共用方式為

設定點對站 VPN 用戶端:RADIUS - 憑證驗證

  • 發行項

若要透過點對站 (P2S) 連線至虛擬網路,您需要設定要從中連線的用戶端裝置。 本文可協助您為 RADIUS 憑證驗證建立及安裝 VPN 用戶端設定。

使用 RADIUS 驗證時,有多個驗證指示:憑證驗證密碼驗證,以及其他驗證方法和通訊協定。 每一類型驗證的 VPN 用戶端設定都是不一樣的。 要設定 VPN 用戶端,您會可以使用包含必要設定的用戶端設定檔。

注意

從 2018 年 7 月 1 日起,對 TLS 1.0 和 1.1 的支援將會從 Azure VPN 閘道移除。 VPN 閘道僅支援 TLS 1.2。 只有點對站連線會受到影響;站對站連線不受影響。 如果您針對 Windows 10 或更新版本用戶端上的點對站 VPN 使用 TLS,則不必採取任何動作。 如果您針對 Windows 7 和 Windows 8 用戶端上的點對站連線使用 TLS,請參閱 VPN 閘道常見問題集以取得更新指示。

工作流程

P2S RADIUS 驗證的設定工作流程如下所示:

  1. 設定 P2S 連線的 Azure VPN 閘道

  2. 設定 RADIUS 伺服器以供驗證

  3. 取得所選驗證選項適用的 VPN 用戶端組態,並用它設定 VPN 用戶端 (本文章)。

  4. 完成 P2S 設定並連線

重要

如果您在產生 VPN 用戶端組態檔後,對點對站 VPN 組態進行任何變更 (例如 VPN 通訊協定類型或驗證類型),您必須在使用者裝置上產生並安裝新的 VPN 用戶端組態檔。

您可以建立 VPN 用戶端組態檔,以便進行採用 EAP-TLS 通訊協定的 RADIUS 憑證驗證。 通常,企業所發行的憑證可用來驗證 VPN 的使用者。 請確定所有連線中的使用者都已在其裝置上安裝憑證,且您的 RADIUS 伺服器可以驗證該憑證。

在命令中,-AuthenticationMethodEapTls。 在憑證驗證期間,用戶端會藉由驗證憑證來驗證 RADIUS 伺服器。 -RadiusRootCert 是 .cer 檔案,其中包含用來驗證 RADIUS 伺服器的根憑證。

每個 VPN 用戶端裝置都需要安裝用戶端憑證。 Windows 裝置有時會有多個用戶端憑證。 在驗證期間,這可能會導致快顯對話方塊列出所有憑證。 接著,使用者必須選擇要使用的憑證。 指定用戶端憑證所應鏈結的根憑證,即可篩選出正確的憑證。

-ClientRootCert 是包含根憑證的 .cer 檔案。 這是選擇性參數。 如果您想要從中連線的裝置只有一個用戶端憑證,您就不需要指定這個參數。

產生 VPN 用戶端設定檔

您可以使用 Azure 入口網站,或使用 Azure PowerShell,產生 VPN 用戶端組態檔。

Azure 入口網站

  1. 瀏覽至虛擬網路閘道。

  2. 按一下 [點對站設定]

  3. 按一下 [下載 VPN 用戶端]

  4. 選取用戶端,並填寫要求的任何資訊。 視其組態而定,系統可能會要求您將 Radius 根憑證上傳至入口網站。 以所需的 Base-64 編碼 X.509 (.CER) 格式匯出憑證,並使用記事本等文字編輯器加以開啟。 您會看到類似下列範例的文字。 以藍色醒目提示的區段包含您複製並上傳至 Azure 的資訊。

    螢幕擷取畫面顯示記事本中開啟 CER 檔案,並醒目提示憑證資料。

    如果您的檔案看起來不像範例,這通常表示您未使用 Base-64 編碼 X.509 (.CER) 格式匯出檔案。 此外,如果您使用記事本以外的文字編輯器,則要知道某些編輯器可能在幕後引進非預期的格式。 這可能會在此憑證中的文字上傳至 Azure 時產生問題。

  5. 按一下 [下載],產生 .zip 檔案。

  6. ZIP 檔案通常會下載至您的 [下載] 資料夾。

Azure PowerShell

產生 VPN 用戶端設定檔以與憑證驗證搭配使用。 您可以使用下列命令來產生 VPN 用戶端組態檔:

New-AzVpnClientConfiguration -ResourceGroupName "TestRG" -Name "VNet1GW" -AuthenticationMethod "EapTls" -RadiusRootCert <full path name of .cer file containing the RADIUS root> -ClientRootCert <full path name of .cer file containing the client root> | fl

執行會傳回連結的命令。 將該連結複製並貼到網頁瀏覽器,以下載 VpnClientConfiguration.zip。 將該檔案解壓縮以檢視下列資料夾:

  • WindowsAmd64WindowsX86:這些資料夾分別包含 Windows 32 位元和 64 位元的安裝程式套件。
  • GenericDevice:這個資料夾包含用來建立自有 VPN 用戶端設定的一般資訊。

如果您已經產生用戶端組態檔,您可以使用 Get-AzVpnClientConfiguration Cmdlet 來擷取它們。 但是如果您對 P2S VPN 組態進行任何變更 (例如,VPN 通訊協定類型或驗證類型),該組態不會自動更新。 您必須執行 New-AzVpnClientConfiguration Cmdlet 來建立新的設定下載。

若要擷取先前產生的用戶端組態檔,請使用下列命令:

Get-AzVpnClientConfiguration -ResourceGroupName "TestRG" -Name "VNet1GW" | fl

Windows 原生 VPN 用戶端

如果您已設定 IKEv2 或 SSTP,則可以使用原生 VPN 用戶端。

  1. 選取組態套件並將它安裝在用戶端裝置上。 若是 64 位元的處理器架構,請選擇 VpnClientSetupAmd64 安裝程式套件。 若是 32 位元的處理器架構,請選擇 VpnClientSetupX86 安裝程式套件。 如果您看到 SmartScreen 快顯視窗,請選取 [更多資訊]>[仍要執行]。 您也可以儲存要在其他用戶端電腦上安裝的套件。

  2. 每個用戶端都需要用戶端憑證才能驗證。 請安裝用戶端憑證。 如需用戶端憑證的相關資訊,請參閱點對站的用戶端憑證。 若要安裝所產生的憑證,請參閱在 Windows 用戶端上安裝憑證

  3. 在用戶端電腦上,瀏覽至 [網路設定],然後選取 [VPN]。 VPN 連線會顯示其連線的虛擬網路名稱。

Mac (macOS) 原生 VPN 用戶端

您必須為連線到 Azure 虛擬網路的每個 Mac 裝置分別建立設定檔。 這是因為這些裝置需要在設定檔中指定可供驗證的使用者憑證。 此外,如果您在設定中包含 IKEv2 通道類型,則只能使用 macOS 原生 VPN 用戶端。 Generic 資料夾含有建立設定檔所需的所有資訊:

  • VpnSettings.xml 包含重要的設定,例如伺服器位址和通道類型。
  • VpnServerRoot.cer 包含在 P2S 連線設定期間驗證 VPN 閘道所需的根憑證。
  • RadiusServerRoot.cer 包含在驗證期間驗證 RADIUS 伺服器所需的根憑證。

使用下列步驟,在 Mac 上設定用於憑證驗證的原生 VPN 用戶端:

  1. VpnServerRootRadiusServerRoot 根憑證匯入至您的 Mac。 將每個檔案複製到您的 Mac,連按兩下檔案,然後選取 [新增]

  2. 每個用戶端都需要用戶端憑證才能驗證。 請在用戶端裝置上安裝用戶端憑證。

  3. 開啟 [網路喜好設定] 底下的 [網路] 對話方塊。 選取 +,為 Azure 虛擬網路的 P2S 連線,建立新的 VPN 用戶端連線設定檔。

    [介面] 值是 [VPN],[VPN 類型] 值則是 [IKEv2]。 在 [服務名稱] 方塊中指定設定檔名稱,然後選取 [建立] 以建立 VPN 用戶端連線設定檔。

  4. Generic 資料夾的 VpnSettings.xml 檔案複製 VpnServer 標記值。 將此值貼到設定檔的 [伺服器位址] 和 [遠端識別碼] 方塊。 將 [本機識別碼] 方塊保留空白。

  5. 選取 [驗證設定],然後選取 [憑證]

  6. 按一下 [選取] 以選擇您要用來驗證的憑證。

  7. [選擇身分識別] 會顯示一份憑證清單供您選擇。 選取適當憑證,然後選取 [繼續]

  8. 在 [本機識別碼] 方塊中指定憑證名稱 (來自步驟 6)。 在此範例中,名稱是 ikev2Client.com。 然後,選取 [套用] 按鈕以儲存變更。

  9. 在 [網路] 對話方塊中,選取 [套用] 以儲存所有變更。 然後,選取 [連線] 以啟動 Azure 虛擬網路的 P2S 連線。

下一步

返回 P2S 設定一文,以驗證您的連線

如需 P2S 疑難排解詳細資訊,請參閱針對 Azure 點對站連線進行疑難排解