你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
配置 P2S VPN 客户端:证书身份验证 - OpenVPN 客户端 - macOS
本文可帮助你在 macOS 中使用 OpenVPN 客户端通过 VPN 网关点到站点 (P2S) 和证书身份验证连接到 Azure 虚拟网络 (VNet)。
开始之前
在开始配置客户端之前,请验证你是否参阅的是正确的文章。 下表显示了 Azure VPN 网关 P2S VPN 客户端可用的配置文章。 步骤因身份验证类型、隧道类型和客户端 OS 而有所不同。
| 身份验证 | 隧道类型 | 客户端 OS | VPN 客户端 |
|---|---|---|---|
| 证书 | |||
| IKEv2、SSTP | Windows | 本机 VPN 客户端 | |
| IKEv2 | macOS | 本机 VPN 客户端 | |
| IKEv2 | Linux | strongSwan | |
| OpenVPN | Windows | Azure VPN 客户端 OpenVPN 客户端 |
|
| OpenVPN | macOS | OpenVPN 客户端 | |
| OpenVPN | iOS | OpenVPN 客户端 | |
| OpenVPN | Linux | Azure VPN 客户端 OpenVPN 客户端 |
|
| Microsoft Entra ID | |||
| OpenVPN | Windows | Azure VPN 客户端 | |
| OpenVPN | macOS | Azure VPN 客户端 | |
| OpenVPN | Linux | Azure VPN 客户端 |
先决条件
本文假定你已执行以下先决条件:
- 你已创建并配置 VPN 网关,可用于点到站点证书身份验证和 OpenVPN 隧道类型。 请参阅为 P2S VPN 网关连接配置服务器设置 - 证书身份验证以获取步骤。
- 你已生成并下载了 VPN 客户端配置文件。 有关步骤,请参阅生成 VPN 客户端配置文件。
- 你可以生成客户端证书,也可以获取进行身份验证所需的相应客户端证书。
连接要求
若要使用 OpenVPN 客户端通过证书身份验证连接到 Azure,每个连接客户端都需要以下项:
- 必须在每台客户端上安装和配置 OpenVPN 客户端软件。
- 客户端必须具有本地安装的客户端证书。
Workflow
本文的工作流如下:
- 安装 OpenVPN 客户端。
- 查看生成的 VPN 客户端配置文件包中包含的 VPN 客户端配置文件。
- 配置 OpenVPN 客户端。
- 连接到 Azure。
生成客户端证书
对于证书身份验证,必须在每台客户端计算机上安装客户端证书。 要使用的客户端证书必须使用私钥导出,并且必须包含证书路径中的所有证书。
有关使用证书的信息,请参阅点到站点:生成证书 - Linux。
配置 OpenVPN 客户端
以下示例使用 TunnelBlick。
重要
只有 MacOS 10.13 及更高版本支持 OpenVPN 协议。
注意
尚不支持 OpenVPN 客户端版本 2.6。
下载并安装 OpenVPN 客户端,如 TunnelBlick。
如果尚未这样做,请从 Azure 门户下载 VPN 客户端配置文件包。
解压缩该配置文件。 在某个文本编辑器中打开 OpenVPN 文件夹中的 vpnconfig.ovpn 配置文件。
使用 base64 中的 P2S 客户端证书公钥填写 P2S 客户端证书部分。 在 PEM 格式的证书中,可以打开 .cer 文件并在证书标头之间复制 base64 密钥。
使用 base64 中的 P2S 客户端证书私钥填写私钥部分。 有关如何提取私钥的信息,请参阅 OpenVPN 网站上的导出私钥。
请勿更改任何其他字段。 使用客户端输入中的已填充的配置连接到 VPN。
双击配置文件以在 Tunnelblick 中创建配置文件。
启动应用程序文件夹中的 Tunnelblick。
单击系统托盘中的 Tunnelblick 图标,然后单击“连接”。
后续步骤
继续进行任何其他服务器或连接设置。 请参阅点到站点配置步骤。