använd den ifyllda konfigurationen i klientindata för att ansluta till VPN.

  7. Dubbelklicka på profilfilen för att skapa profilen i Tunnelblick.

  8. Starta Tunnelblick från programmappen.

  9. Klicka på Tunnelblick-ikonen i systemfältet och välj Anslut.

OpenVPN: iOS-steg

I följande exempel används OpenVPN-Anslut från App Store.

Viktigt!

Endast iOS 11.0 och senare stöds med OpenVPN-protokoll.

Kommentar

OpenVPN-klientversion 2.6 stöds ännu inte.

  1. Installera OpenVPN-klienten (version 2.4 eller senare) från App Store. Version 2.6 stöds inte ännu.

  2. Om du inte redan har gjort det laddar du ned VPN-klientprofilpaketet från Azure-portalen.

  3. Packa upp profilen. Öppna konfigurationsfilen vpnconfig.ovpn från mappen OpenVPN i en textredigerare.

  4. Fyll i avsnittet för P2S-klientcertifikatet med P2S-klientcertifikatets offentliga nyckel i base64. I ett PEM-formaterat certifikat kan du öppna .cer-filen och kopiera över base64-nyckeln mellan certifikatrubrikerna.

  5. Fyll i avsnittet för den privata nyckeln med P2S-klientcertifikatets privata nyckel i base64. Mer information om hur du extraherar en privat nyckel finns i Exportera din privata nyckel på OpenVPN-webbplatsen.

  6. Ändra inga andra fält.

  7. Skicka profilfilen (.ovpn) till ditt e-postkonto som har konfigurerats i e-postappen på din i Telefon.

  8. Öppna e-postmeddelandet i e-postappen på i Telefon och tryck på den bifogade filen.

    Skärmbild som visar meddelandet som är redo att skickas.

  9. Tryck på Mer om du inte ser alternativet Kopiera till OpenVPN.

    Skärmbild som visar hur du trycker mer.

  10. Tryck på Kopiera till OpenVPN.

    Skärmbild som visar hur du kopierar till OpenVPN.

  11. Tryck på LÄGG tillsidan Importera profil

    Skärmbild som visar importprofilen.

  12. Tryck på LÄGG tillsidan Importerad profil

    Skärmbild som visar importerad profil.

  13. Starta OpenVPN-appen och dra växeln på sidan Profil till höger för att ansluta

    Skärmbild som visar bilden för att ansluta.

Nästa steg

För ytterligare steg går du tillbaka till den ursprungliga punkt-till-plats-artikeln som du arbetade från.