Condividi tramite

Configurare client VPN utente da punto a sito: autenticazione del certificato - Client OpenVPN - macOS

  • Articolo

Questo articolo illustra come connettersi alla rete virtuale di Azure usando rete WAN virtuale'autenticazione da punto a sito (da punto a sito) dell'utente e autenticazione del certificato in macOS usando un client OpenVPN.

Prerequisiti

Questo articolo presuppone che l'utente abbia già soddisfatto i prerequisiti seguenti:

  • Sono stati completati i passaggi di configurazione necessari in Esercitazione: Creare una connessione VPN utente da sito a sito usando Azure rete WAN virtuale.
  • Sono stati generati e scaricati i file di configurazione del client VPN. I file di configurazione del client VPN generati sono specifici del profilo VPN utente rete WAN virtuale scaricato. La rete WAN virtuale ha due diversi tipi di profili di configurazione: a livello di rete WAN (globale) e a livello di hub. Per altre informazioni, vedere Scaricare profili VPN globali e hub. Se vengono apportate modifiche alla configurazione VPN da punto a sito dopo la generazione dei file o se si passa a un tipo di profilo diverso, è necessario generare nuovi file di configurazione del client VPN e applicare la nuova configurazione a tutti i client VPN da connettere.
  • Sono stati acquisiti i certificati necessari. È possibile generare certificati client o acquisire i certificati client appropriati necessari per l'autenticazione. Assicurarsi di avere sia il certificato client sia le informazioni sul certificato del server radice.

Requisiti di connessione

Per connettersi ad Azure con il client OpenVPN usando l'autenticazione del certificato, per ogni client che si connette sono necessari gli elementi seguenti:

  • Il software client VPN aperto deve essere installato e configurato in ogni client.
  • Il client deve avere un certificato client installato localmente.

Informazioni sui certificati

Per l'autenticazione del certificato, è necessario installare un certificato client in ogni computer client che si vuole connettere al gateway VPN. Il certificato client che si vuole usare deve essere esportato con la chiave privata e deve contenere tutti i certificati nel percorso di certificazione. Inoltre, per alcune configurazioni, è anche necessario installare le informazioni sul certificato radice.

Il client OpenVPN in questo articolo usa i certificati esportati con un formato .pfx. È possibile esportare un certificato client con facilità in questo formato usando le istruzioni Windows. Vedere Generare ed esportare certificati per le connessioni VPN utente. Se non si dispone di un computer Windows, come soluzione alternativa, è possibile usare una VM Windows di piccole dimensioni per esportare i certificati nel formato .pfx necessario.

Generare certificati client

Per l'autenticazione del certificato è necessario installare un certificato client in ogni computer client. Il certificato client che si vuole usare deve essere esportato con la chiave privata e deve contenere tutti i certificati nel percorso di certificazione.

Per informazioni sull'uso dei certificati, vedere Generare ed esportare certificati.

Configurare il client OpenVPN

Nell'esempio seguente viene usato TunnelBlick.

Importante

Solo macOS 10.13 e versioni successive è supportato con il protocollo OpenVPN.

Nota

Il client OpenVPN versione 2.6 non è ancora supportato.

  1. Scaricare e installare un client OpenVPN, ad esempio TunnelBlick.

  2. Scaricare il pacchetto del profilo client VPN dal portale di Azure.

  3. Decomprimere il profilo. Aprire il file di configurazione vpnconfig.ovpn dalla cartella OpenVPN in un editor di testo.

  4. Completare la sezione relativa al certificato client da punto a sito con la chiave pubblica del certificato client da punto a sito in formato Base 64. In un certificato in formato PEM è possibile aprire il file con estensione cer e copiare la chiave in formato Base 64 tra le intestazioni del certificato.

  5. Completare la sezione relativa alla chiave privata con la chiave privata del certificato client da punto a sito in formato Base 64. Per informazioni su come estrarre una chiave privata, vedere Esportare la propria chiave privata nel sito di OpenVPN.

  6. Lasciare invariati tutti gli altri campi. Usare la configurazione così completata nell'input del client per connettersi alla rete VPN.

  7. Fare doppio clic sul file del profilo per creare il profilo in Tunnelblick.

  8. Avviare Tunnelblick dalla cartella delle applicazioni.

  9. Fare clic sull'icona Tunnelblick nella barra delle applicazioni e selezionare l'opzione di connessione.

Passaggi successivi

Continuare configurando eventuali impostazioni aggiuntive per il server o la connessione. Vedere Esercitazione: Creare una connessione VPN utente da sito a sito con Azure rete WAN virtuale.