إنشاء ملفات تكوين ملف تعريف عميل VPN وتثبيتها لمصادقة الشهادة

  • مقالة
  • قراءة خلال 9 دقائق

عند الاتصال بشبكة Azure ظاهرية باستخدام "نقطة إلى موقع" ومصادقة الشهادة، يمكنك استخدام عميل VPN المثبت في البداية على نظام التشغيل الذي تتصل منه. يتم تضمين كافة إعدادات التكوين الضرورية لعملاء VPN في ملف تكوين عميل VPN مضغوط. تساعدك الإعدادات الموجودة في الملف المضغوط على تكوين عملاء VPN بسهولة لأنظمة Windows أو Mac IKEv2 VPN أو Linux.

تكون ملفات تكوين عميل VPN التي تقوم بإنشائها خاصة بتكوين بوابة VPN من نقطة إلى موقع للشبكة الظاهرية. إذا كانت هناك أية تغييرات على تكوين VPN من نقطة إلى موقع بعد إنشاء الملفات، مثل التغييرات على نوع بروتوكول VPN أو نوع المصادقة، فأنت بحاجة إلى إنشاء ملفات تكوين عميل VPN جديدة وتطبيق التكوين الجديد على جميع عملاء VPN الذين تريد الاتصال بهم.

هام

بدءًا من 1 يوليو 2018، تتم إزالة الدعم لـ TLS 1.0 و1.1 من بوابة Azure VPN. ستدعم بوابة VPN الإصدار TLS 1.2 فقط. تتأثر الاتصالات من نقطة إلى موقع فقط؛ بينما لن تتأثر الاتصالات من موقع إلى آخر. إذا كنت تستخدم بروتوكول أمان طبقة النقل (TLS) لشبكات VPN من نقطة إلى موقع على عملاء Windows 10، فلن تحتاج إلى اتخاذ أي إجراء. إذا كنت تستخدم بروتوكول أمان طبقة النقل (TLS) للاتصالات من نقطة إلى موقع على عملاء Windows 7 وWindows 8، فراجع الأسئلة المتداولة حول بوابة VPN للحصول على إرشادات التحديث.

إنشاء ملفات تكوين عميل VPN

يمكنك إنشاء ملفات تكوين العميل باستخدام PowerShell أو باستخدام مدخل Azure. يرجع كلا الأسلوبين نفس الملف المضغوط. قم بفك ضغط الملف لعرض المجلدات التالية:

  • WindowsAmd64 وWindowsX86، اللذان يحتويان على حزم مثبت 32 بت و64 بت من Windows، على التوالي. حزمة مثبت WindowsAmd64 مخصصة لجميع عملاء Windows 64 بت المعتمدين، وليس فقط Amd.
  • عام، والذي يحتوي على معلومات عامة تستخدم لإنشاء تكوين عميل VPN. يتم توفير المجلد «عام» إذا تم تكوين IKEv2 أو SSTP+IKEv2 على البوابة. إذا تم تكوين SSTP فقط، فلن يكون المجلد "عام" موجوداً.

إنشاء ملفات باستخدام مدخل Azure

  1. من مدخل Azure، انتقل إلى بوابة الشبكة الظاهرية للشبكة الظاهرية التي تريد الاتصال بها.

  2. في صفحة بوابة الشبكة الظاهرية، حدد تكوين نقطة إلى موقع لفتح صفحة تكوين نقطة إلى موقع.

  3. في أعلى صفحة «تكوين نقطة إلى موقع»، حدد تنزيل عميل VPN. لا تؤدي هذه الخطوة إلى تنزيل برنامج عميل VPN، بل تقوم بإنشاء حزمة التكوين المستخدمة لتكوين عملاء VPN. يستغرق إنشاء حزمة تكوين عميل بضع دقائق. خلال هذا الوقت، قد لا ترى أي مؤشرات حتى يتم إنشاء الحزمة.

    Download the VPN client configuration.

  4. بمجرد إنشاء حزمة التكوين، يشير المستعرض إلى توفر ملف مضغوط لتكوين العميل. تتم تسميته بنفس اسم البوابة لديك. قم بفك ضغط الملف لعرض المجلدات التالية.

إنشاء ملفات باستخدام PowerShell

  1. عند إنشاء ملفات تكوين عميل VPN، تكون قيمة "-AuthenticationMethod" هي "EapTls". يمكنك إنشاء ملفات تكوين عميل VPN باستخدام الأمر التالي:

    $profile=New-AzVpnClientConfiguration -ResourceGroupName "TestRG" -Name "VNet1GW" -AuthenticationMethod "EapTls"

$profile.VPNProfileSASUrl

  2. انسخ عنوان URL إلى مستعرض الويب لتنزيل الملف المضغوط، ثم قم بفك ضغط الملف لعرض المجلدات.

Windows

يمكنك استخدام نفس حزمة تكوين عميل VPN على كل كمبيوتر عميل يعمل بنظام Windows، طالما أن الإصدار يطابق بنية العميل. للحصول على قائمة بأنظمة التشغيل المدعومة للعميل، راجع قسم «الاتصال من نقطة إلى موقع» من الأسئلة المتداولة حول بوابة VPN.

ملاحظة

يجب أن يكون لديك حقوق المسؤول على كمبيوتر عميل يعمل بنظام Windows الذي تتصل منه.

تثبيت ملفات التكوين

  1. حدد ملفات تكوين عميل VPN التي تتوافق مع بنية الكمبيوتر الذي يعمل بنظام التشغيل Windows. للحصول على بنية معالج 64 بت، اختر حزمة المثبت 'VpnClientSetupAmd64'. وللحصول على بنية معالج 32 بت، اختر حزمة المثبت 'VpnClientSetupX86'.
  2. انقر نقرًا مزدوجًا فوق الحزمة لتثبيتها. إذا ظهرت لك نافذة SmartScreen منبثقة، فانقر فوق المزيد من المعلومات، ثم التشغيل على أية حال.

التحقق والاتصال

  1. قبل محاولة الاتصال، تحقق من تثبيت شهادة عميل على الكمبيوتر العميل. شهادة العميل مطلوبة للمصادقة عند استخدام نوع مصادقة شهادة Azure الأصلي. لتصدير شهادة العميل، افتح إدارة شهادات المستخدم. يتم تثبيت شهادة العميل في Current User\Personal\Certificates.
  2. للاتصال، انتقل إلى إعدادات الشبكة، وانقر فوق VPN. يظهِر اتصال VPN اسم الشبكة الظاهرية التي يتصل بها.

Mac (macOS)

للاتصال بـ Azure، يجب عليك تكوين عميل IKEv2 VPN الأصلي يدويًا. لا يوفر Azure ملف mobileconfig. يمكنك العثور على كافة المعلومات التي تحتاجها للتكوين في المجلد عام.

إذا كنت لا ترى المجلد «عام» في التنزيل، فمن المحتمل أنه لم يتم تحديد IKEv2 كنوع نفق. لاحظ أن وحدة SKU الأساسية لبوابة VPN لا تدعم IKEv2. على بوابة VPN، تحقق من أن SKU ليست «أساسية». ثم حدد IKEv2، وقم بإنشاء الملف المضغوط مرة أخرى لاسترداد المجلد «عام».

يحتوي المجلد "عام" على الملفات التالية:

  • VpnSettings.xml، والذي يحتوي على إعدادات مهمة، مثل عنوان الخادم ونوع النفق. 
  • VpnServerRoot.cer، الذي يحتوي على شهادة الجذر المطلوبة للتحقق من صحة بوابة Azure VPN أثناء إعداد اتصال من نقطة إلى موقع.

اتبع الخطوات التالية لتكوين عميل VPN الأصلي على Mac لمصادقة الشهادة. يجب إكمال هذه الخطوات على كل جهاز Mac تريد توصيله بـ Azure.

استيراد ملف الشهادة الجذر

  1. انسخ إلى ملف الشهادة الجذر إلى جهاز Mac لديك. انقر نقرًا مزدوجًا فوق الشهادة. سيتم تثبيت الشهادة تلقائياً، أو سترى صفحة إضافة شهادات.

  2. في الصفحة إضافة شهادات، حدد تسجيل الدخول من القائمة المنسدلة.

    Screenshot shows Add Certificates page with login selected.

  3. انقر فوق إضافة لاستيراد الملف.

    Screenshot shows Add Certificates page with Add selected.

التحقق من تثبيت الشهادة

تحقق من تثبيت كل من العميل والشهادة الجذر. يتم استخدام شهادة العميل للمصادقة، وهي مطلوبة. للحصول على معلومات حول كيفية تثبيت شهادة عميل، راجع ⁧⁩تثبيت شهادة عميل⁧⁩.

  1. افتح تطبيق الوصول إلى سلسلة المفاتيح.

  2. انتقل إلى علامة التبويب شهادات.

  3. تحقق من تثبيت كل من العميل والشهادة الجذر.

    Screenshot shows Keychain Access with certificates installed.

إنشاء ملف تعريف عميل VPN

  1. انتقل إلى تفضيلات النظام -> الشبكة. في صفحة «الشبكة»، حدد '+' لإنشاء ملف تعريف اتصال عميل VPN جديد لاتصال من نقطة إلى موقع بشبكة Azure الظاهرية.

  2. بالنسبة إلى الواجهة، من القائمة المنسدلة، حدد VPN.

    Screenshot shows the Network window with the option to select an interface, VPN is selected.

  3. بالنسبة إلى نوع VPN، من القائمة المنسدلة، حدد IKEv2. في الحقل اسم الخدمة، حدد اسماً مألوفاً لملف التعريف.

    Screenshot shows the Network window with the option to select an interface, select VPN type, and enter a service name.

  4. حدد إنشاء لإنشاء ملف تعريف اتصال عميل VPN.

  5. في المجلد عام، افتح ملف VpnSettings.xml باستخدام محرر نصوص، وانسخ قيمة علامة VpnServer.

    Screenshot shows the VpnSettings.xml file open with the VpnServer tag highlighted.

  6. الصق قيمة علامة VpnServer في كل من حقلي عنوان الخادم والمعرف البعيد لملف التعريف.

    Screenshot shows the Network window with the value pasted.

  7. تكوين إعدادات المصادقة. هناك مجموعتان من التعليمات. اختر الإرشادات التي تتوافق مع إصدار نظام التشغيل لديك.

    Catalina:

    • بالنسبة إلى إعدادات المصادقة، حدد بلا.

    • حدد شهادة، وحدد تحديد، ثم اختر شهادة العميل الصحيحة التي قمت بتثبيتها مسبقاً. ثم حدد OK.

      Screenshot shows the Network window with None selected for Authentication Settings and Certificate selected.

    Big Sur:

    • حدد إعدادات المصادقة، ثم حدد شهادة

      Screenshot shows authentication settings with certificate selected.

    • حدد تحديد لفتح صفحة اختيار هوية. تعرض صفحة اختيار هوية قائمة بالشهادات للاختيار من بينها. إذا لم تكن متأكداً من الشهادة التي تريد استخدامها، يمكنك تحديد إظهار الشهادة للاطلاع على مزيد من المعلومات حول كل شهادة.

      Screenshot shows certificate properties..

    • حدد الشهادة المناسبة، ثم حدد متابعة.

      Screenshot shows Choose an Identity, where you can select a certificate.

    • في الصفحة إعدادات المصادقة، تحقق من عرض الشهادة الصحيحة، ثم حدد موافق.

      Screenshot shows the Choose An Identity dialog box where you can select the proper certificate.

  8. لكل من Catalina وBig Sur، في حقل المعرف المحلي، حدد اسم الشهادة. في هذا المثال، هو P2SChildCert.

    Screenshot shows local ID value.

  9. حدد تطبيق لحفظ جميع التغييرات.

  10. حدد اتصال لبدء اتصال من نقطة إلى موقع بشبكة Azure الظاهرية.

    Screenshot shows connect button.

  11. بمجرد إنشاء الاتصال، تظهر الحالة على أنها متصل، ويمكنك عرض عنوان IP الذي تم سحبه من تجمع عناوين عميل VPN.

    Screenshot shows Connected.

Linux (واجهة مستخدم رسومية strongSwan)

تثبيت strongSwan

تم استخدام التكوين التالي للخطوات التالية:

  • الكمبيوتر: Ubuntu Server 18.04
  • التبعيات: strongSwan

استخدم الأوامر التالية لتثبيت تكوين strongSwan المطلوب:

sudo apt install strongswan

sudo apt install strongswan-pki

sudo apt install libstrongswan-extra-plugins

استخدم الأمر التالي لتثبيت واجهة سطر أوامر Azure:

curl -sL https://aka.ms/InstallAzureCLIDeb | sudo bash

إرشادات إضافية حول كيفية تثبيت Azure CLI

إنشاء الشهادات

إذا لم تكن قد أنشأت شهادات بالفعل، فاتبع الخطوات التالية:

إنشاء شهادة المرجع المصدق.

ipsec pki --gen --outform pem > caKey.pem
ipsec pki --self --in caKey.pem --dn "CN=VPN CA" --ca --outform pem > caCert.pem

طباعة شهادة المرجع المصدق بتنسيق base64. هذا هو التنسيق الذي يدعمه Azure. يمكنك تحميل هذه الشهادة إلى Azure كجزء من خطوات تكوين الاتصال من نقطة إلى موقع.

openssl x509 -in caCert.pem -outform der | base64 -w0 ; echo

إنشاء شهادة المستخدم.

export PASSWORD="password"
export USERNAME="client"

ipsec pki --gen --outform pem > "${USERNAME}Key.pem"
ipsec pki --pub --in "${USERNAME}Key.pem" | ipsec pki --issue --cacert caCert.pem --cakey caKey.pem --dn "CN=${USERNAME}" --san "${USERNAME}" --flag clientAuth --outform pem > "${USERNAME}Cert.pem"

إنشاء حزمة p12 تحتوي على شهادة المستخدم. سيتم استخدام هذه الحزمة في الخطوات التالية عند العمل مع ملفات تكوين العميل.

openssl pkcs12 -in "${USERNAME}Cert.pem" -inkey "${USERNAME}Key.pem" -certfile caCert.pem -export -out "${USERNAME}.p12" -password "pass:${PASSWORD}"

تثبيت وتكوين

تم إنشاء الإرشادات التالية على Ubuntu 18.0.4. لا يدعم Ubuntu 16.0.10 واجهة المستخدم الرسومية strongSwan. إذا كنت ترغب في استخدام Ubuntu 16.0.10، فسيتعين عليك استخدام سطر الأوامر. قد لا تتطابق الأمثلة التالية مع الشاشات التي تراها، اعتماداً على إصدار Linux وstrongSwan.

  1. افتح Terminal لتثبيت strongSwan ومدير نسبة استخدام الشبكة الخاص بها عن طريق تشغيل الأمر الوارد في المثال.

    sudo apt install network-manager-strongswan

  2. حدد الإعدادات، ثم حدد الشبكة. حدد الزر + لإنشاء اتصال جديد.

    Screenshot shows the network connections page.

  3. حدد IPsec/IKEv2 (strongSwan) من القائمة، وانقر نقراً مزدوجاً.

    Screenshot shows the Add VPN page.

  4. في الصفحة إضافة VPN، أضف اسماً لاتصال VPN لديك.

    Screenshot shows Choose a connection type.

  5. افتح ملف VpnSettings.xml من المجلد عام الموجود في ملفات تكوين العميل التي تم تنزيلها. ابحث عن العلامة المسماة VpnServer وانسخ الاسم، الذي يبدأ بـ "azuregateway" وينتهي بـ ".cloudapp.net".

    Screenshot shows copy data.

  6. الصق الاسم في حقل العنوان الخاص باتصال VPN الجديد في قسم البوابة. بعد ذلك، حدد أيقونة المجلد في نهاية حقل الشهادة، واستعرض وصولاً إلى المجلد عام، وحدد ملف VpnServerRoot.

  7. في قسم العميل من الاتصال، بالنسبة إلى المصادقة، حدد شهادة/مفتاح خاص. بالنسبة إلى الشهادة والمفتاح الخاص، اختر الشهادة والمفتاح الخاص اللذين تم إنشاؤهما مسبقًا. في خيارات، حدد طلب عنوان IP داخلي. ثم حدد Add.

    Screenshot shows Request an inner IP address.

  8. قم بـ تشغيل الاتصال.

    Screenshot shows copy.

Linux (strongSwan CLI)

تثبيت strongSwan

تم استخدام التكوين التالي للخطوات التالية:

  • الكمبيوتر: Ubuntu Server 18.04
  • التبعيات: strongSwan

استخدم الأوامر التالية لتثبيت تكوين strongSwan المطلوب:

sudo apt install strongswan

sudo apt install strongswan-pki

sudo apt install libstrongswan-extra-plugins

استخدم الأمر التالي لتثبيت واجهة سطر أوامر Azure:

curl -sL https://aka.ms/InstallAzureCLIDeb | sudo bash

إرشادات إضافية حول كيفية تثبيت Azure CLI

إنشاء الشهادات

إذا لم تكن قد أنشأت شهادات بالفعل، فاتبع الخطوات التالية:

إنشاء شهادة المرجع المصدق.

ipsec pki --gen --outform pem > caKey.pem
ipsec pki --self --in caKey.pem --dn "CN=VPN CA" --ca --outform pem > caCert.pem

طباعة شهادة المرجع المصدق بتنسيق base64. هذا هو التنسيق الذي يدعمه Azure. يمكنك تحميل هذه الشهادة إلى Azure كجزء من خطوات تكوين الاتصال من نقطة إلى موقع.

openssl x509 -in caCert.pem -outform der | base64 -w0 ; echo

إنشاء شهادة المستخدم.

export PASSWORD="password"
export USERNAME="client"

ipsec pki --gen --outform pem > "${USERNAME}Key.pem"
ipsec pki --pub --in "${USERNAME}Key.pem" | ipsec pki --issue --cacert caCert.pem --cakey caKey.pem --dn "CN=${USERNAME}" --san "${USERNAME}" --flag clientAuth --outform pem > "${USERNAME}Cert.pem"

إنشاء حزمة p12 تحتوي على شهادة المستخدم. سيتم استخدام هذه الحزمة في الخطوات التالية عند العمل مع ملفات تكوين العميل.

openssl pkcs12 -in "${USERNAME}Cert.pem" -inkey "${USERNAME}Key.pem" -certfile caCert.pem -export -out "${USERNAME}.p12" -password "pass:${PASSWORD}"

تثبيت وتكوين

  1. قم بتنزيل حزمة VPNClient من مدخل Azure.

  2. استخراج الملف.

  3. من المجلد عام، انسخ أو انقل VpnServerRoot.cer إلى /etc/ipsec.d/cacerts.

  4. انسخ أو انقل cp client.p12 إلى /etc/ipsec.d/private/. هذا الملف هو شهادة العميل لبوابة VPN.

  5. افتح ملف VpnSettings.xml، وانسخ القيمة <VpnServer>. ستستخدم هذه القيمة في الخطوة التالية.

  6. اضبط القيم في المثال التالي، ثم أضف المثال إلى تكوين /etc/ipsec.conf.

    conn azure
      keyexchange=ikev2
      type=tunnel
      leftfirewall=yes
      left=%any
      leftauth=eap-tls
      leftid=%client # use the DNS alternative name prefixed with the %
      right= Enter the VPN Server value here# Azure VPN gateway address
      rightid=% # Enter the VPN Server value here# Azure VPN gateway FQDN with %
      rightsubnet=0.0.0.0/0
      leftsourceip=%config
      auto=add

  7. أضف القيم التالية إلى /etc/ipsec.secrets.

    : P12 client.p12 'password' # key filename inside /etc/ipsec.d/private directory

  8. شغّل الأوامر التالية:

    # ipsec restart
# ipsec up azure

الخطوات التالية

ارجع إلى المقالة الأصلية التي كنت تعمل منها، ثم أكمل تكوين الاتصال من نقطة إلى موقع.