共用方式為

設定 P2S VPN 用戶端 - 憑證驗證 - 原生 VPN 用戶端 - macOS

  • 發行項

如果您的點對站 (P2S) VPN 閘道設定為使用 IKEv2 和憑證驗證,您可以使用屬於 macOS 作業系統的原生 VPN 用戶端連線到您的虛擬網路。 本文將逐步引導您完成設定原生 VPN 用戶端並連線到您的虛擬網路的步驟。

開始之前

開始設定用戶端之前,請先確認您找到的是正確的文章。 下表顯示 Azure VPN 閘道 P2S VPN 用戶端可用的設定文章。 步驟會根據驗證類型、通道類型和用戶端 OS 而有所不同。

驗證 通道類型 用戶端作業系統 VPN 用戶端
[MSSQLSERVER 的通訊協定內容]
IKEv2、SSTP Windows 原生 VPN 用戶端
IKEv2 macOS 原生 VPN 用戶端
IKEv2 Linux strongSwan
OpenVPN Windows Azure VPN 用戶端
OpenVPN 用戶端
OpenVPN macOS OpenVPN 用戶端
OpenVPN iOS OpenVPN 用戶端
OpenVPN Linux Azure VPN Client
OpenVPN 用戶端
Microsoft Entra ID
OpenVPN Windows Azure VPN 用戶端
OpenVPN macOS Azure VPN Client
OpenVPN Linux Azure VPN Client

必要條件

本文假設您已經執行下列的必要條件:

工作流程

本文的工作流程如下所示:

  1. 如果您尚未產生用戶端憑證,請先產生憑證。
  2. 檢視您產生的 VPN 用戶端設定檔組態檔案中包含的 VPN 用戶端設定檔組態檔案。
  3. 安裝憑證。
  4. 設定已安裝作業系統的原生 VPN 用戶端。
  5. 連線到 Azure。

產生憑證

針對憑證驗證,用戶端憑證必須安裝在每部用戶端電腦上。 您想使用的用戶端憑證必須使用私密金鑰匯出,而且必須包含認證路徑中的所有憑證。 此外,針對某些組態,您也需要安裝跟證書資訊。

如需使用憑證的相關資訊,請參閱點對站:產生憑證 - Linux

檢視 VPN 用戶端設定檔的組態檔案

VPN 用戶端的所有必要設定都會包含在 VPN 用戶端設定檔的設定 ZIP 檔案中。 您可以使用 PowerShell 或使用 Azure 入口網站來產生 用戶端設定檔組態檔。 任一方法都會傳回相同的 zip 檔案。

VPN 用戶端設定檔組態檔案是針對虛擬網路的專用 P2S VPN 閘道設定。 如果在產生檔案之後,對 P2S VPN 設定進行任何變更,例如變更 VPN 通訊協定類型或驗證類型,您必須產生新的 VPN 用戶端設定檔的組態檔,並將新設定套用至您要連線的所有 VPN 用戶端。

解壓縮檔案以檢視資料夾。 在設定 macOS 原生用戶端時,您會使用 Generic 資料夾中的檔案。 如果網路閘道上已設定 IKEv2,則會出現 Generic 資料夾。 您可以在一般資料夾中找到設定原生 VPN 用戶端所需的全部資訊。 如果沒看到 Generic 資料夾,請檢查下列項目,然後再次產生 zip 檔案。

  • 檢查組態的通道類型。 可能未將 IKEv2 選取為通道類型。
  • 請在 VPN 閘道上確認並非基本 SKU。 VPN 閘道基本 SKU 不支援 IKEv2。 如果您想要讓 macOS 用戶端連線,則必須使用適當的 SKU 和通道類型來重建閘道。

Generic 資料夾包含下列檔案。

  • VpnSettings.xml,此檔案包含重要的設定,例如伺服器位址和通道類型。
  • VpnServerRoot.cer,此檔案包含所需的根憑證,以供您在 P2S 連線設定期間驗證 Azure VPN 閘道。

安裝憑證

根憑證

  1. 將根憑證檔案 - VpnServerRoot.cer - 複製到您的 Mac。 按兩下憑證。 視您的作業系統而定,可能自動安裝憑證或出現 [新增憑證] 頁面。
  2. 如果您看到 [新增憑證] 頁面,針對 [鑰匙圈:],請按一下箭號,然後從下拉式清單中選取 [登入]
  3. 按一下 [新增],匯入檔案。

用戶端憑證

此為必要憑證,驗證時需提供。 一般而言,您可以直接按一下用戶端憑證來安裝。 如需有關如何安裝用戶端憑證的詳細資訊,請參閱安裝用戶端憑證

確認憑證的安裝

確認已安裝用戶端和根憑證兩項。

  1. 開啟 [金鑰鏈存取]
  2. 前往 [憑證] 索引標籤。
  3. 確認已安裝用戶端和根憑證兩項。

設定 VPN 用戶端設定檔

  1. 前往 [系統偏好設定] -> [網路]。 在 [網路] 頁面上,按一下 '+',為 Azure 虛擬網路的 P2S 連線建立新的 VPN 用戶端連線設定檔。

    螢幕擷取畫面顯示可點擊 [+] 號的 [網路] 視窗。

  2. 在 [選取介面] 頁面上,按一下 [介面:] 旁的箭號。 從下拉式清單中,按一下 [VPN]

    螢幕擷取畫面顯示 [網路] 視窗,有可選取介面的選項,已選取 [VPN]。

  3. 針對 [VPN 類型],從下拉式清單中,按一下 [IKEv2]。 在 [服務名稱] 欄位中,為設定檔指定好記的名稱,然後按一下 [建立]

    螢幕擷取畫面顯示 [網路] 視窗,有選項可選取介面,選取 VPN 類型,然後輸入服務名稱。

  4. 前往您下載的 VPN 用戶端設定檔。 在 Generic 資料夾中,使用文字編輯器來開啟 VpnSettings.xml 檔案。 在此範例中,您可以看到通道類型和伺服器位址的相關資訊。 即使列出兩種 VPN 類型,此 VPN 用戶端仍會透過 IKEv2 來連線。 複製 VpnServer 標記值。

    螢幕擷取畫面顯示開啟的 VpnSettings.xml 檔案,其中醒目提示 VpnServer 標記。

  5. 在設定檔的 [伺服器位址] 和 [遠端身分識別] 欄位兩處貼上 VpnServer 標籤值。 將 [本機識別碼] 保留空白。 然後按一下 [認證設定…]

    螢幕擷取畫面顯示已貼在欄位中的伺服器資訊。

設定驗證設定

設定驗證設定值。

  1. 在 [認證設定] 頁面上,針對 [認證設定] 欄位,按一下箭號以選取 [憑證]

    螢幕擷取畫面顯示 [驗證設定],已選取 [憑證]。

  2. 按一下 [選取],開啟 [選擇身分識別] 頁面。

    螢幕擷取畫面顯示按一下 [選取]。

  3. [選擇身分識別] 頁面會顯示一份憑證清單供您選擇。 如果您不確定要使用哪一個憑證,您可以選取 [顯示憑證],查看每個憑證的詳細資訊。 按一下適當的憑證,然後按一下 [繼續]

    螢幕擷取畫面顯示憑證屬性。

  4. 在 [驗證設定] 頁面上,確認已顯示正確的憑證,然後按一下[確定]

    螢幕擷取畫面顯示 [選擇身分] 對話方塊,讓您選取適當憑證。

指定憑證

  1. 在 [本機識別碼] 欄位中,指定憑證的名稱。 在此範例中是 P2SChildCertMac

    螢幕擷取畫面顯示本機識別碼值。

  2. 按一下 [套用] 以儲存所有變更。

連線

  1. 按一下 [連線] 以啟動 Azure 虛擬網路的 P2S 連線。 您可能需要輸入「登入」金鑰鏈密碼。

    螢幕擷取畫面顯示 [連線] 按鈕。

  2. 一旦建立連線之後,狀態會顯示為 [已連線],您可以查看從 VPN 用戶端位址集區提取的 IP 位址。

    螢幕擷取畫面顯示 [已連線]。

下一步

請後續追蹤任何其他伺服器或連線設定。 請參閱 點對站設定步驟