Поделиться через

Настройка VPN-клиентов P2S: проверка подлинности сертификата — собственный VPN-клиент — macOS

  • Статья

Если VPN-шлюз типа "точка — сеть" (P2S) настроен для использования IKEv2 и проверки подлинности сертификата, вы можете подключиться к виртуальной сети с помощью собственного VPN-клиента, который входит в операционную систему macOS. В этой статье описаны действия по настройке собственного VPN-клиента и подключению к виртуальной сети.

Необходимые компоненты

В этой статье предполагается, что вы уже выполнили следующие предварительные требования:

  • Вы выполнили необходимые действия по настройке в руководстве. Создание VPN-подключения пользователя P2S с помощью Azure Виртуальная глобальная сеть.

  • Вы создали и скачали файлы конфигурации VPN-клиента. Файлы конфигурации VPN-клиента, которые вы создаете, зависят от скачиваемого профиля VPN пользователя Виртуальная глобальная сеть.

    Виртуальная глобальная сеть имеет два разных типа профилей конфигурации: уровень глобальной сети (глобальный) и уровень концентратора. Дополнительные сведения см. в разделе "Скачивание глобальных и центральных профилей VPN". Если в конфигурацию VPN P2S вносятся изменения после создания файлов или если вы изменяете тип профиля, необходимо создать новые файлы конфигурации VPN-клиента и применить эту новую конфигурацию ко всем VPN-клиентам, которых вы хотите подключить.

  • Вы приобрели необходимые сертификаты. Вы можете создать сертификаты клиента или получить соответствующие сертификаты клиента, необходимые для проверки подлинности. Убедитесь, что у вас есть как сертификат клиента, так и сведения о сертификате корневого сервера.

Требования к подключению

Чтобы подключиться к Azure с помощью собственного программного обеспечения VPN-клиента и проверки подлинности сертификата, для каждого подключающегося клиента требуются следующие элементы:

  • Клиент должен иметь сертификат клиента, установленный локально.
  • Клиент должен запускать поддерживаемую версию macOS.

Рабочий процесс

Рабочий процесс для этой статьи выглядит следующим образом:

  1. Создайте сертификаты клиента, если вы еще этого не сделали.
  2. Просмотрите файлы конфигурации профиля VPN-клиента, содержащиеся в созданном пакете конфигурации профиля VPN-клиента.
  3. Установите сертификаты.
  4. Настройте собственный VPN-клиент, который уже установлен вашей ОС.
  5. Подключитесь к Azure.

Создание сертификатов

Для проверки подлинности сертификата сертификат должен быть установлен на каждом клиентском компьютере. Сертификат клиента, который вы хотите использовать, должен экспортироваться с закрытым ключом и содержать все сертификаты в пути сертификации. Кроме того, для некоторых конфигураций также потребуется установить сведения о корневом сертификате.

Сведения о работе с сертификатами см. в разделе "Создание и экспорт сертификатов".

Просмотр файлов конфигурации профиля VPN-клиента

Все необходимые параметры конфигурации для VPN-клиентов содержатся в ZIP-файле конфигурации профиля VPN-клиента. Файлы конфигурации профиля клиента можно создать с помощью PowerShell или с помощью портал Azure. И в первом, и во втором случае возвращается один и тот же ZIP-файл.

Файлы конфигурации профиля VPN-клиента относятся к конфигурации VPN-шлюза P2S для виртуальной сети. Если после создания файлов есть какие-либо изменения в конфигурации VPN P2S, например изменения типа VPN-протокола или типа проверки подлинности, необходимо создать новые файлы конфигурации профиля VPN-клиента и применить новую конфигурацию ко всем VPN-клиентам, которые требуется подключить.

Распакуйте файл. После этого отобразятся папки. При настройке собственных клиентов macOS используются файлы в папке Generic. Эта папка доступна, если для шлюза настроен протокол IKEv2. Если вы не видите папку Generic, проверьте следующие элементы, а затем создайте ZIP-файл еще раз.

  • Проверьте тип туннеля для вашей конфигурации. Скорее всего, вы не выбрали IKEv2 в качестве типа туннеля.

Папка Generic содержит следующие файлы.

  • Файл VpnSettings.xml — содержит такие важные параметры, как адрес сервера и тип туннеля.
  • Файл VpnServerRoot.cer содержит корневой сертификат, который требуется для проверки VPN-шлюза Azure при настройке подключения типа "точка — сеть".

Установка сертификатов

Вам потребуется как корневой сертификат, так и дочерний сертификат, установленный на компьютере Mac. Дочерний сертификат должен быть экспортирован с закрытым ключом и должен содержать все сертификаты в пути сертификации.

Корневой сертификат

  1. Скопируйте корневой файл сертификата (файл .cer) в mac. Дважды щелкните сертификат. В зависимости от операционной системы либо сертификат будет установлен автоматически, либо откроется страница Добавление сертификатов.
  2. Если отображается страница Добавление сертификатов, для Цепочки ключей щелкните стрелки и выберите имя входа в раскрывающемся списке.
  3. Чтобы импортировать файл, щелкните Добавить.

Сертификат клиента

Сертификат клиента (PFX-файл) используется для проверки подлинности и является обязательным. Как правило, можно просто щелкнуть сертификат клиента для установки.

Проверка установки сертификатов

Убедитесь в том, что установлены как сертификат клиента, так и корневой сертификат.

  1. Откройте приложение Keychain Access.
  2. Перейдите на вкладку Сертификаты.
  3. Убедитесь в том, что установлены как сертификат клиента, так и корневой сертификат.

Настройка профиля VPN-клиента

Используйте действия, описанные в руководстве пользователя Mac, которые подходят для версии операционной системы, чтобы добавить конфигурацию профиля VPN-клиента со следующими параметрами.

  • Выберите IKEv2 в качестве типа VPN.

  • Для отображаемого имени выберите понятное имя профиля.

  • Для адреса сервера и удаленного идентификатора используйте значение тега VpnServer в файле VpnSettings.xml.

    Снимок экрана: кнопка

  • Для параметров проверки подлинности выберите сертификат.

  • Для сертификата выберите дочерний сертификат, который вы хотите использовать для проверки подлинности. Если у вас несколько сертификатов, можно выбрать "Показать сертификат ", чтобы просмотреть дополнительные сведения о каждом сертификате.

  • В поле "Локальный идентификатор" введите имя выбранного дочернего сертификата.

После завершения настройки профиля VPN-клиента сохраните профиль.

Connect

Действия по подключению относятся к версии операционной системы macOS. Ознакомьтесь с руководством пользователя Mac. Выберите версию операционной системы, которую вы используете, и выполните действия по подключению.

После установки подключения состояние отображается как подключено. IP-адрес выделяется из пула АДРЕСОВ VPN-клиента.

Следующие шаги

Дальнейшие действия с любыми дополнительными параметрами сервера или подключения. См. руководство. Создание VPN-подключения пользователя P2S с помощью Azure Виртуальная глобальная сеть.