你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

配置点到站点 VPN 客户端:证书身份验证 - macOS 和 iOS

  • 项目

本文可帮助你使用 VPN 网关点到站点 (P2S) 和证书身份验证连接到 Azure 虚拟网络 (VNet)。 本文提供了多组步骤,具体步骤取决于为 P2S 配置选择的隧道类型、操作系统和用于连接的 VPN 客户端。

在使用证书身份验证时,请注意以下事项:

  • 对于 IKEv2 隧道类型,可以使用在 macOS 系统上本机安装的 VPN 客户端进行连接。

  • 对于 OpenVPN 隧道类型,可以使用 OpenVPN 客户端。

  • 使用证书身份验证时,Azure VPN 客户端不适用于 macOS 和 iOS,即使为 P2S 配置选择了 OpenVPN 隧道类型也是如此。

开始之前

在开始之前,请验证文章是否正确。 下表显示了 Azure VPN 网关 P2S VPN 客户端可用的配置文章。 步骤因身份验证类型、隧道类型和客户端 OS 而有所不同。

身份验证 隧道类型 生成配置文件 配置 VPN 客户端
Azure 证书 IKEv2、SSTP Windows 本机 VPN 客户端
Azure 证书 OpenVPN Windows - OpenVPN 客户端
- Azure VPN 客户端
Azure 证书 IKEv2、OpenVPN macOS-iOS macOS-iOS
Azure 证书 IKEv2、OpenVPN Linux Linux
Microsoft Entra ID OpenVPN (SSL) Windows Windows
Microsoft Entra ID OpenVPN (SSL) macOS macOS
RADIUS - 证书 - 文章 文章
RADIUS - 密码 - 文章 文章
RADIUS - 其他方法 - 文章 文章

重要

从 2018 年 7 月 1 日开始,Azure VPN 网关将不再支持 TLS 1.0 和 1.1。 VPN 网关将仅支持 TLS 1.2。 仅点到站点连接会受到影响;站点到站点连接不受影响。 如果你在 Windows 10 及更高版本客户端上将 TLS 用于点到站点 VPN,则你无需采取任何操作。 如果在 Windows 7 和 Windows 8 客户端上使用 TLS 建立点到站点连接,请参阅 VPN 网关常见问题解答,了解更新说明。

生成证书

对于证书身份验证,必须在每台客户端计算机上安装客户端证书。 要使用的客户端证书必须使用私钥导出,并且必须包含证书路径中的所有证书。 此外,对于某些配置,还需要安装根证书信息。

有关使用证书的信息,请参阅点到站点:生成证书 - Linux

生成 VPN 客户端配置文件

VPN 客户端的所有必需配置设置都包含在 VPN 客户端 zip 配置文件中。 可使用 PowerShell 或 Azure 门户生成客户端配置文件。 两种方法之一都会返回相同的 zip 文件。

生成的 VPN 客户端配置文件特定于虚拟网络的 P2S VPN 网关配置。 如果生成文件后 P2S VPN 配置有任何更改,例如 VPN 协议类型或身份验证类型出现更改,则需要生成新的 VPN 客户端配置文件,并将新配置应用到所有要连接的 VPN 客户端。 有关 P2S 配置的详细信息,请参阅关于点到站点 VPN

使用 Azure 门户生成文件:

  1. 在 Azure 门户中,转到要连接到的虚拟网络的虚拟网络网关。

  2. 在虚拟网络网关页上,选择“点到站点配置”以打开“点到站点配置”页。

  3. 在“点到站点配置”页的顶部,选择“下载 VPN 客户端”。 这不会下载 VPN 客户端软件,它将生成用来配置 VPN 客户端的配置包。 需要几分钟才能生成客户端配置包。 在此期间,在包生成前,可能不会显示任何指示。

    点到站点配置页的屏幕截图。

  4. 生成配置包后,浏览器将显示有一个客户端配置 zip 文件可用。 其名称与网关名称相同。

  5. 解压缩该文件,查看文件夹。 你将使用其中一些或全部文件来配置 VPN 客户端。 生成的文件对应于你在 P2S 服务器上配置的身份验证和隧道类型设置。

接下来请配置 VPN 客户端。 从以下说明中进行选择:

IKEv2:本机 VPN 客户端 - macOS 步骤

以下部分可帮助你配置已作为 macOS 的一部分安装的本机 VPN 客户端。 这种类型的连接仅适用于 IKEv2。

查看文件

解压缩该文件,查看文件夹。 配置 macOS 本机客户端时,请使用 Generic 文件夹中的文件。 如果网关上配置了 IKEv2,则会提供 Generic 文件夹。 可以在 Generic 文件夹中找到配置本机 VPN 客户端所需的所有信息。 如果未看到 Generic 文件夹,请检查以下各项,然后再次生成 zip 文件。

  • 检查配置的隧道类型。 可能 IKEv2 未选作隧道类型。
  • 在 VPN 网关上,验证该 SKU 不是“基本”类别。 VPN 网关基本 SKU 不支持 IKEv2。 然后,选择 IKEv2 并再次生成 zip 文件以检索 Generic 文件夹。

Generic 文件夹包含以下文件。

  • VpnSettings.xml:包含服务器地址和隧道类型等重要设置。
  • VpnServerRoot.cer:包含在 P2S 连接设置过程中验证 Azure VPN 网关所需的根证书。

使用以下步骤在 Mac 中配置用于证书身份验证的本机 VPN 客户端。 必须在要连接到 Azure 的每一台 Mac 上完成这些步骤。

安装证书

根证书

  1. 将根证书文件 VpnServerRoot.cer 复制到 Mac。 双击该证书。 证书将自动安装,或者你将看到“添加证书”页面,具体取决于你的操作系统。
  2. 如果看到“添加证书”页面,在“密钥链:”处单击箭头并从下拉列表中选择“登录”。
  3. 单击“添加”以导入文件。

客户端证书

客户端证书可用于身份验证,且是必需的。 通常,只需单击客户端证书即可安装。 有关如何安装客户端证书的信息,请参阅安装客户端证书

验证证书安装

验证是否安装了客户端和根证书。

  1. 打开“密钥链访问”。
  2. 转到“证书”选项卡。
  3. 验证是否安装了客户端和根证书。

配置 VPN 客户端配置文件

  1. 转到“系统首选项”->“网络”。 在“网络”页面上,单击“+”来为到 Azure 虚拟网络的 P2S 连接创建新的 VPN 客户端连接配置文件。

    屏幕截图显示了单击“+”的网络窗口。

  2. 在“选择接口”页上,单击“接口:”旁边的箭头。 在下拉列表中,单击“VPN”。

    该屏幕截图显示“网络”窗口,其中包括用于选择接口的选项并且已选中 VPN。

  3. 对于“VPN 类型”,从下拉列表中选择 IKEv2。 在“服务名称”字段中,为配置文件指定易记名称,然后单击“创建”。

    屏幕截图显示“网络”窗口,其中包括用于选择接口、选择 VPN 类型和输入服务名称的选项。

  4. 转到下载的 VPN 客户端配置文件。 在 Generic 文件夹中,使用文本编辑器打开 VpnSettings.xml 文件。 在此示例中,可以看到隧道类型和服务器地址的相关信息。 即使列出了两种 VPN 类型,此 VPN 客户端也会通过 IKEv2 连接。 复制 VpnServer 标记值。

    屏幕截图显示了打开的 VpnSettings.xml 文件,其中突出显示了 VpnServer 标记。

  5. 将 VpnServer 标记值粘贴到配置文件的“服务器地址”和“远程 ID”字段中 。 将“本地 ID”保留为空。 然后单击“身份验证设置…”。

    屏幕截图显示粘贴到字段的服务器信息。

配置身份验证设置

配置身份验证设置。 有两组说明。 选择与 OS 版本相对应的说明。

Big Sur 和更高版本

  1. 在“身份验证设置”页上,单击“身份验证设置”字段处的箭头以选择“证书”。

    屏幕截图显示了已选择“证书”的“身份验证设置”。

  2. 单击“选择”以打开“选择标识”页面 。

    显示单击“选择”的屏幕截图。

  3. “选择标识”页面会显示可供选择的证书列表。 如果不确定要使用哪个证书,可以选择“显示证书”以查看各个证书的详细信息。 单击适当的证书,然后单击“继续”。

    屏幕截图显示了证书属性。

  4. 在“身份验证设置”页面上,验证是否显示了正确的证书,然后单击“确定” 。

    屏幕截图显示可在其中选择正确证书的“选择标识”对话框。

Catalina

如果使用 Catalina,请使用以下身份验证设置步骤:

  1. 对于“身份验证设置”,选择“无”。

  2. 单击“证书”,单击“选择”并单击之前安装的正确客户端证书。 然后,单击“确定”

指定证书

  1. 在“本地 ID”字段中,指定证书的名称。 在此示例中,它是 P2SChildCertMac。

    屏幕截图显示了本地 ID 值。

  2. 单击“应用”以保存所有更改。

连接

  1. 单击“连接”以开始与 Azure 虚拟网络建立 P2S 连接。 可能需要输入“登录”密钥链密码。

    屏幕截图显示了“连接”按钮。

  2. 建立连接后,状态显示为“已连接”,并且你可以查看从 VPN 客户端地址池中拉取的 IP 地址。

    屏幕截图显示“已连接”。

OpenVPN:macOS 步骤

以下示例使用 TunnelBlick。

重要

只有 MacOS 10.13 及更高版本支持 OpenVPN 协议。

注意

尚不支持 OpenVPN 客户端版本 2.6。

  1. 下载并安装 OpenVPN 客户端,如 TunnelBlick

  2. 如果尚未这样做,请从 Azure 门户下载 VPN 客户端配置文件包。

  3. 解压缩该配置文件。 在某个文本编辑器中打开 OpenVPN 文件夹中的 vpnconfig.ovpn 配置文件。

  4. 使用 base64 中的 P2S 客户端证书公钥填写 P2S 客户端证书部分。 在 PEM 格式的证书中,可以打开 .cer 文件并在证书标头之间复制 base64 密钥。

  5. 使用 base64 中的 P2S 客户端证书私钥填写私钥部分。 有关如何提取私钥的信息,请参阅 OpenVPN 网站上的导出私钥

  6. 请勿更改任何其他字段。 使用客户端输入中的已填充的配置连接到 VPN。

  7. 双击配置文件以在 Tunnelblick 中创建配置文件。

  8. 启动应用程序文件夹中的 Tunnelblick。

  9. 单击系统托盘中的 Tunnelblick 图标,然后单击“连接”。

OpenVPN:iOS 步骤

以下示例使用来自 App Store 的 OpenVPN Connect。

重要

只有 iOS 11.0 及更高版本支持 OpenVPN 协议。

注意

尚不支持 OpenVPN 客户端版本 2.6。

  1. 从 App store 中安装 OpenVPN 客户端(版本 2.4 或更高版本)。 尚不支持版本 2.6。

  2. 如果尚未这样做,请从 Azure 门户下载 VPN 客户端配置文件包。

  3. 解压缩该配置文件。 在某个文本编辑器中打开 OpenVPN 文件夹中的 vpnconfig.ovpn 配置文件。

  4. 使用 base64 中的 P2S 客户端证书公钥填写 P2S 客户端证书部分。 在 PEM 格式的证书中,可以打开 .cer 文件并在证书标头之间复制 base64 密钥。

  5. 使用 base64 中的 P2S 客户端证书私钥填写私钥部分。 有关如何提取私钥的信息,请参阅 OpenVPN 网站上的导出私钥

  6. 请勿更改任何其他字段。

  7. 将配置文件 (.ovpn) 通过电子邮件发送到你的电子邮件帐户,该帐户是在 iPhone 上的邮件应用中配置的。

  8. 在 iPhone 上的邮件应用中打开电子邮件,并点击附加的文件。

    屏幕截图显示了已就绪的可以发送的消息。

  9. 如果未看到“复制到 OpenVPN”选项,请点击“更多”。

    屏幕截图显示了可以点击以获取详细信息的消息。

  10. 点击“复制到 OpenVPN”。

    屏幕截图显示了可以复制到 OpenVPN 的消息。

  11. 在“导入配置文件”页面中点击“添加”

    屏幕截图显示了“导入配置文件”。

  12. 在“导入的配置文件”页面中点击“添加”

    屏幕截图显示了“导入的配置文件”。

  13. 启动 OpenVPN 应用,并将“配置文件”页面中的开关向右滑动以进行连接

    屏幕截图显示了“通过滑动进行连接”。

后续步骤

有关其他步骤,请返回到你之前处理的原始点到站点文章。