Konfigurace uživatelských klientů VPN P2S – ověřování certifikátů – macOS a iOS
Tento článek vám pomůže připojit se k Azure Virtual WAN z operačního systému macOS nebo iOS přes uživatelskou VPN P2S pro konfigurace, které používají ověřování certifikátů. Pokud se chcete připojit z operačního systému iOS nebo macOS přes tunel OpenVPN, použijte klienta OpenVPN. Pokud se chcete připojit z operačního systému macOS přes tunel IKEv2, použijte klienta VPN, který je nativně nainstalovaný na počítači Mac.
Než začnete
Ujistěte se, že jste dokončili potřebné kroky konfigurace v kurzu Vytvoření připojení VPN uživatele P2S pomocí Azure Virtual WAN.
Generování konfiguračních souborů klienta VPN: Konfigurační soubory klienta VPN, které vygenerujete, jsou specifické pro profil sítě VPN uživatele Virtual WAN, který stáhnete. Virtual WAN má dva různé typy konfiguračních profilů: na úrovni sítě WAN (globální) a na úrovni centra. Pokud po vygenerování souborů dojde k nějakým změnám konfigurace sítě VPN typu P2S nebo změníte na jiný typ profilu, musíte vygenerovat nové konfigurační soubory klienta VPN a použít novou konfiguraci pro všechny klienty VPN, ke kterým se chcete připojit. Viz Generování konfiguračních souborů klienta VPN uživatele.
Získání certifikátů: Následující části vyžadují certifikáty. Ujistěte se, že máte informace o klientském certifikátu i certifikátu kořenového serveru. Další informace najdete v tématu Generování a export certifikátů .
IKEv2 – nativní klient – kroky pro macOS
Po vygenerování a stažení konfiguračního balíčku klienta VPN ho rozbalte a zobrazte si složky. Při konfiguraci nativních klientů macOS použijete soubory ve složce Generic . Pokud je v bráně nakonfigurovaný IKEv2, složka Generic je k dispozici. Všechny informace, které potřebujete ke konfiguraci nativního klienta VPN, najdete ve složce Generic . Pokud složku Generic nevidíte, ujistěte se, že jedním z typů tunelů je IKEv2, a pak znovu stáhněte konfigurační balíček.
Složka Generic obsahuje následující soubory.
- VpnSettings.xml, který obsahuje důležitá nastavení, jako je adresa serveru a typ tunelu.
- VpnServerRoot.cer, který obsahuje kořenový certifikát potřebný k ověření brány Azure VPN během instalace připojení P2S.
Pomocí následujícího postupu nakonfigurujte nativního klienta VPN v systému Mac pro ověřování certifikátů. Tyto kroky je potřeba provést na každém počítači Mac, který chcete připojit k Azure.
Instalace certifikátů
Kořenový certifikát
- Zkopírujte soubor kořenového certifikátu VpnServerRoot.cer do počítače Mac. Poklikejte na certifikát. V závislosti na operačním systému se certifikát buď automaticky nainstaluje, nebo se zobrazí stránka Přidat certifikáty .
- Pokud se zobrazí stránka Přidat certifikáty , klikněte v části Klíčenky na šipky a v rozevíracím seznamu vyberte přihlásit .
- Kliknutím na Přidat soubor naimportujete.
Klientský certifikát
Klientský certifikát se používá k ověřování a je povinný. Obvykle stačí kliknout na klientský certifikát a nainstalovat ho. Další informace o instalaci klientského certifikátu najdete v tématu Instalace klientského certifikátu.
Ověření instalace certifikátu
Ověřte, že je nainstalovaný klientský i kořenový certifikát.
- Otevřete Přístup ke svazku klíčů.
- Přejděte na kartu Certifikáty .
- Ověřte, že je nainstalovaný klientský i kořenový certifikát.
Konfigurace profilu klienta VPN
Přejděte na Předvolby systému –> Síť. Na stránce Síť klikněte na + a vytvořte nový profil připojení klienta VPN pro připojení P2S k virtuální síti Azure.
Na stránce Vybrat rozhraní klikněte na šipky vedle položky Interface:. V rozevíracím seznamu klikněte na VPN.
V části Typ sítě VPN v rozevíracím seznamu klikněte na IKEv2. Do pole Název služby zadejte popisný název profilu a klikněte na Vytvořit.
Přejděte na profil klienta VPN, který jste stáhli. Ve složce Generic otevřete souborVpnSettings.xml pomocí textového editoru. V tomto příkladu vidíte, že se tento profil klienta VPN připojuje k profilu sítě WAN a že typy vpn jsou IKEv2 a OpenVPN. I když jsou uvedené dva typy vpn, tento klient VPN se připojí přes IKEv2. Zkopírujte hodnotu značky VpnServer .
Vložte hodnotu značky VpnServer do polí Adresa serveru i Vzdálené ID profilu. Místní ID nechte prázdné. Potom klikněte na Nastavení ověřování....
Konfigurace nastavení ověřování
Big Sur a novější
Na stránce Nastavení ověřování klikněte v poli Nastavení ověřování na šipky a vyberte Certifikát.
Kliknutím na Vybrat otevřete stránku Zvolit identitu .
Na stránce Zvolit identitu se zobrazí seznam certifikátů, ze které si můžete vybrat. Pokud si nejste jistí, který certifikát použít, můžete vybrat Zobrazit certifikát a zobrazit další informace o jednotlivých certifikátech. Klikněte na správný certifikát a pak klikněte na Pokračovat.
Na stránce Nastavení ověřování ověřte, že je zobrazený správný certifikát, a pak klikněte na OK.
Catalina
Pokud používáte Catalina, použijte tyto kroky nastavení ověřování:
V části Nastavení ověřování zvolte Žádné.
Klikněte na Certifikát, klikněte na Vybrat a klikněte na správný klientský certifikát, který jste nainstalovali dříve. Pak klikněte na OK.
Zadat certifikát
Do pole Místní ID zadejte název certifikátu. V tomto příkladu je to P2SChildCertMac.
Kliknutím na Použít uložte všechny změny.
Připojit
Kliknutím na Připojit spusťte připojení P2S k virtuální síti Azure. Možná budete muset zadat heslo řetězce klíčů "login".
Po navázání připojení se stav zobrazí jako Připojeno a můžete zobrazit IP adresu, která byla natažena z fondu adres klienta VPN.
OpenVPN Client – kroky pro macOS
Následující příklad používá TunnelBlick.
Důležité
Protokol OpenVPN podporuje pouze macOS 10.13 a novější.
Poznámka
Klient OpenVPN verze 2.6 se zatím nepodporuje.
Stáhněte a nainstalujte klienta OpenVPN, například TunnelBlick.
Pokud jste to ještě neudělali, stáhněte si balíček profilu klienta VPN z Azure Portal.
Rozbalte profil. Otevřete konfigurační soubor vpnconfig.ovpn ze složky OpenVPN v textovém editoru.
V části klientského certifikátu P2S vyplňte veřejný klíč klientského certifikátu P2S v kódování Base-64. V certifikátu ve formátu PEM můžete otevřít soubor .cer a zkopírovat klíč base64 mezi hlavičkami certifikátu.
V části privátního klíče vyplňte privátní klíč klientského certifikátu P2S v kódování Base-64. Informace o extrahování privátního klíče najdete v tématu Export privátního klíče na lokalitě OpenVPN.
Neměňte žádná další pole. S použitím vyplněné konfigurace ve vstupu klienta se připojte k síti VPN.
Poklikáním na soubor profilu vytvořte profil v Tunnelblicku.
Spusťte Tunnelblick ze složky applications.
Klikněte na ikonu Tunnelblick na hlavním panelu systému a vyberte připojit.
Klient OpenVPN – kroky pro iOS
Následující příklad používá OpenVPN Connect z App Storu.
Důležité
Protokol OpenVPN podporuje pouze iOS 11.0 a novější.
Poznámka
Klient OpenVPN verze 2.6 se zatím nepodporuje.
Nainstalujte klienta OpenVPN (verze 2.4 nebo novější) z App Storu. Verze 2.6 se zatím nepodporuje.
Pokud jste to ještě neudělali, stáhněte si balíček profilu klienta VPN z Azure Portal.
Rozbalte profil. Otevřete konfigurační soubor vpnconfig.ovpn ze složky OpenVPN v textovém editoru.
V části klientského certifikátu P2S vyplňte veřejný klíč klientského certifikátu P2S v kódování Base-64. V certifikátu ve formátu PEM můžete otevřít soubor .cer a zkopírovat klíč base64 mezi hlavičkami certifikátu.
V části privátního klíče vyplňte privátní klíč klientského certifikátu P2S v kódování Base-64. Informace o extrahování privátního klíče najdete v tématu Export privátního klíče na lokalitě OpenVPN.
Neměňte žádná další pole.
Odešlete e-mail se souborem profilu (.ovpn) na váš e-mailový účet, který je nakonfigurovaný v poštovní aplikaci na vašem iPhonu.
Otevřete e-mail v poštovní aplikaci na iPhonu a klepněte na připojený soubor.
Pokud možnost Kopírovat do OpenVPN nevidíte, klepněte na Další.
Klepněte na Kopírovat do OpenVPN.
Klepněte na PŘIDAT na stránce Importovat profil .
Klepněte na PŘIDAT na stránce Importovaný profil .
Spusťte aplikaci OpenVPN a posuňte přepínač na stránce Profil doprava a připojte se.
Další kroky
Kurz: Vytvoření připojení VPN uživatele P2S pomocí Azure Virtual WAN