你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
为 P2S 证书身份验证连接配置 Azure VPN 客户端 - Windows
如果将点到站点 (P2S) VPN 网关配置为使用 OpenVPN 和证书身份验证,则可以使用 Azure VPN 客户端 或 OpenVPN 客户端连接到虚拟网络。 本文会指导你完成配置 Azure VPN 客户端并连接到虚拟网络的步骤。
开始之前
本文假定你已执行以下先决条件:
- 你已创建并配置 VPN 网关,可用于点到站点证书身份验证和 OpenVPN 隧道类型。 请参阅为 P2S VPN 网关连接配置服务器设置 - 证书身份验证以获取步骤。
- 你生成了客户端证书并下载了 VPN 客户端配置文件。 请参阅点到站点 VPN 客户端:证书身份验证 - Windows
在开始客户端配置步骤之前,请验证是否正在阅读正确的 VPN 客户端配置文章。 下表提供了 VPN 网关点到站点 VPN 客户端可用的配置文章。 步骤因身份验证类型、隧道类型和客户端 OS 而有所不同。
| 身份验证 | 隧道类型 | 生成配置文件 | 配置 VPN 客户端 |
|---|---|---|---|
| Azure 证书 | IKEv2、SSTP | Windows | 本机 VPN 客户端 |
| Azure 证书 | OpenVPN | Windows | - OpenVPN 客户端 - Azure VPN 客户端 |
| Azure 证书 | IKEv2、OpenVPN | macOS-iOS | macOS-iOS |
| Azure 证书 | IKEv2、OpenVPN | Linux | Linux |
| Microsoft Entra ID | OpenVPN (SSL) | Windows | Windows |
| Microsoft Entra ID | OpenVPN (SSL) | macOS | macOS |
| RADIUS - 证书 | - | 文章 | 文章 |
| RADIUS - 密码 | - | 文章 | 文章 |
| RADIUS - 其他方法 | - | 文章 | 文章 |
连接要求
要连接到 Azure,每个连接的客户端计算机需要以下项:
- 必须在每台客户端计算机上安装 Azure VPN 客户端软件。
- Azure VPN 客户端配置文件必须是使用下载的 azurevpnconfig.xml 配置文件配置的。
- 客户端计算机必须有本地安装的客户端证书。
查看配置文件
VPN 客户端配置文件配置包包含特定文件夹。 文件夹中的文件包含在客户端计算机上配置 VPN 客户端配置文件所需的设置。 它们包含的文件和设置特定于 VPN 网关,以及你的 VPN 网关配置为使用的身份验证和隧道的类型。
找到并解压缩生成的 VPN 客户端配置文件配置包。 对于证书身份验证和 OpenVPN,你将看到 AzureVPN 文件夹。 找到 azurevpnconfig.xml 文件。 此文件包含用于配置 VPN 客户端配置文件的设置。
如果未看到该文件,请验证以下项:
- 验证 VPN 网关是否已配置为使用 OpenVPN 隧道类型。
- 如果使用 Microsoft Entra 身份验证,则可能没有 AzureVPN 文件夹。 请参阅 Microsoft Entra ID 配置文章。
下载 Azure VPN 客户端
使用下列其中一个链接下载最新版本的 Azure VPN 客户端安装文件:
- 使用客户端安装文件安装:https://aka.ms/azvpnclientdownload。
- 在客户端计算机上登录时直接安装:Microsoft Store。
将 Azure VPN 客户端安装到每台计算机。
验证 Azure VPN 客户端是否有权在后台运行。 有关步骤,请参阅 Windows 后台应用。
若要验证已安装的客户端版本,请打开 Azure VPN 客户端。 转到客户端底部并单击“... -> ? 帮助”。 在右窗格中,可以看到客户端版本号。
配置 Azure VPN 客户端配置文件
打开 Azure VPN 客户端。
选择页面左下方的 +,然后选择“导入”。
在窗口中,导航到 azurevpnconfig.xml 文件,将其选中,然后选择“打开”。
从“证书信息”下拉列表中,选择子证书(客户端证书)的名称。 例如,P2SChildCert。 还可以选择次要配置文件。
如果在“证书信息”下拉列表中没有看到客户端证书,则需要取消并解决问题,然后再继续。 有可能发生以下情况之一:
- 客户端证书未本地安装在客户端计算机上。
- 在本地计算机上安装了多个名称完全相同的证书(在测试环境中很常见)。
- 子证书已损坏。
导入验证后(导入时没有错误),选择“保存”。
在左窗格中,找到 VPN 连接,然后选择“连接”。
Azure VPN 客户端的可选设置
以下部分介绍可用于 Azure VPN 客户端的可选配置设置。
次要配置文件
Azure VPN 客户端为客户端配置文件提供高可用性。 添加辅助客户端配置文件可让客户端以更具弹性的方式访问 VPN。 如果发生区域中断或无法连接到主 VPN 客户端配置文件,Azure VPN 客户端会自动连接到辅助客户端配置文件,而不会造成任何中断。
此功能需要 Azure VPN 客户端版本 2.2124.51.0,该版本目前正在推出中。对于此示例,我们将向已存在的配置文件添加次要配置文件。
使用本示例中的设置,如果客户端无法连接到 VNet1,它将自动连接到 VNet2 而不会造成中断。
将另一个 VPN 客户端配置文件添加到 Azure VPN 客户端。 对于此示例,我们添加了一个配置文件,用于连接到 VNet2。
接下来,转到 VNet1 配置文件并单击“...”,然后单击“配置”。
从“次要配置文件”下拉列表中,选择 VNet2 的配置文件。 然后,保存你的设置。
自定义设置:DNS 和路由
可以使用可选的配置设置来配置 Azure VPN 客户端,例如其他 DNS 服务器、自定义 DNS、强制隧道、自定义路由和其他设置。 有关可用的设置和配置步骤的说明,请参阅 Azure VPN 客户端可选设置。