設定點對站 VPN 用戶端 - 憑證驗證 - macOS 和 iOS
本文可協助您使用 VPN 閘道點對站 (P2S) 和憑證驗證連線到 Azure 虛擬網路 (VNet)。 根據您為 P2S 組態選取的通道類型、作業系統,以及用來連線的 VPN 用戶端,本文中有多個步驟集。
使用憑證驗證時,請注意下列事項:
針對 IKEv2 信道類型,您可以使用原生安裝在 macOS 系統上的 VPN 用戶端進行連線。
針對 OpenVPN 通道類型,您可以使用 OpenVPN 用戶端。
使用憑證驗證時,Azure VPN Client 不適用於 macOS 和 iOS,即使您已針對 P2S 設定選取 OpenVPN 通道類型也一樣。
開始之前
開始之前,請確認您位於正確的文章。 下表顯示 Azure VPN 閘道 P2S VPN 用戶端可用的設定文章。 步驟會根據驗證類型、通道類型和用戶端 OS 而有所不同。
| 驗證 | 通道類型 | 產生設定檔 | 設定 VPN 用戶端 |
|---|---|---|---|
| Azure 憑證 | IKEv2、SSTP | Windows | 原生 VPN 用戶端 |
| Azure 憑證 | OpenVPN | Windows | - OpenVPN 用戶端 - Azure VPN 用戶端 |
| Azure 憑證 | IKEv2、OpenVPN | macOS-iOS | macOS-iOS |
| Azure 憑證 | IKEv2、OpenVPN | Linux | Linux |
| Microsoft Entra ID | OpenVPN (SSL) | Windows | Windows |
| Microsoft Entra ID | OpenVPN (SSL) | macOS | macOS |
| RADIUS - 憑證 | - | 發行項 | 發行項 |
| RADIUS - 密碼 | - | 發行項 | 發行項 |
| RADIUS - 其他方法 | - | 發行項 | 發行項 |
重要
從 2018 年 7 月 1 日起,對 TLS 1.0 和 1.1 的支援將會從 Azure VPN 閘道移除。 VPN 閘道僅支援 TLS 1.2。 只有點對站連線會受到影響;站對站連線不受影響。 如果您針對 Windows 10 或更新版本用戶端上的點對站 VPN 使用 TLS,則不必採取任何動作。 如果您針對 Windows 7 和 Windows 8 用戶端上的點對站連線使用 TLS,請參閱 VPN 閘道常見問題集以取得更新指示。
產生憑證
針對憑證驗證,用戶端憑證必須安裝在每部用戶端電腦上。 您想使用的用戶端憑證必須使用私密金鑰匯出,而且必須包含認證路徑中的所有憑證。 此外,針對某些組態,您也需要安裝跟證書資訊。
如需使用憑證的相關資訊,請參閱點對站:產生憑證 - Linux。
產生 VPN 用戶端設定檔
VPN 用戶端設定檔的所有必要設定都會包含在 VPN 用戶端設定 ZIP 檔案中。 您可以使用 PowerShell 或使用 Azure 入口網站來產生用戶端設定檔組態檔。 任一方法都會傳回相同的 zip 檔案。
您產生的 VPN 用戶端設定檔組態檔是該虛擬網路的 P2S VPN 閘道設定專用。 如果在產生檔案之後,對 P2S VPN 組態進行任何變更,例如變更 VPN 通訊協定類型或驗證類型,您必須產生新的 VPN 用戶端設定檔組態檔,並將新設定套用至您要連線的所有 VPN 用戶端。 如需有關 P2S 連線的詳細資訊,請參閱關於點對站 VPN。
使用 Azure 入口網站產生檔案:
在 Azure 入口網站中,移至您想要連線之虛擬網路的虛擬網路閘道。
在虛擬網路閘道頁面上,選取 [點對站設定],開啟點對站設定頁面。
在點對站設定頁面頂端,選取 [下載 VPN 用戶端]。 這不會下載 VPN 用戶端軟體,這會產生用來設定 VPN 用戶端的設定套件。 產生用戶端組態套件需耗費幾分鐘的時間。 在此期間,在封包產生之前,您可能不會看到任何指示。
產生組態套件之後,您的瀏覽器會指出用戶端組態 zip 檔案可供使用。 其名稱與您的閘道名稱相同。
解壓縮檔案以檢視資料夾。 您將使用這些檔案的一些或全部來設定 VPN 用戶端。 產生的檔案會對應至您在 P2S 伺服器上設定的驗證和通道類型設定。
接下來,設定 VPN 用戶端。 從下列指示中選取:
IKEv2 - 原生 VPN 用戶端 - macOS 步驟
下列各節可協助您設定已安裝為 macOS 一部分的原生 VPN 用戶端。 這種類型的連線僅適用於 IKEv2。
檢視檔案
解壓縮檔案以檢視資料夾。 在設定 macOS 原生用戶端時,您會使用 Generic 資料夾中的檔案。 如果網路閘道上已設定 IKEv2,則會出現 Generic 資料夾。 您可以在 Generic 資料夾中找到設定原生 VPN 用戶端所需的全部資訊。 如果沒看到 Generic 資料夾,請檢查下列項目,然後再次產生 zip 檔案。
- 檢查組態的通道類型。 可能未將 IKEv2 選取為通道類型。
- 請在 VPN 閘道上確認並非基本 SKU。 VPN 閘道基本 SKU 不支援 IKEv2。 接著,再次選取 IKEv2 並產生 ZIP 檔案以擷取 Generic 資料夾。
Generic 資料夾包含下列檔案。
- VpnSettings.xml,此檔案包含重要的設定,例如伺服器位址和通道類型。
- VpnServerRoot.cer,此檔案包含所需的根憑證,以供您在 P2S 連線設定期間驗證 Azure VPN 閘道。
使用下列步驟,在 Mac 上設定用於憑證驗證的原生 VPN 用戶端。 這些步驟必須在您想要連線至 Azure 的每個 Mac 上完成。
安裝憑證
根憑證
- 將根憑證檔案 (VpnServerRoot.cer) 複製到您的 Mac。 按兩下憑證。 視您的作業系統而定,可能自動安裝憑證或出現 [新增憑證] 頁面。
- 如果您看到 [新增憑證] 頁面,針對 [鑰匙圈:],請按一下箭號,然後從下拉式清單中選取 [登入]。
- 按一下 [新增],匯入檔案。
用戶端憑證
此為必要憑證,驗證時需提供。 一般而言,您可以直接按一下用戶端憑證來安裝。 如需有關如何安裝用戶端憑證的詳細資訊,請參閱安裝用戶端憑證。
確認憑證的安裝
確認已安裝用戶端和根憑證兩項。
- 開啟 [金鑰鏈存取]。
- 前往 [憑證] 索引標籤。
- 確認已安裝用戶端和根憑證兩項。
設定 VPN 用戶端設定檔
前往 [系統偏好設定] -> [網路]。 在 [網路] 頁面上,按一下 '+',為 Azure 虛擬網路的 P2S 連線建立新的 VPN 用戶端連線設定檔。
![顯示 [網络] 視窗以按兩下 [+] 的螢幕快照。](media/point-to-site-vpn-client-cert-mac/mac/new.png)
在 [選取介面] 頁面上,按一下 [介面:] 旁的箭號。 從下拉式清單中,按一下 [VPN]。
![顯示 [網络] 視窗的螢幕快照,其中包含選取介面的選項,並已選取 VPN。](media/point-to-site-vpn-client-cert-mac/mac/vpn.png)
針對 [VPN 類型],從下拉式清單中,按一下 [IKEv2]。 在 [服務名稱] 欄位中,為設定檔指定好記的名稱,然後按一下 [建立]。
![顯示 [網络] 視窗的螢幕快照,其中包含選取介面、選取 VPN 類型,以及輸入服務名稱的選項。](media/point-to-site-vpn-client-cert-mac/mac/service-name.png)
前往您下載的 VPN 用戶端設定檔。 在 Generic 資料夾中,使用文字編輯器來開啟 VpnSettings.xml 檔案。 在此範例中,您可以看到通道類型和伺服器位址的相關資訊。 即使列出兩種 VPN 類型,此 VPN 用戶端仍會透過 IKEv2 來連線。 複製 VpnServer 標記值。
在設定檔的 [伺服器位址] 和 [遠端身分識別] 欄位兩處貼上 VpnServer 標籤值。 將 [本機識別碼] 保留空白。 然後按一下 [認證設定…]。
![顯示 [網络] 視窗以按兩下 [+] 的螢幕快照。](media/point-to-site-vpn-client-cert-mac/mac/new.png#lightbox)
![顯示 [網络] 視窗的螢幕快照,其中包含選取介面的選項,並已選取 VPN。](media/point-to-site-vpn-client-cert-mac/mac/vpn.png#lightbox)
![顯示 [網络] 視窗的螢幕快照,其中包含選取介面、選取 VPN 類型,以及輸入服務名稱的選項。](media/point-to-site-vpn-client-cert-mac/mac/service-name.png#lightbox)
設定驗證設定
設定驗證設定值。 此處有兩組指示。 請選擇與您的作業系統版本對應的指示。
Big Sur 和更新版本
在 [認證設定] 頁面上,針對 [認證設定] 欄位,按一下箭號以選取 [憑證]。
按一下 [選取],開啟 [選擇身分識別] 頁面。
![按兩下 [選取] 的螢幕快照。](media/point-to-site-vpn-client-cert-mac/monterey/select.png)
[選擇身分識別] 頁面會顯示一份憑證清單供您選擇。 如果您不確定要使用哪一個憑證,您可以選取 [顯示憑證],查看每個憑證的詳細資訊。 按一下適當的憑證,然後按一下 [繼續]。
在 [驗證設定] 頁面上,確認已顯示正確的憑證,然後按一下[確定]。
![此螢幕快照顯示 [選擇身分識別] 對話框,您可以在其中選取適當的憑證。](media/point-to-site-vpn-client-cert-mac/monterey/verify.png)
![按兩下 [選取] 的螢幕快照。](media/point-to-site-vpn-client-cert-mac/monterey/select.png#lightbox)
![此螢幕快照顯示 [選擇身分識別] 對話框,您可以在其中選取適當的憑證。](media/point-to-site-vpn-client-cert-mac/monterey/verify.png#lightbox)
Catalina
如果您使用 Catalina,請執行下列驗證設定步驟:
針對 [認證設定],選擇 [無]。
按一下 [憑證],再按一下 [選取],然後按一下先前安裝的正確用戶端憑證。 然後按一下 [確定]。
指定憑證
在 [本機識別碼] 欄位中,指定憑證的名稱。 在此範例中是 P2SChildCertMac。
按一下 [套用] 以儲存所有變更。
連線
按一下 [連線] 以啟動 Azure 虛擬網路的 P2S 連線。 可能需要輸入您的「登入」金鑰鏈密碼。
![顯示 [連線] 按鈕的螢幕快照。](media/point-to-site-vpn-client-cert-mac/mac/select-connect.png)
一旦建立連線之後,狀態會顯示為 [已連線],您可以查看從 VPN 用戶端位址集區提取的 IP 位址。
![顯示 [連線] 按鈕的螢幕快照。](media/point-to-site-vpn-client-cert-mac/mac/select-connect.png#lightbox)
OpenVPN: macOS 步驟
下列範例使用 TunnelBlick。
重要
只有 MacOS 10.13 和更新版本支援 OpenVPN 通訊協定。
注意
尚不支援 OpenVPN 用戶端 2.6 版。
下載並安裝 OpenVPN 用戶端,例如 TunnelBlick。
從 Azure 入口網站下載 VPN 用戶端設定檔套件 (如果尚未這麼做)。
將設定檔解壓縮。 在文字編輯器中,從 OpenVPN 資料夾開啟 vpnconfig.ovpn 設定檔。
以 Base64 的 P2S 用戶端憑證公開金鑰填入 P2S 用戶端憑證區段。 在 PEM 格式的憑證中,您可以開啟 .cer 檔案並在憑證標題之間複製 Base64 金鑰。
以 Base64 的 P2S 用戶端憑證私密金鑰填入私密金鑰區段。 如需如何擷取私密金鑰的相關資訊,請參閱 OpenVPN 網站上的匯出私密金鑰。
請勿變更任何其他欄位。 使用用戶端輸入中填入的設定來連線至 VPN。
按兩下設定檔,在 Tunnelblick 中建立設定檔。
從應用程式資料夾啟動 Tunnelblick。
按一下系統匣中的 Tunnelblick 圖示並挑選連線。
OpenVPN: iOS 步驟
下列範例使用 App Store 中的 OpenVPN Connect。
重要
只有 iOS 11.0 和更新版本支援 OpenVPN 通訊協定。
注意
尚不支援 OpenVPN 用戶端 2.6 版。
從 App Store 安裝 OpenVPN 用戶端 (2.4 版或更新版本)。 尚不支援 2.6 版本。
從 Azure 入口網站下載 VPN 用戶端設定檔套件 (如果尚未這麼做)。
將設定檔解壓縮。 在文字編輯器中,從 OpenVPN 資料夾開啟 vpnconfig.ovpn 設定檔。
以 Base64 的 P2S 用戶端憑證公開金鑰填入 P2S 用戶端憑證區段。 在 PEM 格式的憑證中,您可以開啟 .cer 檔案並在憑證標題之間複製 Base64 金鑰。
以 Base64 的 P2S 用戶端憑證私密金鑰填入私密金鑰區段。 如需如何擷取私密金鑰的相關資訊,請參閱 OpenVPN 網站上的匯出私密金鑰。
請勿變更任何其他欄位。
透過電子郵件將設定檔 (.ovpn) 寄送到您在 iPhone 上郵件應用程式中所設定的電子郵件帳戶。
在 iPhone 上的郵件應用程式中開啟該封電子郵件,然後點選附加的檔案。
如果您看不到 [複製到 OpenVPN] 選項,請點選 [其他]。
點選 [複製到 OpenVPN]。
在 [匯入設定檔] 頁面中,點選 [新增]
在 [匯入的設定檔] 頁面中,點選 [新增]
啟動 OpenVPN 應用程式,並在 [設定檔] 頁面中將開關向右滑動以進行連線
下一步
如需其他步驟,請回到您正在處理的原始點對站文章。