Konfigurace klientů VPN typu P2S: Ověřování certifikátů – nativní klient VPN – macOS
Pokud je brána VPN typu point-to-site (P2S) nakonfigurovaná tak, aby používala ověřování pomocí protokolu IKEv2 a certifikátu, můžete se k virtuální síti připojit pomocí nativního klienta VPN, který je součástí operačního systému macOS. Tento článek vás provede postupem konfigurace nativního klienta VPN a připojení k virtuální síti.
Než začnete
Než začnete s konfigurací klienta, ověřte, že jste ve správném článku. Následující tabulka uvádí články o konfiguraci, které jsou k dispozici pro klienty VPN typu P2S služby Azure VPN Gateway. Postup se liší v závislosti na typu ověřování, typu tunelu a klientském operačním systému.
| Metoda ověřování | Typ tunelového propojení | Operační systém klienta | Klient VPN |
|---|---|---|---|
| Certifikát | |||
| IKEv2, SSTP | Windows | Nativní klient VPN | |
| IKEv2 | macOS | Nativní klient VPN | |
| IKEv2 | Linux | strongSwan | |
| OpenVPN | Windows |
Klient Azure VPN Klient OpenVPN verze 2.x Klient OpenVPN verze 3.x |
|
| OpenVPN | macOS | Klient OpenVPN | |
| OpenVPN | iOS | Klient OpenVPN | |
| OpenVPN | Linux |
Klient Azure VPN Klient OpenVPN |
|
| Microsoft Entra ID | |||
| OpenVPN | Windows | Klient Azure VPN | |
| OpenVPN | macOS | Klient Azure VPN | |
| OpenVPN | Linux | Klient Azure VPN |
Požadavky
Tento článek předpokládá, že jste už provedli následující požadavky:
- Vytvořili jste a nakonfigurovali bránu VPN pro ověřování certifikátu typu point-to-site a typ tunelu OpenVPN. Postup najdete v tématu Konfigurace nastavení serveru pro připojení brány VPN Gateway typu P2S – ověřování certifikátů.
- Vygenerovali a stáhli jste konfigurační soubory klienta VPN. Postup najdete v tématu Generování konfiguračních souborů profilu klienta VPN.
- Můžete buď generovat klientské certifikáty, nebo získat příslušné klientské certifikáty potřebné k ověření.
Workflow
Pracovní postup pro tento článek je následující:
- Pokud jste to ještě neudělali, vygenerujte klientské certifikáty.
- Zobrazte konfigurační soubory profilu klienta VPN obsažené v konfiguračním balíčku profilu klienta VPN, který jste vygenerovali.
- Nainstalujte certifikáty.
- Nakonfigurujte nativního klienta VPN, který už máte nainstalovaný operační systém.
- Připojte se k Azure.
Vygenerování certifikátů
Pro ověřování certifikátů musí být klientský certifikát nainstalovaný na každém klientském počítači. Klientský certifikát, který chcete použít, musí být exportován s privátním klíčem a musí obsahovat všechny certifikáty v cestě k certifikaci. V některých konfiguracích budete také muset nainstalovat informace o kořenovém certifikátu.
Informace o práci s certifikáty naleznete v tématu Generování a export certifikátů.
Zobrazení konfiguračních souborů profilu klienta VPN
Všechna potřebná nastavení konfigurace pro klienty VPN jsou obsažena v konfiguračním souboru ZIP profilu klienta VPN. Konfigurační soubory profilu klienta můžete vygenerovat pomocí PowerShellu nebo pomocí webu Azure Portal. Obě metody vrátí stejný soubor ZIP.
Konfigurační soubory profilu klienta VPN jsou specifické pro konfiguraci brány VPN typu P2S pro virtuální síť. Pokud se po vygenerování souborů, například změn typu protokolu VPN nebo typu ověřování, změníte konfiguraci P2S VPN, musíte vygenerovat nové konfigurační soubory profilu klienta VPN a použít novou konfiguraci pro všechny klienty VPN, které chcete připojit.
Rozbalte soubor a zobrazte složky. Když konfigurujete nativní klienty macOS, použijete soubory ve složce Generic . Obecná složka se nachází, pokud je v bráně nakonfigurovaný protokol IKEv2. Pokud obecnou složku nevidíte, zkontrolujte následující položky a pak znovu vygenerujte soubor ZIP.
- Zkontrolujte typ tunelu pro vaši konfiguraci. Je pravděpodobné, že IKEv2 nebyl vybrán jako typ tunelu.
- Ověřte, že brána není nakonfigurovaná se skladovou jednotkou Basic. Skladová položka služby VPN Gateway Basic nepodporuje IKEv2. Pokud chcete, aby se klienti macOS připojili, budete muset bránu znovu sestavit s příslušnou skladovou jednotkou a typem tunelu.
Složka Generic obsahuje následující soubory.
- VpnSettings.xml, která obsahuje důležitá nastavení, jako je adresa serveru a typ tunelu.
- VpnServerRoot.cer, který obsahuje kořenový certifikát potřebný k ověření brány Azure VPN během instalace připojení P2S.
Instalace certifikátů
Budete potřebovat kořenový i podřízený certifikát nainstalovaný na počítači Mac. Podřízený certifikát musí být exportován s privátním klíčem a musí obsahovat všechny certifikáty v cestě k certifikaci.
Kořenový certifikát
- Zkopírujte soubor kořenového certifikátu (soubor .cer) do počítače Mac. Poklikejte na certifikát. V závislosti na vašem operačním systému se certifikát buď automaticky nainstaluje, nebo se zobrazí stránka Přidat certifikáty .
- Pokud se zobrazí stránka Přidat certifikáty, klikněte na šipky a v rozevíracím seznamu vyberte přihlášení.
- Kliknutím na Přidat soubor naimportujete.
Klientský certifikát
Klientský certifikát (soubor .pfx) se používá k ověřování a vyžaduje se. Obvykle stačí kliknout na klientský certifikát a nainstalovat ho. Další informace o instalaci klientského certifikátu naleznete v tématu Instalace klientského certifikátu.
Ověření, že jsou nainstalované certifikáty
Ověřte, že je nainstalovaný klient i kořenový certifikát.
- Otevřete přístup ke klíčence.
- Přejděte na kartu Certifikáty .
- Ověřte, že je nainstalovaný klient i kořenový certifikát.
Konfigurace profilu klienta VPN
Pomocí kroků v uživatelské příručce pro Mac, které jsou vhodné pro verzi operačního systému, přidejte konfiguraci profilu klienta VPN s následujícím nastavením.
Jako typ sítě VPN vyberte IKEv2 .
Jako zobrazovaný název vyberte popisný název profilu.
Pro adresu serveru i vzdálené ID použijte hodnotu ze značky VpnServer v souboru VpnSettings.xml.
V části Nastavení ověřování vyberte Certifikát.
Pro certifikát zvolte podřízený certifikát, který chcete použít k ověřování. Pokud máte více certifikátů, můžete vybrat Zobrazit certifikát a zobrazit další informace o jednotlivých certifikátech.
Jako místní ID zadejte název podřízeného certifikátu, který jste vybrali.
Po dokončení konfigurace profilu klienta VPN profil uložte.
Propojit
Postup připojení je specifický pro verzi operačního systému macOS. Projděte si uživatelskou příručku pro Mac. Vyberte verzi operačního systému, kterou používáte, a postupujte podle pokynů pro připojení.
Po navázání připojení se stav zobrazí jako Připojeno. IP adresa je přidělena z fondu adres klienta VPN.
Další kroky
Proveďte další nastavení serveru nebo připojení. Viz kroky konfigurace typu Point-to-Site.