Condividi tramite

Configurare client VPN utente da punto a sito: autenticazione del certificato - client VPN nativo - macOS

  • Articolo

Se il gateway VPN utente da punto a sito (P2S) è configurato per l'uso dell'autenticazione IKEv2 e del certificato, è possibile connettersi alla rete virtuale usando il client VPN nativo che fa parte del sistema operativo macOS. Questo articolo illustra la procedura per configurare il client VPN nativo e connettersi alla rete virtuale.

Prerequisiti

Questo articolo presuppone che l'utente abbia già soddisfatto i prerequisiti seguenti:

  • Sono stati completati i passaggi di configurazione necessari in Esercitazione: Creare una connessione VPN utente da sito a sito usando Azure rete WAN virtuale.

  • Sono stati generati e scaricati i file di configurazione del client VPN. I file di configurazione del client VPN generati sono specifici del profilo VPN utente rete WAN virtuale scaricato.

    La rete WAN virtuale ha due diversi tipi di profili di configurazione: a livello di rete WAN (globale) e a livello di hub. Per altre informazioni, vedere Scaricare profili VPN globali e hub. Se vengono apportate modifiche alla configurazione VPN da punto a sito dopo la generazione dei file o se si passa a un tipo di profilo diverso, è necessario generare nuovi file di configurazione del client VPN e applicare la nuova configurazione a tutti i client VPN da connettere.

  • Sono stati acquisiti i certificati necessari. È possibile generare certificati client o acquisire i certificati client appropriati necessari per l'autenticazione. Assicurarsi di avere sia il certificato client sia le informazioni sul certificato del server radice.

Requisiti di connessione

Per connettersi ad Azure usando il software client VPN nativo e l'autenticazione del certificato, per ogni client di connessione sono necessari gli elementi seguenti:

  • Il client deve avere un certificato client installato localmente.
  • Il client deve eseguire una versione supportata di macOS.

Workflow

Il flusso di lavoro per questo articolo è il seguente:

  1. Generare certificati client se non è già stato fatto.
  2. Visualizzare i file di configurazione del profilo client VPN contenuti nel pacchetto di configurazione del profilo client VPN generato.
  3. Installare i certificati.
  4. Configurare il client VPN nativo già installato nel sistema operativo.
  5. Connettersi ad Azure.

Generare i certificati

Per l'autenticazione del certificato è necessario installare un certificato client in ogni computer client. Il certificato client che si vuole usare deve essere esportato con la chiave privata e deve contenere tutti i certificati nel percorso di certificazione. Inoltre, per alcune configurazioni, è anche necessario installare le informazioni sul certificato radice.

Per informazioni sull'uso dei certificati, vedere Generare ed esportare certificati.

Visualizzare i file di configurazione del profilo client VPN

Tutte le impostazioni di configurazione necessarie per i client VPN sono contenute in un file ZIP di configurazione del profilo client VPN. È possibile generare i file di configurazione del profilo client usando PowerShell oppure il portale di Azure. Entrambi i metodi restituiscono lo stesso file con estensione zip.

I file di configurazione del profilo client VPN sono specifici della configurazione del gateway VPN da punto a sito per la rete virtuale. Se vengono apportate modifiche alla configurazione VPN da punto a sito dopo la generazione dei file, ad esempio modifiche al tipo di autenticazione o al tipo di protocollo VPN, è necessario generare nuovi file di configurazione del profilo client VPN e applicare la nuova configurazione a tutti i client VPN da connettere.

Decomprimere il file per visualizzare le cartelle. Quando vengono configurati i client nativi di macOS, si usano i file contenuti nella cartella Generic. La cartella Generic è presente se nel gateway è stato configurato IKEv2. Se la cartella Generic non viene visualizzata, controllare gli elementi seguenti, quindi generare di nuovo il file ZIP.

  • Controllare il tipo di tunnel per la configurazione. È probabile che come tipo di tunnel non sia stato selezionato IKEv2.

La cartella Generico contiene i file seguenti.

  • VpnSettings.xml, che contiene impostazioni importanti come l'indirizzo del server e il tipo di tunnel.
  • VpnServerRoot.cer, che contiene il certificato radice necessario per convalidare il gateway VPN di Azure durante la configurazione della connessione da punto a sito.

Installare i certificati

Sono necessari sia il certificato radice che il certificato figlio installati nel Mac. Il certificato figlio deve essere esportato con la chiave privata e deve contenere tutti i certificati nel percorso di certificazione.

Certificato radice

  1. Copiare il file del certificato radice (il file .cer) nel Mac. Fare doppio clic sul certificato. A seconda del sistema operativo, il certificato verrà installato automaticamente oppure verrà visualizzata la pagina Aggiungi certificati.
  2. Se viene visualizzata la pagina Aggiungi certificati, per Portachiavi: fare clic sulle frecce e selezionare login dall'elenco a discesa.
  3. Fare clic su Aggiungi per importare il file.

Certificato client

Il certificato client (file con estensione pfx) viene usato per l'autenticazione ed è obbligatorio. In genere è sufficiente fare clic sul certificato client da installare.

Verificare che i certificati siano installati

Verificare che siano stati installati sia il certificato client sia il certificato radice.

  1. Aprire Accesso portachiavi.
  2. Passare alla scheda Certificati.
  3. Verificare che siano stati installati sia il certificato client sia il certificato radice.

Configurare il profilo del client VPN

Usare la procedura descritta nella Guida per l'utente Mac appropriata per la versione del sistema operativo per aggiungere una configurazione del profilo client VPN con le impostazioni seguenti.

  • Selezionare IKEv2 come tipo vpn.

  • In Nome visualizzato selezionare un nome descrittivo per il profilo.

  • Per l'indirizzo del server e l'ID remoto, usare il valore del tag VpnServer nel file VpnSettings.xml.

    Screenshot per fare clic su Seleziona.

  • Per Impostazioni di autenticazione selezionare Certificato.

  • Per Certificato scegliere il certificato figlio da usare per l'autenticazione. Se si dispone di più certificati, è possibile selezionare Mostra certificato per visualizzare altre informazioni su ogni certificato.

  • In ID locale digitare il nome del certificato figlio selezionato.

Dopo aver configurato il profilo client VPN, salvare il profilo.

Connessione

I passaggi per la connessione sono specifici della versione del sistema operativo macOS. Fare riferimento alla Guida dell'utente Mac. Selezionare la versione del sistema operativo in uso e seguire la procedura per connettersi.

Dopo aver stabilito la connessione, lo stato viene visualizzato come Connesso. L'indirizzo IP viene allocato dal pool di indirizzi client VPN.

Passaggi successivi

Continuare configurando eventuali impostazioni aggiuntive per il server o la connessione. Vedere Esercitazione: Creare una connessione VPN utente da sito a sito con Azure rete WAN virtuale.