通过

你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

配置 P2S VPN 客户端:证书身份验证 - 本机 VPN 客户端 - macOS

  • 项目

如果点到站点 (P2S) VPN 网关配置为使用 IKEv2 和证书身份验证,则可以使用 macOS 操作系统中的本机 VPN 客户端连接到虚拟网络。 本文会指导你完成配置本机 VPN 客户端并连接到虚拟网络的步骤。

开始之前

在开始配置客户端之前,请验证你是否在正确的文章中。 下表显示了 Azure VPN 网关 P2S VPN 客户端可用的配置文章。 步骤因身份验证类型、隧道类型和客户端 OS 而有所不同。

身份验证 隧道类型 客户端 OS VPN 客户端
证书
IKEv2、SSTP Windows 本机 VPN 客户端
IKEv2 macOS 本机 VPN 客户端
IKEv2 Linux strongSwan
OpenVPN Windows Azure VPN 客户端
OpenVPN 客户端
OpenVPN macOS OpenVPN 客户端
OpenVPN iOS OpenVPN 客户端
OpenVPN Linux Azure VPN 客户端
OpenVPN 客户端
Microsoft Entra ID
OpenVPN Windows Azure VPN 客户端
OpenVPN macOS Azure VPN 客户端
OpenVPN Linux Azure VPN 客户端

先决条件

本文假定你已执行以下先决条件:

Workflow

本文的工作流如下所示:

  1. 生成客户端证书(如果尚未这样做)。
  2. 查看生成的 VPN 客户端配置文件包中包含的 VPN 客户端配置文件。
  3. 安装证书。
  4. 配置已在操作系统上安装的本机 VPN 客户端。
  5. 连接到 Azure。

生成证书

对于证书身份验证,必须在每台客户端计算机上安装客户端证书。 要使用的客户端证书必须使用私钥导出,并且必须包含证书路径中的所有证书。 此外,对于某些配置,还需要安装根证书信息。

有关使用证书的信息,请参阅点到站点:生成证书 - Linux

查看 VPN 客户端配置文件

VPN 客户端的所有必需配置设置都包含在 VPN 客户端 zip 配置文件中。 可使用 PowerShell 或 Azure 门户生成客户端配置文件。 两种方法之一都会返回相同的 zip 文件。

VPN 客户端配置文件特定于虚拟网络的 P2S VPN 网关配置。 如果生成文件后 P2S VPN 配置有任何更改,例如 VPN 协议类型或身份验证类型出现更改,则需要生成新的 VPN 客户端配置文件,并将新配置应用到所有要连接的 VPN 客户端。

解压缩该文件,查看文件夹。 配置 macOS 本机客户端时,请使用 Generic 文件夹中的文件。 如果网关上配置了 IKEv2,则会提供 Generic 文件夹。 可以在 Generic 文件夹中找到配置本机 VPN 客户端所需的所有信息。 如果未看到 Generic 文件夹,请检查以下各项,然后再次生成 zip 文件。

  • 检查配置的隧道类型。 可能 IKEv2 未选作隧道类型。
  • 在 VPN 网关上,验证该 SKU 不是“基本”类别。 VPN 网关基本 SKU 不支持 IKEv2。 如果希望 macOS 客户端连接,则必须使用相应的 SKU 和隧道类型重新生成网关。

Generic 文件夹包含以下文件。

  • VpnSettings.xml:包含服务器地址和隧道类型等重要设置。
  • VpnServerRoot.cer:包含在 P2S 连接设置过程中验证 Azure VPN 网关所需的根证书。

安装证书

根证书

  1. 将根证书文件 VpnServerRoot.cer 复制到 Mac。 双击该证书。 证书将自动安装,或者你将看到“添加证书”页面,具体取决于你的操作系统。
  2. 如果看到“添加证书”页面,在“密钥链:”处单击箭头并从下拉列表中选择“登录”。
  3. 单击“添加”以导入文件。

客户端证书

客户端证书可用于身份验证,且是必需的。 通常,只需单击客户端证书即可安装。 有关如何安装客户端证书的信息,请参阅安装客户端证书

验证证书安装

验证是否安装了客户端和根证书。

  1. 打开“密钥链访问”。
  2. 转到“证书”选项卡。
  3. 验证是否安装了客户端和根证书。

配置 VPN 客户端配置文件

  1. 转到“系统首选项”->“网络”。 在“网络”页面上,单击“+”来为到 Azure 虚拟网络的 P2S 连接创建新的 VPN 客户端连接配置文件。

    屏幕截图显示了单击“+”的网络窗口。

  2. 在“选择接口”页上,单击“接口:”旁边的箭头。 在下拉列表中,单击“VPN”。

    该屏幕截图显示“网络”窗口,其中包括用于选择接口的选项并且已选中 VPN。

  3. 对于“VPN 类型”,从下拉列表中选择 IKEv2。 在“服务名称”字段中,为配置文件指定易记名称,然后单击“创建”。

    屏幕截图显示“网络”窗口,其中包括用于选择接口、选择 VPN 类型和输入服务名称的选项。

  4. 转到下载的 VPN 客户端配置文件。 在 Generic 文件夹中,使用文本编辑器打开 VpnSettings.xml 文件。 在此示例中,可以看到隧道类型和服务器地址的相关信息。 即使列出了两种 VPN 类型,此 VPN 客户端也会通过 IKEv2 连接。 复制 VpnServer 标记值。

    屏幕截图显示了打开的 VpnSettings.xml 文件,其中突出显示了 VpnServer 标记。

  5. 将 VpnServer 标记值粘贴到配置文件的“服务器地址”和“远程 ID”字段中 。 将“本地 ID”保留为空。 然后单击“身份验证设置…”。

    屏幕截图显示粘贴到字段的服务器信息。

配置身份验证设置

配置身份验证设置。

  1. 在“身份验证设置”页上,单击“身份验证设置”字段处的箭头以选择“证书”。

    屏幕截图显示了已选择“证书”的“身份验证设置”。

  2. 单击“选择”以打开“选择标识”页面 。

    显示单击“选择”的屏幕截图。

  3. “选择标识”页面会显示可供选择的证书列表。 如果不确定要使用哪个证书,可以选择“显示证书”以查看各个证书的详细信息。 单击适当的证书,然后单击“继续”。

    屏幕截图显示了证书属性。

  4. 在“身份验证设置”页面上,验证是否显示了正确的证书,然后单击“确定” 。

    屏幕截图显示可在其中选择正确证书的“选择标识”对话框。

指定证书

  1. 在“本地 ID”字段中,指定证书的名称。 在此示例中,它是 P2SChildCertMac。

    屏幕截图显示了本地 ID 值。

  2. 单击“应用”以保存所有更改。

连接

  1. 单击“连接”以开始与 Azure 虚拟网络建立 P2S 连接。 可能需要输入“登录”密钥链密码。

    屏幕截图显示了“连接”按钮。

  2. 建立连接后,状态显示为“已连接”,并且你可以查看从 VPN 客户端地址池中拉取的 IP 地址。

    屏幕截图显示“已连接”。

后续步骤

跟进任何其他服务器或连接设置。 请参阅点到站点配置步骤