設定 P2S VPN 用戶端 - 憑證驗證 - 原生 VPN 用戶端 - macOS
如果您的點對站 (P2S) VPN 閘道設定為使用 IKEv2 和憑證驗證,您可以使用屬於 macOS 作業系統的原生 VPN 用戶端連線到您的虛擬網路。 本文將逐步引導您完成設定原生 VPN 用戶端並連線到您的虛擬網路的步驟。
開始之前
開始設定用戶端之前,請先確認您找到的是正確的文章。 下表顯示 Azure VPN 閘道 P2S VPN 用戶端可用的設定文章。 步驟會根據驗證類型、通道類型和用戶端 OS 而有所不同。
| 驗證 | 通道類型 | 用戶端作業系統 | VPN 用戶端 |
|---|---|---|---|
| [MSSQLSERVER 的通訊協定內容] | |||
| IKEv2、SSTP | Windows | 原生 VPN 用戶端 | |
| IKEv2 | macOS | 原生 VPN 用戶端 | |
| IKEv2 | Linux | strongSwan | |
| OpenVPN | Windows | Azure VPN 用戶端 OpenVPN 用戶端 2.x 版 OpenVPN 用戶端 3.x 版 |
|
| OpenVPN | macOS | OpenVPN 用戶端 | |
| OpenVPN | iOS | OpenVPN 用戶端 | |
| OpenVPN | Linux | Azure VPN Client OpenVPN 用戶端 |
|
| Microsoft Entra ID | |||
| OpenVPN | Windows | Azure VPN 用戶端 | |
| OpenVPN | macOS | Azure VPN Client | |
| OpenVPN | Linux | Azure VPN Client |
必要條件
本文假設您已經執行下列的必要條件:
- 您已建立並設定 VPN 閘道,以進行點對站憑證驗證和 OpenVPN 通道類型。 如需相關步驟,請參閱設定 P2S VPN 閘道連線的伺服器設定 - 憑證驗證。
- 您已產生並下載 VPN 用戶端組態檔。 如需步驟,請參閱產生 VPN 用戶端設定檔組態檔案 (部分機器翻譯)。
- 您可以產生用戶端憑證,或取得驗證所需的適當用戶端憑證。
工作流程
本文的工作流程如下所示:
- 如果您尚未產生用戶端憑證,請先產生憑證。
- 檢視您產生的 VPN 用戶端設定檔組態檔案中包含的 VPN 用戶端設定檔組態檔案。
- 安裝憑證。
- 設定已安裝作業系統的原生 VPN 用戶端。
- 連線到 Azure。
產生憑證
針對憑證驗證,用戶端憑證必須安裝在每部用戶端電腦上。 您想使用的用戶端憑證必須使用私密金鑰匯出,而且必須包含認證路徑中的所有憑證。 此外,針對某些設定,您也需要安裝根憑證資訊。
如需使用憑證的相關信息,請參閱 產生和導出憑證。
檢視 VPN 用戶端設定檔的組態檔案
VPN 用戶端的所有必要設定都會包含在 VPN 用戶端設定檔的設定 ZIP 檔案中。 您可以使用 PowerShell 或使用 Azure 入口網站來產生 用戶端設定檔組態檔。 任一方法都會傳回相同的 zip 檔案。
VPN 用戶端設定檔組態檔案是針對虛擬網路的專用 P2S VPN 閘道設定。 如果在產生檔案之後,對 P2S VPN 設定進行任何變更,例如變更 VPN 通訊協定類型或驗證類型,您必須產生新的 VPN 用戶端設定檔的組態檔,並將新設定套用至您要連線的所有 VPN 用戶端。
解壓縮檔案以檢視資料夾。 在設定 macOS 原生用戶端時,您會使用 Generic 資料夾中的檔案。 如果網路閘道上已設定 IKEv2,則會出現 Generic 資料夾。 如果沒看到 Generic 資料夾,請檢查下列項目,然後再次產生 zip 檔案。
- 檢查組態的通道類型。 可能未將 IKEv2 選取為通道類型。
- 確認閘道未使用基本 SKU 進行設定。 VPN 閘道基本 SKU 不支援 IKEv2。 如果您想要讓 macOS 用戶端連線,則必須使用適當的 SKU 和通道類型來重建閘道。
Generic 資料夾包含下列檔案。
- VpnSettings.xml,此檔案包含重要的設定,例如伺服器位址和通道類型。
- VpnServerRoot.cer,此檔案包含所需的根憑證,以供您在 P2S 連線設定期間驗證 Azure VPN 閘道。
安裝憑證
您需要在 Mac 上安裝跟證書和子憑證。 子憑證必須使用私鑰導出,而且必須包含認證路徑中的所有憑證。
根憑證
- 將跟證書檔案 (.cer 檔案) - 複製到您的 Mac。 按兩下憑證。 視您的作業系統而定,可能自動安裝憑證或出現 [新增憑證] 頁面。
- 如果您看到 [新增憑證] 頁面,針對 [鑰匙圈:],請按一下箭號,然後從下拉式清單中選取 [登入]。
- 按一下 [新增],匯入檔案。
用戶端憑證
客戶端憑證 (.pfx 檔案) 用於驗證,而且是必要的。 一般而言,您可以直接按一下用戶端憑證來安裝。 如需有關如何安裝用戶端憑證的詳細資訊,請參閱安裝用戶端憑證。
確認已安裝憑證
確認已安裝用戶端和根憑證兩項。
- 開啟 [金鑰鏈存取]。
- 前往 [憑證] 索引標籤。
- 確認已安裝用戶端和根憑證兩項。
設定 VPN 用戶端設定檔
使用適用於您操作系統版本的 Mac 使用者指南中的步驟,以使用下列設定來新增 VPN 用戶端設定檔組態。
選取 [IKEv2 ] 作為 VPN 類型。
針對 [ 顯示名稱],選取配置檔的易記名稱。
針對 [伺服器位址] 和 [遠端標識符],請使用 VpnSettings.xml 檔案中 VpnServer 標籤的值。
![螢幕擷取畫面顯示按一下 [選取]。](media/point-to-site-vpn-client-cert-mac/vpn-server.png)
針對 [ 驗證 設定],選取 [ 憑證]。
針對 [ 憑證],選擇您要用於驗證的子憑證。 如果您有多個憑證,您可以選取 [ 顯示憑證 ] 以查看每個憑證的詳細資訊。
針對 [ 本機標識符],輸入您選取的子憑證名稱。
![螢幕擷取畫面顯示按一下 [選取]。](media/point-to-site-vpn-client-cert-mac/vpn-server.png#lightbox)
完成 VPN 用戶端設定檔的設定之後,請儲存設定檔。
連線
線上的步驟專屬於macOS作業系統版本。 請參閱 Mac 使用者指南。 選取您使用的作業系統版本,並遵循步驟進行連線。
建立連線之後,狀態會顯示為 [已連線]。 IP 位址是從 VPN 用戶端位址池配置。
下一步
請後續追蹤任何其他伺服器或連線設定。 請參閱點對站設定步驟。