點對站 VPN 用戶端設定工作流程:憑證驗證 - Windows
本文將逐步引導您完成工作流程和步驟,以設定使用憑證驗證的點對站 (P2S) 虛擬網路連線的 VPN 用戶端。 這些步驟會接續先前設定 VPN 閘道點對站伺服器設定的文章。 在本文中,您將產生用戶端組態檔,並安裝用於驗證的必要客戶端憑證。
開始之前
本文假設您已建立並設定 VPN 閘道以進行 P2S 憑證驗證。 如需相關步驟,請參閱設定 P2S VPN 閘道連線的伺服器設定:憑證驗證。
開始工作流程之前,請確認您位於正確的文章。 下表顯示 Azure VPN 閘道 P2S VPN 用戶端可用的設定文章。 步驟會根據驗證類型、通道類型和用戶端 OS 而有所不同。
| 驗證 | 通道類型 | 產生組態檔 | 設定 VPN 用戶端 |
|---|---|---|---|
| Azure 憑證 | IKEv2, SSTP | Windows | 原生 VPN 用戶端 |
| Azure 憑證 | OpenVPN | Windows | - OpenVPN 用戶端 - Azure VPN 用戶端 |
| Azure 憑證 | IKEv2、OpenVPN | macOS-iOS | macOS-iOS |
| Azure 憑證 | IKEv2、OpenVPN | Linux | Linux |
| Microsoft Entra ID | OpenVPN (SSL) | Windows | Windows |
| Microsoft Entra ID | OpenVPN (SSL) | macOS | macOS |
| RADIUS - 憑證 | - | 發行項 | 發行項 |
| RADIUS - 密碼 | - | 發行項 | 發行項 |
| RADIUS - 其他方法 | - | 發行項 | 發行項 |
工作流程
在本文中,我們會從產生 VPN 用戶端設定檔和用戶端憑證開始:
設定 VPN 用戶端。 您用來設定 VPN 用戶端的步驟,取決於 P2S VPN 閘道的通道類型,以及用戶端電腦上的 VPN 用戶端。 提供特定通道和對應用戶端之組態文章的連結。
- IKEv2 和 SSTP - 原生 VPN 用戶端:如果 P2S VPN 閘道設定為使用 IKEv2/SSTP 和憑證驗證,即可使用 Windows 作業系統當中的原生 VPN 用戶端連線到 VNet。 此設定不需要其他用戶端軟體。 如需步驟,請參閱 IKEv2 和 SSTP - 原生 VPN 用戶端。
- OpenVPN - Azure VPN Client 和 OpenVPN Client:如果 P2S VPN 閘道設定為使用 OpenVPN 通道和憑證驗證,即可選擇使用 Azure VPN Client 或 OpenVPN Client 進行連線。
1.產生 VPN 用戶端設定檔
VPN 用戶端的所有必要設定都會包含在 VPN 用戶端設定檔的設定 ZIP 檔案中。 您可以使用 PowerShell 或使用 Azure 入口網站來產生 用戶端設定檔組態檔。 任一方法都會傳回相同的 zip 檔案。
您產生的 VPN 用戶端設定檔組態檔是該 VNet 的 P2S VPN 閘道設定所專用。 如果在產生檔案之後,對 P2S VPN 設定進行任何變更,例如變更 VPN 通訊協定類型或驗證類型,您必須產生新的 VPN 用戶端設定檔組態檔,並將新設定套用至您要連線的所有 VPN 用戶端。 如需有關 P2S 連線的詳細資訊,請參閱關於點對站 VPN。
PowerShell
在產生 VPN 用戶端設定檔時,'-AuthenticationMethod' 的值是 'EapTls'。 使用下列命令來產生 VPN 用戶端組態檔:
$profile=New-AzVpnClientConfiguration -ResourceGroupName "TestRG" -Name "VNet1GW" -AuthenticationMethod "EapTls"
$profile.VPNProfileSASUrl
將 URL 複製到瀏覽器以下載 zip 檔案。
Azure 入口網站
在 Azure 入口網站中,移至您想要連線之虛擬網路的虛擬網路閘道。
在虛擬網路閘道頁面上,選取 [點對站設定],開啟點對站設定頁面。
在 [點對站設定] 頁面頂端,選取 [下載 VPN 用戶端]。 這不會下載 VPN 用戶端軟體,這會產生用來設定 VPN 用戶端的設定套件。 產生用戶端組態套件需耗費幾分鐘的時間。 在此期間,在封包產生之前,您可能不會看到任何指示。
產生組態套件之後,您的瀏覽器會指出用戶端組態 zip 檔案可供使用。 其名稱與您的閘道名稱相同。
解壓縮檔案以檢視資料夾。 您將使用這些檔案的一些或全部來設定 VPN 用戶端。 產生的檔案會對應至您在 P2S 伺服器上設定的驗證和通道類型設定。
2.產生用戶端憑證
為了進行憑證驗證,用戶端憑證必須安裝在每部用戶端電腦上。 您想使用的用戶端憑證必須使用私密金鑰匯出,而且必須包含認證路徑中的所有憑證。 此外,針對某些設定,您也需要安裝根憑證資訊。
在許多情況下,您可以按兩下,直接在用戶端電腦上安裝用戶端憑證。 不過,針對特定 OpenVPN 用戶端設定,您可能需要從用戶端憑證擷取資訊,才能完成設定。
- 如需使用憑證的相關資訊,請參閱點對站:產生憑證。
- 若要檢視已安裝的用戶端憑證,請開啟 [管理使用者憑證]。 用戶端憑證會安裝在 Current User\Personal\Certificates。
3.設定 VPN 用戶端
接下來,設定 VPN 用戶端。 從下列指示中選取:
| Tunnel | VPN 用戶端 |
|---|---|
| IKEv2 與 SSTP | 原生 VPN 用戶端步驟 |
| OpenVPN | Azure VPN Client 步驟 |
| OpenVPN | OpenVPN Client 步驟 |
下一步
如需其他步驟,請返回您原先處理的 P2S 文章。