Konfigurace klienta VPN uživatele (P2S) – Ověřování certifikátů – Windows

Tento článek vám pomůže nakonfigurovat klienty VPN uživatelů virtuální sítě WAN v operačním systému Windows pro konfigurace P2S, které používají ověřování certifikátů. Když se připojíte ke službě Virtual WAN pomocí sítě VPN uživatele (P2S) a ověřování certifikátů, můžete použít klienta VPN, který je nativně nainstalovaný v operačním systému, ze kterého se připojujete. Pokud používáte typ tunelu OpenVPN, máte také další možnosti použití Klient Azure VPN nebo klientského softwaru OpenVPN. Všechna potřebná nastavení konfigurace pro klienty VPN jsou obsažena v konfiguračním souboru ZIP klienta VPN. Nastavení v souboru ZIP vám pomůžou snadno konfigurovat klienty VPN.

Konfigurační soubory klienta VPN, které vygenerujete, jsou specifické pro konfiguraci brány VPN uživatele P2S. Pokud po vygenerování souborů dojde ke změnám konfigurace P2S VPN, například změny typu protokolu VPN nebo typu ověřování, musíte vygenerovat nové konfigurační soubory klienta VPN a použít novou konfiguraci pro všechny klienty VPN, které chcete připojit.

Tento článek se týká klientů operačního systému Windows. V případě kroků IKEv2 pro macOS/iOS použijte tuto část článku o službě VPN Gateway. Postup ověřování Microsoft Entra naleznete v tématu Konfigurace klienta VPN pro připojení P2S, která používají ověřování Microsoft Entra.

Než začnete

Než začnete, ujistěte se, že jste nakonfigurovali virtuální síť WAN podle kroků v článku Vytvoření připojení VPN typu point-to-site uživatele. Konfigurace sítě VPN uživatele musí používat ověřování certifikátů.

1. Instalace klientských certifikátů

Pokud jsou nastavení konfigurace VPN uživatele nakonfigurovaná pro ověřování certifikátů, aby bylo možné provést ověření, musí být klientský certifikát nainstalován na každém připojeném klientském počítači. Dále v tomto článku zadáte klientské certifikáty, které nainstalujete v této části. Klientský certifikát, který instalujete, musí být exportován s jeho privátním klíčem a musí obsahovat všechny certifikáty v cestě k certifikaci.

• Postup vygenerování klientského certifikátu najdete v tématu Generování a export certifikátů.

• Postup instalace klientského certifikátu najdete v tématu Instalace klientských certifikátů.

• Pokud chcete zobrazit nainstalovaný klientský certifikát, otevřete Spravovat uživatelské certifikáty. Klientský certifikát je nainstalován v části Aktuální uživatel\Osobní\Certifikáty.

2. Generování konfiguračních souborů profilu klienta VPN

Soubory obsažené v konfiguračním balíčku profilu slouží ke konfiguraci klienta VPN a jsou specifické pro konfiguraci sítě VPN uživatele. Konfigurační soubory profilu klienta VPN můžete vygenerovat pomocí PowerShellu nebo pomocí webu Azure Portal. Obě metody vrátí stejný soubor ZIP.

Po nakonfigurování Klient Azure VPN, pokud později aktualizujete nebo změníte konfiguraci vpn uživatele (změnit typ tunelu, přidat nebo odebrat nebo odvolat certifikáty atd.), musíte vygenerovat nový konfigurační balíček profilu klienta VPN a použít ho ke změně konfigurace připojení klientů Azure VPN.

Chcete-li vygenerovat konfigurační balíček profilu klienta VPN, přečtěte si téma Generování konfiguračních souborů klienta VPN.

Po vygenerování konfiguračního balíčku profilu klienta použijte následující pokyny, které odpovídají konfiguraci sítě VPN uživatele.

• IKEv2 a SSTP – kroky nativního klienta VPN
• OpenVPN – kroky Klient Azure VPN
• OpenVPN – kroky klienta OpenVPN

IKEv2 a SSTP – nativní klient VPN

Pokud jste zadali typ tunelového propojení VPN IKEv2 pro konfiguraci Vpn uživatele, můžete se připojit pomocí nativního klienta VPN systému Windows, který už je v počítači nainstalovaný.

1. Vyberte konfigurační soubory klienta VPN, které odpovídají architektuře počítače s Windows. V případě 64bitové architektury procesoru zvolte instalační balíček VpnClientSetupAmd64. V případě 32bitové architektury procesoru zvolte instalační balíček VpnClientSetupX86.

2. Dvakrát klikněte na balíček a nainstalujte ho. Pokud se zobrazí automaticky otevírané okno SmartScreen, vyberte Další informace a pak přesto spusťte.

3. Na klientském počítači přejděte na stránku VPN a vyberte připojení, které jste nakonfigurovali. Potom klikněte na Připojit.

OpenVPN – Klient Azure VPN

Následující kroky vám pomůžou stáhnout, nainstalovat a nakonfigurovat Klient Azure VPN pro připojení. V této části se předpokládá, že už máte nainstalované požadované klientské certifikáty místně na klientském počítači.

Poznámka:

Klient Azure VPN se podporuje jenom pro připojení protokolu OpenVPN®. Pokud typ tunelu VPN není OpenVPN, použijte nativního klienta VPN, který je součástí operačního systému Windows.

Zobrazení konfiguračních souborů profilu klienta

Když soubor ZIP otevřete, zobrazí se složka AzureVPN . Vyhledejte soubor azurevpnconfig.xml. Tento soubor obsahuje nastavení, která používáte ke konfiguraci profilu klienta VPN. Pokud soubor nevidíte, ověřte následující položky:

• Ověřte, že je brána VPN uživatele nakonfigurovaná tak, aby používala typ tunelu OpenVPN.
• Pokud používáte ověřování Microsoft Entra, možná nemáte složku AzureVPN. Místo toho si přečtěte článek o konfiguraci Microsoft Entra ID .

Další informace o souborech profilů klienta VPN uživatele naleznete v tématu Práce se soubory profilů klienta VPN uživatele.

Stažení Klient Azure VPN

1. Stáhněte si nejnovější verzi Klient Azure VPN instalace souborů pomocí jednoho z následujících odkazů:

   • Instalace pomocí instalačních souborů klienta: https://aka.ms/azvpnclientdownload.
   • Nainstalujte se přímo, když jste přihlášení do klientského počítače: Microsoft Store.

2. Nainstalujte Klient Azure VPN do každého počítače.

3. Ověřte, že Klient Azure VPN má oprávnění ke spuštění na pozadí. Postup najdete v tématu Aplikace na pozadí systému Windows.

4. Pokud chcete ověřit nainstalovanou verzi klienta, otevřete Klient Azure VPN. Přejděte do dolní části klienta a klikněte na ... -> ? Nápověda. V pravém podokně uvidíte číslo verze klienta.

Konfigurace Klient Azure VPN

1. Otevřete Klient Azure VPN.

2. V + levém dolním rohu stránky vyberte Importovat.

3. V okně přejděte do souboru azurevpnconfig.xml nebo azurevpnconfig_cert.xml v závislosti na konfiguraci. Vyberte soubor a pak vyberte Otevřít.

4. Na stránce profilu klienta si všimněte, že mnoho nastavení je již zadáno. Předkonfigurovaná nastavení jsou obsažena v balíčku profilu klienta VPN, který jste naimportovali. I když je většina nastavení už zadaná, musíte nakonfigurovat nastavení specifická pro klientský počítač.

   V rozevíracím seznamu Informace o certifikátu vyberte název podřízeného certifikátu (klientský certifikát). Například P2SChildCert. Pro účely tohoto cvičení vyberte v sekundárním profilu možnost Žádné.

   

   Pokud v rozevíracím seznamu Informace o certifikátu nevidíte klientský certifikát, musíte před pokračováním zrušit import konfigurace profilu a problém opravit. Je možné, že platí jedna z následujících věcí:

   • Klientský certifikát není v klientském počítači nainstalovaný místně.
   • V místním počítači je nainstalovaných více certifikátů s přesně stejným názvem (běžné v testovacích prostředích).
   • Podřízený certifikát je poškozený.

5. Po ověření importu (import bez chyb) vyberte Uložit.

6. V levém podokně vyhledejte připojení VPN a pak vyberte Připojit.

Další kroky

Pokud chcete upravit další nastavení připojení VPN uživatele P2S, přečtěte si kurz : Vytvoření připojení VPN uživatele P2S.