設定適用於 P2S 憑證驗證連線的 Azure VPN Client - Windows
如果點對站 (P2S) VPN 閘道設定為使用 OpenVPN 和憑證驗證,您可以使用 Azure VPN Client 來連線到虛擬網路。 本文將逐步引導您完成設定 Azure VPN Client 並連線到您的虛擬網路。
開始之前
開始客戶端設定步驟之前,請先確認您參照的是正確的 VPN 用戶端設定文章。 下列資料表會顯示適用於 VPN 閘道點對站 VPN 用戶端的設定文章。 步驟會根據驗證類型、通道類型和用戶端 OS 而有所不同。
驗證 | 通道類型 | 用戶端作業系統 | VPN 用戶端 |
---|---|---|---|
[MSSQLSERVER 的通訊協定內容] | |||
IKEv2、SSTP | Windows | 原生 VPN 用戶端 | |
IKEv2 | macOS | 原生 VPN 用戶端 | |
IKEv2 | Linux | strongSwan | |
OpenVPN | Windows | Azure VPN 用戶端 OpenVPN 用戶端 2.x 版 OpenVPN 用戶端 3.x 版 |
|
OpenVPN | macOS | OpenVPN 用戶端 | |
OpenVPN | iOS | OpenVPN 用戶端 | |
OpenVPN | Linux | Azure VPN Client OpenVPN 用戶端 |
|
Microsoft Entra ID | |||
OpenVPN | Windows | Azure VPN 用戶端 | |
OpenVPN | macOS | Azure VPN Client | |
OpenVPN | Linux | Azure VPN Client |
必要條件
本文假設您已經執行下列的必要條件:
- 您已建立並設定 VPN 閘道,以進行點對站憑證驗證和 OpenVPN 通道類型。 如需相關步驟,請參閱設定 P2S VPN 閘道連線的伺服器設定 - 憑證驗證。
- 您已產生並下載 VPN 用戶端組態檔。 如需步驟,請參閱產生 VPN 用戶端設定檔組態檔案 (部分機器翻譯)。
- 您可以產生用戶端憑證,或取得驗證所需的適當用戶端憑證。
連線需求
若要連線到 Azure,每個連線的用戶端電腦都需要下列項目:
- Azure VPN Client 軟體必須安裝在每部用戶端電腦上。
- Azure VPN Client 設定檔是使用下載的 azurevpnconfig.xml 或 azurevpnconfig_cert.xml 設定檔中包含的設定來設定。
- 用戶端電腦都必須具備安裝的用戶端憑證。
產生和安裝用戶端憑證
為了進行憑證驗證,用戶端憑證必須安裝在每部用戶端電腦上。 您想使用的用戶端憑證必須使用私密金鑰匯出,而且必須包含認證路徑中的所有憑證。 此外,針對某些設定,您也需要安裝根憑證資訊。
- 如需使用憑證的相關資訊,請參閱點對站:產生憑證。
- 若要檢視已安裝的用戶端憑證,請開啟 [管理使用者憑證]。 用戶端憑證會安裝在 Current User\Personal\Certificates。
安裝用戶端憑證
每部電腦都需要用戶端憑證才能進行驗證。 如果本機電腦上尚未安裝用戶端憑證,您可以使用下列步驟加以安裝:
- 找出用戶端憑證。 如需用戶端憑證的詳細資訊,請參閱安裝用戶端憑證。
- 請安裝用戶端憑證。 通常,您可以按兩下憑證檔並提供密碼 (如有需要) 來完成此動作。
檢視設定檔
VPN 用戶端設定檔組態套件包含特定的資料夾。 資料夾內的檔案包含在用戶端電腦上設定 VPN 用戶端設定檔所需的設定。 這些檔案及其所包含的設定是專為 VPN 閘道和已設定 VPN 閘道使用的驗證和通道類型而設計。
找到您所產生的 VPN 用戶端設定檔設定套件並加以解壓縮。 針對憑證驗證和 OpenVPN,您會看到 AzureVPN 資料夾。 在此資料夾中,您會看到 azurevpnconfig_cert.xml 檔案或 azurevpnconfig.xml 檔案,視您的 P2S 組態是否包含多個驗證類型而定。 .xml 檔案包含用於設定 VPN 用戶端設定檔的設定。
如果您沒有看到任何一個檔案,或沒有 AzureVPN 資料夾,請確認您的 VPN 閘道已設定為使用 OpenVPN 通道類型,並已選取該憑證驗證。
下載 Azure VPN Client
使用以下連結之一下載最新版本的 Azure VPN 用戶端安裝檔案:
- 使用 [用戶端安裝檔案] 進行安裝:https://aka.ms/azvpnclientdownload。
- 在用戶端電腦上登入時直接安裝:Microsoft Store。
將 Azure VPN Client 安裝到每部電腦。
確認 Azure VPN Client 具有在背景中執行的權限。 如需步驟,請參閱 Windows 背景應用程式。
若要驗證已安裝的用戶端版本,請開啟 Azure VPN Client。 移至用戶端底部,然後按一下 [...] -> [?說明]。 在右窗格中,您可以看到用戶端版本號碼。
設定 Azure VPN Client 設定檔
開啟 Azure VPN Client。
選取頁面左下角的 +,然後選取 [匯入]。
在視窗中,瀏覽至 azurevpnconfig.xml 或 azurevpnconfig_cert.xml 檔案。 選取該檔案,然後選取 [開啟]。
在用戶端設定檔頁面上,請注意已指定許多設定。 您匯入的 VPN 用戶端設定檔套件中包含預先設定的設定。 即使大部分的設定都已經指定,您還是需要設定用戶端電腦的具體設定。
從 [憑證資訊] 下拉式清單中,選取子憑證 (用戶端憑證) 的名稱。 例如,P2SChildCert。 您也可以選取 次要設定檔 (可選擇)。 在此練習中,選取 [無]
如果您在 [憑證資訊] 下拉式清單中看不到用戶端憑證,則需要取消並在繼續進行之前修正該問題。 下列其中一件事可能會造成問題:
- 用戶端憑證未安裝在用戶端電腦本機上。
- 本機電腦上已安裝多個名稱完全相同的憑證 (在測試環境中很常見)。
- 子憑證已損毀。
匯入驗證後 (匯入沒有錯誤),選取 [儲存]。
在左側窗格中,找出 [VPN 連線],然後選取 [連線]。
Azure VPN Client 選用設定
下列各節會討論適用於 Azure VPN Client 的選用組態設定。
次要設定檔
Azure VPN Client 會提供用戶端設定檔的高可用性。 新增次要用戶端設定檔可讓用戶端更有彈性的方式來存取 VPN。 如果區域中斷或無法連線到主要 VPN 用戶端設定檔,Azure VPN Client 會自動連線到次要用戶端設定檔,而不會造成任何中斷。
此功能需要 Azure VPN Client 2.2124.51.0 版或更新版本。 在此範例中,我們會將次要設定檔新增至已經存在的設定檔中。
使用此範例中的設定,如果用戶端無法連線到 VNet1,則會自動連線到 Contoso,而不會造成中斷。
將另一個 VPN 用戶端設定檔新增至 Azure VPN Client。 在此範例中,我們已匯入 VPN 用戶端設定檔,並新增對 Contoso 的連線。
接下來,移至 [VNet1] 設定檔,然後按一下 [...],然後 [設定]。
從 [次要設定檔] 下拉式清單中,選取 [Contoso] 的設定檔。 然後, [儲存] 您的設定。
自訂設定: DNS 和路由
您可以使用選用組態設定來設定 Azure VPN Client,例如其他 DNS 伺服器、自訂 DNS、強制通道、自訂路由和其他其他設定。 如需可用設定和設定步驟的描述,請參閱 Azure VPN Client 選用設定。
下一步
請後續追蹤任何其他伺服器或連線設定。 請參閱點對站設定步驟。