Konfigurace klientů VPN uživatele P2S: Ověřování certifikátů – Klient OpenVPN – macOS
Tento článek vám pomůže připojit se k virtuální síti Azure (VNet) pomocí připojení VPN typu point-to-site (P2S) a ověřování certifikátů v systému macOS pomocí klienta OpenVPN.
Požadavky
Tento článek předpokládá, že jste už provedli následující požadavky:
- Dokončili jste nezbytné kroky konfigurace v kurzu: Vytvoření připojení VPN uživatele P2S pomocí služby Azure Virtual WAN.
- Vygenerovali a stáhli jste konfigurační soubory klienta VPN. Konfigurační soubory klienta VPN, které vygenerujete, jsou specifické pro profil vpn uživatele služby Virtual WAN, který stáhnete. Virtual WAN má dva různé typy konfiguračních profilů: síť WAN (globální) a hub-level. Další informace najdete v tématu Stažení globálních a centrálních profilů VPN. Pokud po vygenerování souborů dojde k nějakým změnám konfigurace sítě VPN typu point-to-site, budete muset vygenerovat nové konfigurační soubory klienta VPN a použít novou konfiguraci pro všechny klienty VPN, které chcete připojit.
- Získali jste potřebné certifikáty. Můžete buď generovat klientské certifikáty, nebo získat příslušné klientské certifikáty potřebné k ověření. Ujistěte se, že máte klientský certifikát i informace o certifikátu kořenového serveru.
Požadavky na připojení
Pokud se chcete připojit k Azure pomocí klienta OpenVPN pomocí ověřování certifikátů, každý připojující klient vyžaduje následující položky:
- Na každém klientovi musí být nainstalovaný a nakonfigurovaný software Open VPN Client.
- Klient musí mít klientský certifikát, který je nainstalovaný místně.
Informace o certifikátech
Pro ověřování certifikátů musíte nainstalovat klientský certifikát do každého klientského počítače, ke kterému se chcete připojit k bráně VPN. Klientský certifikát, který chcete použít, musí být exportován s privátním klíčem a musí obsahovat všechny certifikáty v cestě k certifikaci. V některých konfiguracích budete také muset nainstalovat informace o kořenovém certifikátu.
Klient OpenVPN v tomto článku používá certifikáty exportované ve formátu .pfx . Klientský certifikát můžete snadno exportovat do tohoto formátu pomocí pokynů pro Windows. Viz Generování a export certifikátů pro připojení VPN uživatele. Pokud nemáte počítač s Windows, můžete jako alternativní řešení použít malý virtuální počítač s Windows k exportu certifikátů do požadovaného formátu .pfx .
Generování klientských certifikátů
Pro ověřování certifikátů musí být klientský certifikát nainstalovaný na každém klientském počítači. Klientský certifikát, který chcete použít, musí být exportován s privátním klíčem a musí obsahovat všechny certifikáty v cestě k certifikaci.
Informace o práci s certifikáty naleznete v tématu Generování a export certifikátů.
Konfigurace klienta OpenVPN
Následující příklad používá TunnelBlick.
Důležité
Protokol OpenVPN podporuje pouze macOS 10.13 a novější.
Poznámka:
Klient OpenVPN verze 2.6 se zatím nepodporuje.
Stáhněte a nainstalujte klienta OpenVPN, například TunnelBlick.
Stáhněte balíček profilu klienta VPN z webu Azure Portal.
Rozbalte profil. Otevřete konfigurační soubor vpnconfig.ovpn ze složky OpenVPN v textovém editoru.
V části klientského certifikátu P2S vyplňte veřejný klíč klientského certifikátu P2S v kódování Base-64. V certifikátu ve formátu PEM můžete otevřít soubor .cer a zkopírovat klíč base64 mezi hlavičkami certifikátu.
V části privátního klíče vyplňte privátní klíč klientského certifikátu P2S v kódování Base-64. Informace o extrahování privátního klíče najdete v tématu Export privátního klíče na webu OpenVPN.
Neměňte žádná jiná pole. S použitím vyplněné konfigurace ve vstupu klienta se připojte k síti VPN.
Poklikáním na soubor profilu vytvořte profil v Tunnelblicku.
Spusťte Tunnelblick ze složky aplikací.
Klikněte na ikonu Tunnelblick na hlavním panelu systému a vyberte připojit.
Další kroky
Proveďte další nastavení serveru nebo připojení. Viz kurz: Vytvoření připojení VPN uživatele P2S pomocí služby Azure Virtual WAN