設定使用者 VPN 點對站連線用戶端 - 憑證驗證 - macOS 和 iOS
本文可協助您透過使用者 VPN 點對站連線設定從 macOS 或 iOS 作業系統連線至 Azure Virtual WAN,以取得使用「憑證驗證」的設定。 若透過 OpenVPN 通道從 iOS 或 macOS 作業系統連線,請使用 OpenVPN 用戶端。 若要透過 IKEv2 通道從 macOS 作業系統連線,您可以使用原生安裝於 Mac 上的 VPN 用戶端。
開始之前
請確定您已在 教學課程:使用 Azure Virtual WAN 建立 P2S 使用者 VPN 連線 中完成必要的設定步驟。
產生 VPN 用戶端組態檔: 所產生的 VPN 用戶端組態檔為您下載特有的 Virtual WAN 使用者 VPN 設定檔。 Virtual WAN 具備兩種不同類型的組態設定檔:WAN 等級 (全域) 和中樞等級。 若在產生檔案或變更不同設定檔型別之後,進行對點對站連線 VPN 組態的任意變更,則必需產生新的 VPN 用戶端組態檔,並將新設定套用至想要連線的所有 VPN 用戶端。 請參閱 產生使用者 VPN 用戶端組態檔。
取得憑證: 下列各節為憑證之必要項。 請確定您同時擁有用戶端憑證以及根伺服器憑證資訊。 如需瞭解詳細資訊,請參閱產生和匯出憑證以取得詳細資訊。
IKEv2 - 原生用戶端 - macOS 步驟
在產生並下載 VPN 用戶端組態套件之後,請將其解壓縮以檢視該資料夾。 在設定 macOS 原生用戶端時,您會使用 「泛型」 資料夾中的檔案。 如果網路閘道上已設定 IKEv2,則會出現 Generic 資料夾。 您可以在 「泛型」 資料夾中,找到設定原生 VPN 用戶端所需的全部資訊。 若您並未看到「泛型」資料夾,請確定 IKEv2 為其中一種通道類型,然後再次下載組態套件。
Generic 資料夾包含下列檔案。
- VpnSettings.xml,此檔案包含重要的設定,例如伺服器位址和通道類型。
- VpnServerRoot.cer,此檔案包含所需的根憑證,以供您在 P2S 連線設定期間驗證 Azure VPN 閘道。
使用下列步驟,在 Mac 上設定用於憑證驗證的原生 VPN 用戶端。 這些步驟必須在您想要連線至 Azure 的每個 Mac 上完成。
安裝憑證
根憑證
- 將根憑證檔案 (VpnServerRoot.cer) 複製到您的 Mac。 按兩下憑證。 視您的作業系統而定,可能自動安裝憑證或出現 [新增憑證] 頁面。
- 如果您看到 [新增憑證] 頁面,針對 [鑰匙圈:],請按一下箭號,然後從下拉式清單中選取 [登入]。
- 按一下 [新增],匯入檔案。
用戶端憑證
此為必要憑證,驗證時需提供。 一般而言,您可以直接按一下用戶端憑證來安裝。 如需有關如何安裝用戶端憑證的詳細資訊,請參閱安裝用戶端憑證。
確認憑證的安裝
確認已安裝用戶端和根憑證兩項。
- 開啟 [金鑰鏈存取]。
- 前往 [憑證] 索引標籤。
- 確認已安裝用戶端和根憑證兩項。
設定 VPN 用戶端設定檔
前往 [系統偏好設定] -> [網路]。 在 [網路] 頁面上,按一下 '+',為 Azure 虛擬網路的 P2S 連線建立新的 VPN 用戶端連線設定檔。
在 [選取介面] 頁面上,按一下 [介面:] 旁的箭號。 從下拉式清單中,按一下 [VPN]。
針對 [VPN 類型],從下拉式清單中,按一下 [IKEv2]。 在 [服務名稱] 欄位中,為設定檔指定好記的名稱,然後按一下 [建立]。
前往您下載的 VPN 用戶端設定檔。 在 「泛型」 資料夾中,使用文字編輯器來開啟 VpnSettings.xml 檔案。 在此範例中,您可以看到此 VPN 用戶端設定檔會連線至 WAN 等級的使用者 VPN 設定檔,而且 VpnTypes 就是 IKEv2 和 OpenVPN。 即使列出兩種 VPN 類型,此 VPN 用戶端仍會透過 IKEv2 來進行連線。 複製 VpnServer 標記值。
在設定檔的 [伺服器位址] 和 [遠端身分識別] 欄位兩處貼上 VpnServer 標籤值。 將 [本機識別碼] 保留空白。 然後按一下 [認證設定…]。
設定驗證設定
Big Sur 和更新版本
在 [認證設定] 頁面上,針對 [認證設定] 欄位,按一下箭號以選取 [憑證]。
按一下 [選取],開啟 [選擇身分識別] 頁面。
[選擇身分識別] 頁面會顯示一份憑證清單供您選擇。 如果您不確定要使用哪一個憑證,您可以選取 [顯示憑證],查看每個憑證的詳細資訊。 按一下適當的憑證,然後按一下 [繼續]。
在 [驗證設定] 頁面上,確認已顯示正確的憑證,然後按一下[確定]。
Catalina
如果您使用 Catalina,請執行下列驗證設定步驟:
針對 [認證設定],選擇 [無]。
按一下 [憑證],再按一下 [選取],然後按一下先前安裝的正確用戶端憑證。 然後按一下 [確定]。
指定憑證
連線
按一下 [連線] 以啟動 Azure 虛擬網路的 P2S 連線。 可能需要輸入您的「登入」金鑰鏈密碼。
一旦建立連線之後,狀態會顯示為 [已連線],您可以查看從 VPN 用戶端位址集區提取的 IP 位址。
OpenVPN 用戶端 - macOS 步驟
下列範例使用 TunnelBlick。
重要
OpenVPN 通訊協定僅支援macOS 10.13和更新版本。
注意
尚不支援 OpenVPN 用戶端 2.6 版。
下載並安裝 OpenVPN 用戶端,例如 TunnelBlick。
從 Azure 入口網站下載 VPN 用戶端設定檔套件 (如果尚未這麼做)。
將設定檔解壓縮。 在文字編輯器中,從 OpenVPN 資料夾開啟 vpnconfig.ovpn 設定檔。
以 Base64 的 P2S 用戶端憑證公開金鑰填入 P2S 用戶端憑證區段。 在 PEM 格式的憑證中,您可以開啟 .cer 檔案並在憑證標題之間複製 Base64 金鑰。
以 Base64 的 P2S 用戶端憑證私密金鑰填入私密金鑰區段。 如需如何擷取私密金鑰的相關資訊,請參閱 OpenVPN 網站上的匯出私密金鑰。
請勿變更任何其他欄位。 使用用戶端輸入中填入的設定來連線至 VPN。
按兩下設定檔,在 Tunnelblick 中建立設定檔。
從應用程式資料夾啟動 Tunnelblick。
按一下系統匣中的 Tunnelblick 圖示並挑選連線。
OpenVPN 用戶端 - iOS 步驟
下列範例使用 App Store 中的 OpenVPN Connect。
重要
只有 iOS 11.0 和更新版本支援 OpenVPN 通訊協定。
注意
尚不支援 OpenVPN 用戶端 2.6 版。
從 App Store 安裝 OpenVPN 用戶端 (2.4 版或更新版本)。 尚不支援 2.6 版。
從 Azure 入口網站下載 VPN 用戶端設定檔套件 (如果尚未這麼做)。
將設定檔解壓縮。 在文字編輯器中,從 OpenVPN 資料夾開啟 vpnconfig.ovpn 設定檔。
以 Base64 的 P2S 用戶端憑證公開金鑰填入 P2S 用戶端憑證區段。 在 PEM 格式的憑證中,您可以開啟 .cer 檔案並在憑證標題之間複製 Base64 金鑰。
以 Base64 的 P2S 用戶端憑證私密金鑰填入私密金鑰區段。 如需如何擷取私密金鑰的相關資訊,請參閱 OpenVPN 網站上的匯出私密金鑰。
請勿變更任何其他欄位。
透過電子郵件將設定檔 (.ovpn) 寄送到您在 iPhone 上郵件應用程式中所設定的電子郵件帳戶。
在 iPhone 上的郵件應用程式中開啟該封電子郵件,然後點選附加的檔案。
如果您看不到 [複製到 OpenVPN] 選項,請點選 [其他]。
點選 [複製到 OpenVPN]。
在 [匯入設定檔] 頁面中,點選 [新增]
在 [匯入的設定檔] 頁面中,點選 [新增]
啟動 OpenVPN 應用程式,並在 [設定檔] 頁面中將開關向右滑動以進行連線