Partager via

Configurer les clients Utilisateur VPN P2S : authentification par certificat : client VPN natif : macOS

  • Article

Si votre passerelle VPN Utilisateur point à site (P2S) est configurée pour utiliser l’authentification IKEv2 et une authentification par certificat, vous pouvez vous connecter à votre réseau virtuel en utilisant le client VPN natif qui fait partie de votre système d’exploitation macOS. Cet article vous guide tout au long des étapes permettant de configurer le client VPN natif et de vous connecter à votre réseau virtuel.

Prérequis

Cet article suppose que vous avez déjà effectué les étapes prérequises suivantes :

  • Vous avez suivi les étapes de configuration nécessaires décrites dans le Tutoriel : Créer une connexion de VPN utilisateur P2S à l’aide d’Azure Virtual WAN.

  • Vous avez généré et téléchargé les fichiers de configuration du client VPN. Les fichiers de configuration du client VPN que vous générez sont spécifiques du profil VPN utilisateur Virtual WAN que vous téléchargez.

    Le service Virtual WAN propose deux types de profils de configuration différents : niveau WAN (global) et le niveau hub. Pour découvrir plus d’informations, consultez Télécharger des profils VPN globaux et hub. Si des modifications ont été apportées à la configuration du VPN P2S après que vous avez généré les fichiers, ou si vous changez de type de profil, vous devez générer les nouveaux fichiers config du client VPN et appliquer la nouvelle configuration à tous les clients VPN que vous souhaitez connecter.

  • Vous avez acquis les certificats nécessaires. Vous pouvez soit générer des certificats clients, soit acquérir les certificats clients appropriés nécessaires à l’authentification. Vérifiez que vous disposez des informations tant du certificat client que du certificat du serveur racine.

Exigences relatives aux connexions

Pour se connecter à Azure à l’aide du logiciel client VPN natif et de l’authentification par certificat, chaque client de connexion nécessite les éléments suivants :

  • Le client doit disposer d’un certificat client installé localement.
  • Le client doit exécuter une version prise en charge de macOS.

Workflow

Cet article a été élaboré de la manière suivante :

  1. Générez les certificats clients si vous ne l’avez pas déjà fait.
  2. Affichez les fichiers de configuration du profil client VPN contenus dans le package de configuration du profil client VPN que vous avez généré.
  3. Installez les certificats.
  4. Configurez le client VPN natif déjà installé sur votre système d’exploitation.
  5. Connexion à Azure.

Générer des certificats

Pour l’authentification par certificat, un certificat client doit être installé sur chaque ordinateur client. Le certificat client que vous souhaitez utiliser doit être exporté avec la clé privée et contenir tous les certificats dans le chemin de certification. En outre, pour certaines configurations, vous devez également installer les informations de certificat racine.

Pour plus d’informations sur l’utilisation des certificats, consultez Générer et exporter des certificats.

Afficher les fichiers de configuration de profil de client VPN

Tous les paramètres de configuration nécessaires aux clients VPN sont contenus dans un fichier config zip de client VPN. Vous pouvez générer des fichiers de configuration de profil de client en utilisant PowerShell ou le portail Azure. L’une ou l’autre des méthodes retourne le même fichier zip.

Les fichiers de configuration de profil de client VPN sont spécifiques à la configuration de la passerelle VPN P2S pour le réseau virtuel. Si des modifications ont été apportées à la configuration du VPN P2S après avoir généré les fichiers (modifications apportées au type de protocole VPN ou au type d’authentification, par exemple), vous devez générer les nouveaux fichiers de configuration du profil du client VPN et appliquer la nouvelle configuration à tous les clients VPN que vous souhaitez connecter.

Décompressez le fichier pour afficher les dossiers. Quand vous configurez des clients natifs macOS, vous utilisez les fichiers du dossier Générique. Ce dossier est présent si le protocole IKEv2 a été configuré sur la passerelle. Si vous ne voyez pas le dossier Générique, vérifiez les éléments suivants, puis générez à nouveau le fichier zip.

  • Vérifiez le type de tunnel adapté à votre configuration. Il est probable qu’IKEv2 ne soit pas sélectionné en tant que type de tunnel.

Le dossier Générique contient les fichiers suivants.

  • Le fichier VpnSettings.xml, qui contient d’importants paramètres tels que l’adresse et le type de tunnel du serveur.
  • Le fichier VpnServerRoot.cer, qui contient le certificat racine requis pour valider la passerelle VPN Azure lors de la configuration de la connexion P2S.

Installer des certificats

Vous aurez besoin du certificat racine et du certificat enfant installés sur votre Mac. Le certificat enfant exporté doit être exporté avec la clé privée et contenir tous les certificats dans le chemin de certification.

Certificat racine

  1. Copiez le fichier du certificat racine (le fichier .cer) sur votre Mac. Double-cliquez sur le certificat. Selon votre système d’exploitation, le certificat s’installe automatiquement ou la page Ajouter des certificats apparaît.
  2. Si la page Ajouter des certificats apparaît, pour Trousseau :, cliquez sur les flèches et sélectionnez login dans la liste déroulante.
  3. Cliquez sur Ajouter pour importer le fichier.

Certificat client

Le certificat client (fichier .pfx) est utilisé pour l’authentification et est obligatoire. En règle générale, vous pouvez simplement cliquer sur le certificat client à installer.

Vérifier que les certificats sont installés

Vérifiez que le client et le certificat racine sont installés.

  1. Ouvrez Trousseaux d’accès.
  2. Accédez à l’onglet Certificats.
  3. Vérifiez que le client et le certificat racine sont installés.

Configurer le profil du client VPN

Suivez les étapes du guide utilisateur Mac qui conviennent à votre version du système d’exploitation pour ajouter une configuration de profil client VPN avec les paramètres suivants.

  • Sélectionnez IKEv2 comme type de VPN.

  • Pour le Nom complet, sélectionnez un nom convivial pour le profil.

  • Pour l’Adresse du serveur et l’ID distant, utilisez la valeur de la balise VpnServer dans le fichier VpnSettings.xml.

    Capture d’écran illustrant le clic sur Sélectionner.

  • Pour les Paramètres d’authentification, sélectionnez Certificat.

  • Pour le Certificat, choisissez le certificat enfant que vous souhaitez utiliser pour l’authentification. Si vous avez plusieurs certificats, vous pouvez sélectionner Afficher le certificat pour afficher plus d’informations sur chaque certificat.

  • Pour l’ID local, tapez le nom du certificat enfant que vous avez sélectionné.

Une fois que vous avez terminé de configurer le profil client VPN, enregistrez le profil.

Connexion

Les étapes de connexion sont spécifiques à la version du système d’exploitation macOS. Reportez-vous au guide utilisateur Mac. Sélectionnez la version du système d’exploitation que vous utilisez et suivez les étapes de connexion.

Une fois la connexion établie, l’état s’affiche comme Connecté. L’adresse IP est allouée à partir du pool d’adresses client VPN.

Étapes suivantes

Poursuivez avec n’importe quel paramètre de serveur ou de connexion supplémentaire. Consultez Tutoriel : Créer une connexion de VPN utilisateur P2S à l’aide d’Azure Virtual WAN.