Pracovní postup konfigurace klienta VPN typu point-to-site: Ověřování certifikátů – Windows

  • Článek

Tento článek vás provede pracovním postupem a postupem konfigurace klientů VPN pro připojení virtuální sítě typu point-to-site (P2S), která používají ověřování certifikátů. Tento postup pokračuje v předchozích článcích, kde jsou nakonfigurovaná nastavení serveru point-to-site služby VPN Gateway. V tomto článku vygenerujete konfigurační soubory klienta a nainstalujete potřebné klientské certifikáty používané k ověřování.

Než začnete

Tento článek předpokládá, že jste už vytvořili a nakonfigurovali bránu VPN pro ověřování certifikátů P2S. Postup najdete v tématu Konfigurace nastavení serveru pro připojení brány VPN Gateway typu P2S – ověřování certifikátů.

Před zahájením pracovního postupu ověřte, že jste ve správném článku. Následující tabulka uvádí články o konfiguraci, které jsou k dispozici pro klienty VPN typu P2S služby Azure VPN Gateway. Postup se liší v závislosti na typu ověřování, typu tunelu a klientském operačním systému.

Ověřování Typ tunelového propojení Generování konfiguračních souborů Konfigurace klienta VPN
Certifikát Azure IKEv2, SSTP Windows Nativní klient VPN
Certifikát Azure OpenVPN Windows - Klient OpenVPN
- Klient Azure VPN
Certifikát Azure IKEv2, OpenVPN macOS-iOS macOS-iOS
Certifikát Azure IKEv2, OpenVPN Linux Linux
Microsoft Entra ID OpenVPN (SSL) Windows Windows
Microsoft Entra ID OpenVPN (SSL) macOS macOS
RADIUS – certifikát - Článek Článek
RADIUS – heslo - Článek Článek
RADIUS – jiné metody - Článek Článek

Workflow

V tomto článku začneme generováním konfiguračních souborů klienta VPN a klientských certifikátů:

  1. Vygenerujte soubory pro konfiguraci klienta VPN.

  2. Vygenerujte certifikáty pro klienta VPN.

  3. Nakonfigurujte klienta VPN. Kroky, které použijete ke konfiguraci klienta VPN, závisí na typu tunelu pro bránu VPN typu P2S a na klientovi VPN na klientském počítači. Odkazy jsou k dispozici v článcích konfigurace pro konkrétní tunel a odpovídajícího klienta.

    • IKEv2 a SSTP – nativní klient VPN – Pokud je vaše brána VPN P2S nakonfigurovaná tak, aby používala ověřování pomocí protokolu IKEv2/SSTP a certifikátu, připojíte se k virtuální síti pomocí nativního klienta VPN, který je součástí operačního systému Windows. Tato konfigurace nevyžaduje další klientský software. Postup najdete v tématu IKEv2 a SSTP – nativní klient VPN.
    • OpenVPN – Klient Azure VPN a klient OpenVPN – Pokud je brána VPN typu P2S nakonfigurovaná tak, aby používala tunel OpenVPN a ověřování certifikátů, máte možnost se připojit pomocí Klient Azure VPN nebo klienta OpenVPN.

1. Generování konfiguračních souborů klienta VPN

Všechna potřebná nastavení konfigurace pro klienty VPN jsou obsažena v konfiguračním souboru ZIP profilu klienta VPN. Konfigurační soubory profilu klienta můžete vygenerovat pomocí PowerShellu nebo pomocí webu Azure Portal. Obě metody vrátí stejný soubor ZIP.

Konfigurační soubory profilu klienta VPN, které vygenerujete, jsou specifické pro konfiguraci brány VPN typu P2S pro virtuální síť. Pokud se po vygenerování souborů, například změn typu protokolu VPN nebo typu ověřování, změníte konfiguraci P2S VPN, musíte vygenerovat nové konfigurační soubory profilu klienta VPN a použít novou konfiguraci pro všechny klienty VPN, které chcete připojit. Další informace o připojeních P2S najdete v tématu Informace o síti VPN typu point-to-site.

PowerShell

Při generování konfiguračních souborů klienta VPN je hodnota -AuthenticationMethod 'EapTls'. Pomocí následujícího příkazu vygenerujte konfigurační soubory klienta VPN:

$profile=New-AzVpnClientConfiguration -ResourceGroupName "TestRG" -Name "VNet1GW" -AuthenticationMethod "EapTls"

$profile.VPNProfileSASUrl

Zkopírujte adresu URL do prohlížeče a stáhněte si soubor ZIP.

portál Azure

  1. Na webu Azure Portal přejděte do brány virtuální sítě pro virtuální síť, ke které se chcete připojit.

  2. Na stránce brány virtuální sítě vyberte konfiguraci typu Point-to-Site a otevřete stránku konfigurace typu Point-to-Site.

  3. V horní části stránky konfigurace point-to-site vyberte Stáhnout klienta VPN. Tím se nestahuje klientský software VPN, vygeneruje konfigurační balíček použitý ke konfiguraci klientů VPN. Generování konfiguračního balíčku klienta trvá několik minut. Během této doby se nemusí zobrazovat žádné indikace, dokud se paket nevygeneruje.

    Snímek obrazovky se stránkou konfigurace point-to-site

  4. Po vygenerování konfiguračního balíčku prohlížeč indikuje, že je k dispozici konfigurační soubor ZIP klienta. Jmenuje se stejný název jako brána.

  5. Rozbalte soubor a zobrazte složky. K konfiguraci klienta VPN použijete některé nebo všechny tyto soubory. Vygenerované soubory odpovídají nastavení typu ověřování a tunelu, které jste nakonfigurovali na serveru P2S.

2. Generování klientských certifikátů

Pro ověřování certifikátů musí být klientský certifikát nainstalovaný na každém klientském počítači. Klientský certifikát, který chcete použít, musí být exportován s privátním klíčem a musí obsahovat všechny certifikáty v cestě k certifikaci. V některých konfiguracích budete také muset nainstalovat informace o kořenovém certifikátu.

V mnoha případech můžete klientský certifikát nainstalovat přímo do klientského počítače poklikáním. Pro určité konfigurace klienta OpenVPN však možná budete muset extrahovat informace z klientského certifikátu, aby bylo možné konfiguraci dokončit.

  • Informace o práci s certifikáty naleznete v tématu Point-to-Site: Generování certifikátů.
  • Pokud chcete zobrazit nainstalovaný klientský certifikát, otevřete Spravovat uživatelské certifikáty. Klientský certifikát je nainstalován v části Aktuální uživatel\Osobní\Certifikáty.

3. Konfigurace klienta VPN

Dále nakonfigurujte klienta VPN. Vyberte z následujících pokynů:

Tunelu Klient VPN
IKEv2 a SSTP Kroky nativního klienta VPN
OpenVPN Klient Azure VPN kroky
OpenVPN Kroky klienta OpenVPN

Další kroky

Další kroky najdete v článku O P2S, ze kterého jste pracovali.

  • Kroky konfigurace PowerShellu
  • Kroky konfigurace webu Azure Portal