通过

你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

配置 P2S 用户 VPN 客户端:证书身份验证 - OpenVPN 客户端 - macOS

本文可帮助你在 macOS 中使用 OpenVPN 客户端通过虚拟 WAN 用户 VPN 点到站点 (P2S) 和证书身份验证连接到 Azure 虚拟网络 (VNet)。

先决条件

本文假定你已执行以下先决条件:

  • 你已完成教程:使用 Azure 虚拟 WAN 创建 P2S 用户 VPN 连接中的必要配置步骤。
  • 你已生成并下载了 VPN 客户端配置文件。 生成的 VPN 客户端配置文件是你下载的虚拟 WAN 用户 VPN 配置文件专用的。 虚拟 WAN 有两种不同类型的配置文件:WAN 级(全局)和集线器级。 有关详细信息,请参阅“下载全局和中心 VPN 配置文件”。 如果生成文件后 P2S VPN 配置有任何更改,或者切换为其他配置文件类型,则需要生成新的 VPN 客户端配置文件,并将新配置应用到所有要连接的 VPN 客户端。
  • 你已获取必要的证书。 你可以生成客户端证书,也可以获取进行身份验证所需的相应客户端证书。 确保你拥有客户端证书和根服务器证书信息。

连接要求

若要使用 OpenVPN 客户端通过证书身份验证连接到 Azure,每个连接客户端都需要以下项:

  • 必须在每台客户端上安装和配置 OpenVPN 客户端软件。
  • 客户端必须具有本地安装的客户端证书。

关于证书

对于证书身份验证,必须在要连接到 VPN 网关的每个客户端计算机上安装客户端证书。 要使用的客户端证书必须使用私钥导出,并且必须包含证书路径中的所有证书。 此外,对于某些配置,还需要安装根证书信息。

本文中的 OpenVPN 客户端使用以 .pfx 格式导出的证书。 可以使用 Windows 指令轻松地将客户端证书导出为这种格式。 请参阅“生成和导出用于用户 VPN 连接的证书”。 如果没有 Windows 计算机,作为解决方法,可以使用小型 Windows VM 将证书导出为所需的 .pfx 格式

生成客户端证书

对于证书身份验证,必须在每台客户端计算机上安装客户端证书。 要使用的客户端证书必须使用私钥导出,并且必须包含证书路径中的所有证书。

有关使用证书的信息,请参阅生成和导出证书

配置 OpenVPN 客户端

以下示例使用 TunnelBlick。

重要

只有 macOS 10.13 及更高版本支持 OpenVPN 协议。

注意

尚不支持 OpenVPN 客户端版本 2.6。

  1. 下载并安装 OpenVPN 客户端,如 TunnelBlick

  2. 从 Azure 门户下载 VPN 客户端配置文件包。

  3. 解压缩该配置文件。 在某个文本编辑器中打开 OpenVPN 文件夹中的 vpnconfig.ovpn 配置文件。

  4. 使用 base64 中的 P2S 客户端证书公钥填写 P2S 客户端证书部分。 在 PEM 格式的证书中,可以打开 .cer 文件并在证书标头之间复制 base64 密钥。

  5. 使用 base64 中的 P2S 客户端证书私钥填写私钥部分。 有关如何提取私钥的信息,请参阅 OpenVPN 网站上的导出私钥

  6. 请勿更改任何其他字段。 使用客户端输入中的已填充的配置连接到 VPN。

  7. 双击配置文件以在 Tunnelblick 中创建配置文件。

  8. 启动应用程序文件夹中的 Tunnelblick。

  9. 单击系统托盘中的 Tunnelblick 图标,然后单击“连接”。

后续步骤

继续进行任何其他服务器或连接设置。 请参阅教程:使用 Azure 虚拟 WAN 创建 P2S 用户 VPN 连接