Configuration de client VPN utilisateur (P2S) - Authentification par certificat - Windows

Cet article explique comment configurer des clients VPN utilisateur de Virtual WAN sur un système d’exploitation Windows pour les configurations de P2S qui utilisent une authentification par certificat. Lorsque vous vous connectez à un Virtual WAN en utilisant un VPN utilisateur (P2S) et une authentification par certificat, vous utilisez le client VPN installé de façon native sur le système d’exploitation à partir duquel vous vous connectez. Si vous utilisez le type de tunnel OpenVPN, vous avez aussi la possibilité d’utiliser Azure VPN Client ou le logiciel de client OpenVPN. Tous les paramètres de configuration nécessaires aux clients VPN sont contenus dans un fichier config zip de client VPN. Les paramètres dans le fichier zip vous aident à configurer facilement des clients VPN.

Les fichiers config du client VPN que vous générez sont spécifiques de la configuration de passerelle VPN utilisateur (P2S). Si des modifications ont été apportées à la configuration du VPN de point à site après avoir généré les fichiers (modifications apportées au type de protocole VPN ou au type d’authentification, par exemple), vous devez générer les nouveaux fichiers config du client VPN et appliquer la nouvelle configuration à tous les clients VPN que vous souhaitez connecter.

Cet article s’applique aux clients du système d’exploitation Windows. Pour les étapes macOS/iOS IKEv2, utilisez cette section de l’article Passerelle VPN. Pour connaître les étapes d'authentification Microsoft Entra, consultez Configurer un client VPN pour les connexions P2S qui utilisent l'authentification Microsoft Entra.

Avant de commencer

Avant de commencer, assurez-vous que vous avez configuré un Virtual WAN en suivant les étapes décrites dans l’article Créer des connexions point à site de VPN utilisateur . Votre configuration de VPN utilisateur doit utiliser une authentification par certificat.

1. Installer des certificats clients

Lorsque les paramètres de configuration de votre VPN utilisateur définissent l’authentification par certificat, un certificat client doit être installé sur chaque ordinateur client qui se connecte. Plus loin dans cet article, vous allez spécifier le ou les certificats clients que installés dans le cadre de cette section. Le certificat client que vous installez doit avoir été exporté avec sa clé privée, et contenir tous les certificats dans le chemin de certification.

• Pour connaître la procédure de génération d’un certificat client, consultez Générer et exporter des certificats.

• Pour connaître la procédure d’installation d’un certificat client, consultez Installer des certificats clients.

• Pour afficher un certificat client installé, ouvrez Gérer les certificats utilisateur. Le certificat client est installé dans Current User\Personal\Certificates.

2. Générer les fichiers de configuration de profil de client VPN

Les fichiers contenus dans le package de configuration de profil sont utilisés pour configurer le client VPN, et sont spécifiques de la configuration du VPN utilisateur. Vous pouvez générer des fichiers de configuration de profil de client VPN en utilisant PowerShell ou le portail Azure. L’une ou l’autre des méthodes retourne le même fichier zip.

Après avoir configuré l’Azure VPN Client, si vous mettez à jour ou modifiez la configuration du VPN utilisateur (changement de type de tunnel, ajout/suppression/révocation de certificats, etc.), vous devez générer un nouveau package de configuration de profil de client VPN, et l’utiliser pour reconfigurer la connexion de clients VPN Azure.

Pour générer le package de configuration de profil de client VPN, consultez Générer les fichiers de configuration de client VPN.

Après avoir généré le package de configuration de profil de client, suivez les instructions ci-dessous qui correspondent à votre configuration de VPN utilisateur.

• IKEv2 et SSTP - étapes du client VPN natif
• OpenVPN – Étapes Azure VPN Client
• OpenVPN – Étapes du client OpenVPN

IKEv2 et SSTP - client VPN natif

Si vous avez spécifié le type de tunnel VPN IKEv2 pour la configuration du VPN utilisateur, vous pouvez vous connecter à l’aide du client VPN natif Windows déjà installé sur votre ordinateur.

1. Sélectionnez les fichiers de configuration du client VPN qui correspondent à l’architecture de l’ordinateur Windows. Pour une architecture de processeur 64 bits, choisissez le package du programme d’installation « VpnClientSetupAmd64 ». Pour une architecture de processeur 32 bits, choisissez le package du programme d’installation « VpnClientSetupX86 ».

2. Double-cliquez sur le package pour lancer l’installation. Si une fenêtre contextuelle SmartScreen s’affiche, sélectionnez Plus d’infos, puis Exécuter quand même.

3. Sur l’ordinateur client, accédez à la page de votre VPN et sélectionnez la connexion que vous avez configurée. Ensuite, cliquez sur Se connecter.

OpenVPN - Azure VPN Client

Les étapes suivantes montrent comment télécharger, installer et configurer l’Azure VPN Client pour la connexion. Cette section part du principe que vous avez déjà installé les certificats clients requis localement sur l’ordinateur client.

Notes

Azure VPN Client est uniquement pris en charge pour les connexions de protocole OpenVPN®. Si le type de tunnel VPN n’est pas OpenVPN, utilisez le client VPN natif qui fait partie du système d’exploitation Windows.

Afficher les fichiers config de profil de client VPN

Lorsque vous ouvrez le fichier zip, le dossier AzureVPN s’affiche. Recherchez le fichier azurevpnconfig.xml. Ce fichier contient les paramètres que vous utilisez pour configurer le profil client VPN. Si vous ne voyez pas le fichier, vérifiez les éléments suivants :

• Vérifiez que votre passerelle VPN utilisateur est configurée pour utiliser le type de tunnel OpenVPN.
• Si vous utilisez l'authentification Microsoft Entra, vous n'avez peut-être pas de dossier AzureVPN. Consultez plutôt l’article sur la configuration de Microsoft Entra ID.

Pour plus d’informations sur les fichiers de profil de client VPN utilisateur, consultez Utilisation de fichiers de profil client VPN utilisateur.

Télécharger Azure VPN Client

1. Téléchargez la dernière version des fichiers d’installation d’Azure VPN Client à l’aide de l’un des liens suivants :

   • Installez en utilisant des fichiers d’installation du client : https://aka.ms/azvpnclientdownload.
   • Installez directement en cas de connexion sur un ordinateur client : Microsoft Store.

2. Installez Azure VPN Client sur chaque ordinateur.

3. Vérifiez qu’Azure VPN Client est autorisé à s’exécuter en arrière-plan. Pour connaître les étapes à suivre, consultez applications Windows en arrière-plan.

4. Pour vérifier la version du client installée, ouvrez Azure VPN Client. Accédez au bas du client, puis cliquez sur ... -> ? Aide. Dans le volet de droite, vous pouvez voir le numéro de version du client.

Configurer l’Azure VPN Client

1. Ouvrez Azure VPN Client.

2. Sélectionnez + en bas à gauche de la page, puis sélectionnez Importer.

3. Dans la fenêtre, naviguez jusqu’au fichier azurevpnconfig.xml ou azurevpnconfig_cert.xml en fonction de votre configuration. Sélectionnez le fichier, puis Ouvrir.

4. Dans la page de profil de client, notez que bon nombre des paramètres sont déjà spécifiés. Les paramètres préconfigurés sont contenus dans le package de profil de client VPN que vous avez importé. Même si la plupart des paramètres sont déjà spécifiés, vous devez configurer des paramètres propres à l’ordinateur client.

   Dans la liste déroulante Informations sur le certificat, sélectionnez le nom du certificat enfant (le certificat client). Par exemple, P2SChildCert. Pour cet exercice, sélectionnez Aucun pour le profil secondaire.

   

   Si vous ne voyez pas de certificat client dans la liste déroulante Informations sur le certificat, vous devez annuler l’importation de la configuration de profil et résoudre le problème avant de continuer. Il est possible que l’une des choses suivantes soit vraie :

   • Le certificat client n’est pas installé localement sur l’ordinateur client.
   • Il existe plusieurs certificats avec exactement le même nom installé sur votre ordinateur local (commun dans les environnements de test).
   • Le certificat enfant est endommagé.

5. Une fois l’importation validée (importations sans erreur), sélectionnez Enregistrer.

6. Dans le volet de gauche, recherchez la connexion VPN, puis sélectionnez Se connecter.

Étapes suivantes

Pour modifier d’autres paramètres de connexion VPN utilisateur P2S, consultez Tutoriel : Créer une connexion VPN utilisateur P2S.