مشاركة عبر

تكوين عميل VPN من أجل نقطة إلى موقع: RADIUS - مصادقة الشهادة

  • مقالة

للاتصال بشبكة ظاهرية عبر نقطة إلى موقع «P2S»، تحتاج إلى تكوين الجهاز العميل الذي ستتصل منه. تساعدك هذه المقالة في إنشاء تكوين عميل VPN وتثبيته لمصادقة شهادة RADIUS.

عند استخدام مصادقة RADIUS، هناك تعليمات مصادقة متعددة: مصادقة الشهادة، و مصادقة كلمة المرور، و طرق مصادقة وبروتوكولات أخرى. يختلف تكوين عميل VPN لكل نوع من أنواع المصادقة. لتكوين عميل VPN، يمكنك استخدام ملفات تكوين العميل التي تحتوي على الإعدادات المطلوبة.

ملاحظة

بدءًا من 1 يوليو 2018، تتم إزالة الدعم لـ TLS 1.0 و1.1 من بوابة Azure VPN. ستدعم بوابة VPN TLS 1.2 فقط. تتأثر الاتصالات من نقطة إلى موقع فقط؛ لن تتأثر الاتصالات من موقع إلى موقع. إذا كنت تستخدم TLS لشبكات VPN من نقطة إلى موقع على عملاء Windows 10 أو أحدث، فلن تحتاج إلى اتخاذ أي إجراء. إذا كنت تستخدم بروتوكول أمان طبقة النقل للاتصالات من نقطة إلى موقع على عملاء Windows 7 وWindows 8، فراجع الأسئلة الشائعة بشأن بوابة VPN للحصول على إرشادات التحديث.

سير العمل

سير عمل التكوين لمصادقة P2S RADIUS كما يلي:

  1. ⁩قم بإعداد بوابة Azure VPN للاتصال P2S⁧⁩.

  2. ⁩قم بإعداد خادم RADIUS للمصادقة⁧⁩.

  3. ⁩احصل على تكوين عميل VPN لخيار المصادقة الذي تختاره واستخدمه لإعداد عميل VPN⁧⁩ (هذه المقالة).

  4. ⁩أكمل تكوين P2S الخاص بك والاتصال⁧⁩.

هام

إذا كانت هناك أية تغييرات في تكوين VPN من نقطة إلى موقع بعد إنشاء ملف تعريف تكوين عميل VPN، مثل نوع بروتوكول VPN أو نوع المصادقة، فإنه يجب عليك إنشاء تكوين عميل VPN جديد وتثبيته على أجهزة المستخدمين.

يمكنك إنشاء ملفات تكوين عميل VPN لمصادقة شهادة RADIUS التي تستخدم بروتوكول EAP-TLS. عادة ما يتم استخدام شهادة صادرة عن المؤسسة لمصادقة مستخدم لـ VPN. تأكد من أن جميع المستخدمين المتصلين لديهم شهادة مثبتة على أجهزتهم، وأن خادم RADIUS يمكنه التحقق من صحة الشهادة.

في الأوامر، ⁧-AuthenticationMethod⁩ هو ⁧EapTls⁩. في أثناء مصادقة الشهادة، يقوم العميل بالتحقق من صحة خادم RADIUS عن طريق التحقق من صحة شهادته. ⁧-RadiusRootCert⁩هو ملف .cer الذي يحتوي على الشهادة الجذر المستخدمة للتحقق من صحة خادم RADIUS.

يتطلب كل جهاز عميل VPN شهادة عميل مثبتة. في بعض الأحيان يحتوي جهاز Windows على شهادات عميل متعددة. في أثناء المصادقة، يمكن أن يؤدي ذلك إلى مربع حوار منبثق يسرد كافة الشهادات. يجب على المستخدم بعد ذلك اختيار الشهادة لاستخدامها. يمكن تصفية الشهادة الصحيحة عن طريق تحديد الشهادة الجذر التي يجب أن تتسلسل إليها شهادة العميل.

-ClientRootCert⁩هو الملف .cer الذي يحتوي على الشهادة الجذر. وهو معلمة اختيارية. إذا كان الجهاز الذي تريد الاتصال منه يحتوي على شهادة عميل واحدة فقط، فلن تحتاج إلى تحديد هذه المعلمة.

إنشاء ملفات تكوين عميل VPN

يمكنك إنشاء ملفات تكوين عميل VPN باستخدام مدخل Microsoft Azure، أو باستخدام Azure PowerShell.

مدخل Azure

  1. انتقل إلى بوابة الشبكة الظاهرية.

  2. انقر فوق ⁧⁩تكوين نقطة إلى موقع⁧⁩.

  3. انقر فوق ⁧⁩تنزيل عميل VPN⁧⁩.

  4. حدد العميل واملأ أي معلومات مطلوبة. اعتمادا على التكوين، قد يطلب منك تحميل شهادة جذر Radius إلى المدخل. تصدير الشهادة في X.509 المشفر Base-64 المطلوب (. تنسيق CER) وفتحه باستخدام محرر نصوص، مثل المفكرة. سترى نصا مشابها للمثال التالي. يحتوي القسم المميز باللون الأزرق على المعلومات التي تقوم بنسخها وتحميلها إلى Azure.

    لقطة شاشة تعرض ملف CER مفتوحًا في المفكرة مع تمييز بيانات الشهادة.

    إذا كان ملفك لا يبدو مشابهًا للمثال، فعادةً ما يعني هذا أنك لم تقم بتصديره باستخدام تنسيق Base-64 المشفر X.509 (.CER). بالإضافة إلى ذلك، إذا كنت تستخدم محرر نصوص غير المفكرة، فاعلم أن بعض المحررين يمكنهم تقديم تنسيق غير مقصود في الخلفية. يمكن أن يؤدي ذلك إلى حدوث مشاكل عند تحميل النص من هذه الشهادة إلى Azure.

  5. انقر فوق ⁧⁩تنزيل⁧⁩ لإنشاء ملف .zip.

  6. سيتم تنزيل ملف .zip، عادة إلى مجلد «التنزيلات».

Azure PowerShell

قم بإنشاء ملفات تكوين عميل VPN لاستخدامها مع مصادقة الشهادة. يمكنك إنشاء ملفات تكوين عميل VPN باستخدام الأمر التالي:

New-AzVpnClientConfiguration -ResourceGroupName "TestRG" -Name "VNet1GW" -AuthenticationMethod "EapTls" -RadiusRootCert <full path name of .cer file containing the RADIUS root> -ClientRootCert <full path name of .cer file containing the client root> | fl

يؤدي تشغيل الأمر إلى إرجاع ارتباط. انسخ الرابط والصقه في مستعرض ويب لتنزيل VpnClientConfiguration.zip. قم بفك ضغط الملف لعرض المجلدات التالية:

  • ⁩WindowsAmd64⁧⁩⁧⁩وWindowsX86⁧⁩: تحتوي هذه المجلدات على Windows حزم المثبت 64 بت و32 بت على التوالي.
  • ⁩GenericDevice⁧⁩: يحتوي هذا المجلد على معلومات عامة تستخدم لإنشاء تكوين عميل VPN الخاص بك.

إذا قمت بالفعل بإنشاء ملفات تكوين العميل، فإنه يمكنك استردادها باستخدام cmdlet ⁧Get-AzVpnClientConfiguration⁩. ولكن إذا قمت بإجراء أي تغييرات على تكوين P2S VPN، مثل نوع بروتوكول VPN أو نوع المصادقة، فلن يتم تحديث التكوين تلقائيًا. يجب تشغيل cmdlet ⁧New-AzVpnClientConfiguration⁩ لإنشاء تنزيل تكوين جديد.

لاسترداد ملفات تكوين العميل التي تم إنشاؤها مسبقًا، استخدم الأمر التالي:

Get-AzVpnClientConfiguration -ResourceGroupName "TestRG" -Name "VNet1GW" | fl

عميل VPN الأصلي في نظام Windows

يمكنك استخدام عميل VPN الأصلي إذا قمت بتكوين IKEv2 أو SSTP.

  1. حدد حزمة تكوين وقم بتثبيتها على الجهاز العميل. للحصول على بنية معالج 64 بت، اختر حزمة المثبت «VpnClientSetupAmd64». وللحصول على بنية معالج 32 بت، اختر حزمة المثبت «VpnClientSetupX86». إذا ظهرت لك نافذة SmartScreen منبثقة، فحدد ⁧⁩المزيد من المعلومات،⁧ثم ⁧⁩التشغيل على أية حال⁧. يمكنك أيضًا حفظ الحزمة لتثبيتها على أجهزة الكمبيوتر العميلة الأخرى.

  2. يتطلب كل عميل شهادة عميل للمصادقة. ثبّت شهادة العميل. للحصول على معلومات حول شهادات العميل، راجع ⁧⁩شهادات العميل للإشارة إلى الموقع⁧⁩. لتثبيت شهادة تم إنشاؤها، راجع ⁧⁩تثبيت شهادة على Windows العملاء⁧⁩.

  3. على الكمبيوتر العميل، انتقل إلى ⁧⁩إعدادات الشبكة⁧⁩ وحدد ⁧⁩VPN⁧⁩. يظهِر اتصال VPN اسم الشبكة الظاهرية التي يتصل بها.

عميل VPN أصلي لنظام Mac (macOS)

يجب عليك إنشاء ملف تعريف منفصل لكل جهاز Mac يتصل بشبكة Azure الظاهرية. وذلك لأن هذه الأجهزة تتطلب شهادة المستخدم للمصادقة ليتم تحديدها في ملف التعريف. بالإضافة إلى ذلك، يمكنك استخدام عميل VPN الأصلي لنظام macOS فقط إذا قمت بإدراج نوع نفق IKEv2 في التكوين الخاص بك. يحتوي المجلد ⁧⁩عام⁧⁩ على كافة المعلومات المطلوبة لإنشاء ملف تعريف:

  • ⁩VpnSettings.xml⁧⁩يحتوي على إعدادات مهمة مثل عنوان الخادم ونوع النفق.
  • ⁩VpnServerRoot.cer⁧⁩يحتوي على شهادة الجذر المطلوبة للتحقق من صحة بوابة VPN في أثناء إعداد اتصال P2S.
  • ⁩RadiusServerRoot.cer⁧⁩يحتوي على شهادة الجذر المطلوبة للتحقق من صحة خادم RADIUS في أثناء المصادقة.

اتبع الخطوات التالية لتكوين عميل VPN الأصلي على Mac لمصادقة الشهادة:

  1. استورد شهادات ⁧⁩VpnServerRoot⁧⁩ و⁧⁩RadiusServerRoot⁧⁩ إلى جهاز Mac الخاص بك. انسخ كل ملف إلى الـ Mac الخاص بك، وانقر نقرًا مزدوجًا فوقه، ثم حدد ⁧⁩إضافة⁧⁩.

    لقطة شاشة توضح إضافة شهادة VpnServerRoot.

    لقطة شاشة توضح إضافة شهادة RadiusServerRoot.

  2. يتطلب كل عميل شهادة عميل للمصادقة. ثبّت شهادة العميل على الجهاز العميل.

  3. افتح مربع الحوار ⁧⁩الشبكة⁧⁩ ضمن ⁧⁩تفضيلات الشبكة⁧⁩. حدد ⁧+⁩ لإنشاء ملف تعريف اتصال عميل VPN جديد لاتصال P2S بشبكة Azure الظاهرية.

    قيمة ⁧⁩الواجهة⁧⁩ هي ⁧⁩VPN⁧⁩، وقيمة ⁧⁩نوع VPN⁧⁩ هي ⁧⁩IKEv2⁧⁩. حدد اسمًا لملف التعريف في المربع ⁧⁩اسم الخدمة⁧⁩، ثم حدد ⁧⁩إنشاء⁧⁩ لإنشاء ملف تعريف اتصال عميل VPN.

    تعرض لقطة الشاشة معلومات عن الواجهة واسم الخدمة.

  4. في المجلد ⁧⁩عام⁧⁩، من ملف ⁧⁩VpnSettings.xml⁧⁩، انسخ قيمة علامة ⁧⁩VpnServer⁧⁩. الصق هذه القيمة في المربعين ⁧⁩عنوان الخادم⁧⁩⁧⁩والمعرف البعيد لملف التعريف⁧⁩. اترك مربع ⁧⁩المعرف المحلي⁧⁩ فارغًا.

    لقطة شاشة تعرض معلومات الخادم.

  5. حدد ⁧⁩المصادقة الإعدادات⁧⁩، ثم حدد ⁧⁩شهادة⁧⁩.

    تعرض لقطة الشاشة إعدادات المصادقة.

  6. انقر فوق ⁧⁩تحديد⁧⁩ لاختيار الشهادة التي تريد استخدامها للمصادقة.

    لقطة شاشة توضح اختيار شهادة للمصادقة.

  7. ⁩اختر هوية⁧⁩يعرض قائمة بالشهادات لتختار من بينها. حدد الشهادة المناسبة، ثم حدد ⁧⁩متابعة⁧⁩.

    لقطة الشاشة تظهر اختر قائمة الهوية

  8. في المربع ⁧⁩المعرف المحلي⁧⁩، حدد اسم الشهادة (من الخطوة 6). في هذا المثال، هي ⁧⁩ikev2Client.com⁧⁩. ثم حدد الزر ⁧⁩تطبيق⁧⁩ لحفظ التغييرات.

    لقطة شاشة توضح صندوق معرّف محلي.

  9. في مربع الحوار ⁧⁩الشبكة⁧⁩، حدد ⁧⁩تطبيق⁧⁩ لحفظ كافة التغييرات. ثم حدد ⁧⁩الاتصال⁧⁩ لبدء اتصال P2S بشبكة Azure الظاهرية.

الخطوات التالية

ارجع إلى المقالة ⁧⁩لإكمال تكوين P2S⁧⁩.

للحصول على معلومات استكشاف أخطاء P2S وإصلاحها، راجع ⁧⁩استكشاف أخطاء اتصالات Azure من نقطة إلى موقع وإصلاحها⁧⁩.