Configurer des clients VPN point à site - authentification par certificat - macOS et iOS

  • Article

Cet article vous aide à vous connecter à votre réseau virtuel Azure à l’aide d’une passerelle VPN point à site (P2S) et de l’authentification par certificat. Il existe plusieurs ensembles d’étapes dans cet article, selon le type de tunnel que vous avez sélectionné pour votre configuration P2S, le système d’exploitation et le client VPN utilisé pour la connexion.

Notez les points suivants lorsque vous travaillez avec l’authentification par certificat :

  • Pour le type de tunnel IKEv2, vous pouvez vous connecter à l’aide du client VPN installé en mode natif sur le système macOS.

  • Pour le type de tunnel OpenVPN, vous pouvez utiliser un client OpenVPN.

  • Le Azure VPN Client n’est pas disponible pour macOS et iOS lors de l’utilisation de l’authentification par certificat, même si vous avez sélectionné le type de tunnel OpenVPN pour votre configuration P2S.

Avant de commencer

Avant de commencer, vérifiez que vous êtes sur le bon article. Le tableau suivant présente les articles de configuration disponibles pour les clients VPN P2S de la passerelle Azure VPN. Les étapes diffèrent selon le type d’authentification, le type de tunnel et le système d’exploitation client.

Authentification Type de tunnel Générer des fichiers config Configurer le client VPN
Certificat Azure IKEv2, SSTP Windows Client VPN natif
Certificat Azure OpenVPN Windows - Client OpenVPN
- Client VPN Azure
Certificat Azure IKEv2, OpenVPN macOS-iOS macOS-iOS
Certificat Azure IKEv2, OpenVPN Linux Linux
Microsoft Entra ID OpenVPN (SSL) Windows Windows
Microsoft Entra ID OpenVPN (SSL) macOS macOS
RADIUS - certificat - Article Article
RADIUS - mot de passe - Article Article
RADIUS - autres méthodes - Article Article

Important

À compter du 1er juillet 2018, la passerelle VPN Azure ne prendra plus en charge TLS 1.0 et 1.1. Elle prendra uniquement en charge TLS 1.2. Seules les connexions de point à site sont affectées ; les connexions site à site ne le sont pas. Si vous utilisez le protocole TLS pour les VPN de point à site sur des clients Windows 10 ou version ultérieure, aucune action n’est nécessaire. Si vous utilisez le protocole TLS pour les connexions de point à site sur des clients Windows 7 et Windows 8, consultez Questions fréquentes (FAQ) sur la passerelle VPN pour obtenir des instructions de mise à jour.

Générer des certificats

Pour l’authentification par certificat, un certificat client doit être installé sur chaque ordinateur client. Le certificat client que vous souhaitez utiliser doit être exporté avec la clé privée et contenir tous les certificats dans le chemin de certification. En outre, pour certaines configurations, vous devez également installer les informations de certificat racine.

Pour plus d’informations sur l’utilisation des certificats, consultez Site de point à point : générer des certificats - Linux.

Générer les fichiers de configuration du client VPN

Tous les paramètres de configuration nécessaires aux clients VPN sont contenus dans un fichier config zip de client VPN. Vous pouvez générer des fichiers de configuration de profil de client en utilisant PowerShell ou le portail Azure. L’une ou l’autre des méthodes retourne le même fichier zip.

Les fichiers config du profil client VPN que vous générez sont spécifiques à la configuration de la passerelle VPN P2S pour le réseau virtuel. Si des modifications ont été apportées à la configuration du VPN P2S après avoir généré les fichiers (modifications apportées au type de protocole VPN ou au type d’authentification, par exemple), vous devez générer les nouveaux fichiers de configuration du profil du client VPN et appliquer la nouvelle configuration à tous les clients VPN que vous souhaitez connecter. Pour plus d’informations sur les connexions P2S, consultez l’article À propos des VPN point à site.

Pour générer des fichiers à l’aide du Portail Azure :

  1. Dans le portail Azure, accédez à la passerelle du réseau virtuel auquel vous souhaitez vous connecter.

  2. Dans la page correspondant à la passerelle de réseau virtuel, sélectionnez Configuration de point à site pour ouvrir la page Configuration de point à site.

  3. En haut de la page Configuration de point à site, sélectionnez Télécharger le client VPN. Cela ne permet pas de télécharger le logiciel du client VPN mais de générer le package de configuration utilisé pour configurer les clients VPN. La génération du package de configuration du client prend quelques minutes. Pendant ce temps, vous ne verrez peut-être aucune indication jusqu’à ce que le paquet soit généré.

    Capture d’écran de la page de configuration de point à site.

  4. Une fois le package de configuration généré, votre navigateur indique qu’un fichier zip de configuration client est disponible. Il porte le même nom que votre passerelle.

  5. Décompressez le fichier pour afficher les dossiers. Vous allez utiliser tout ou partie de ces fichiers pour configurer votre client VPN. Les fichiers générés correspondent aux paramètres d’authentification et de type de tunnel que vous avez configurés sur le serveur P2S.

Ensuite, configurez le client VPN. Choisissez parmi les instructions suivantes :

IKEv2 : client VPN natif - étapes macOS

Les sections suivantes vous aident à configurer le client VPN natif déjà installé dans le cadre de macOS. Ce type de connexion fonctionne uniquement sur IKEv2.

Afficher les fichiers

Décompressez le fichier pour afficher les dossiers. Quand vous configurez des clients natifs macOS, vous utilisez les fichiers du dossier Générique. Ce dossier est présent si le protocole IKEv2 a été configuré sur la passerelle. Vous trouverez toutes les informations dont vous avez besoin pour configurer le client VPN natif dans le dossier Générique. Si vous ne voyez pas le dossier Générique, vérifiez les éléments suivants, puis générez à nouveau le fichier zip.

  • Vérifiez le type de tunnel adapté à votre configuration. Il est probable qu’IKEv2 ne soit pas sélectionné en tant que type de tunnel.
  • Sur la passerelle VPN, vérifiez que la référence SKU n’est pas De base. La référence SKU de base de passerelle VPN ne prend pas en charge IKEv2. Ensuite, sélectionnez IKEv2 et générez à nouveau le fichier zip pour récupérer le dossier Générique.

Le dossier Générique contient les fichiers suivants.

  • Le fichier VpnSettings.xml, qui contient d’importants paramètres tels que l’adresse et le type de tunnel du serveur.
  • Le fichier VpnServerRoot.cer, qui contient le certificat racine requis pour valider la passerelle VPN Azure lors de la configuration de la connexion P2S.

Suivez les étapes ci-dessous afin de configurer le client VPN Mac natif pour une authentification par certificat. Ces étapes doivent être effectuées sur chaque Mac que vous souhaitez connecter à Azure.

Installer des certificats

Certificat racine

  1. Copiez le fichier du certificat racine (VpnServerRoot.cer) sur votre Mac. Double-cliquez sur le certificat. Selon votre système d’exploitation, le certificat s’installe automatiquement ou la page Ajouter des certificats apparaît.
  2. Si la page Ajouter des certificats apparaît, pour Trousseau :, cliquez sur les flèches et sélectionnez login dans la liste déroulante.
  3. Cliquez sur Ajouter pour importer le fichier.

Certificat client

Le certificat client est utilisé pour l’authentification et est obligatoire. En règle générale, vous pouvez simplement cliquer sur le certificat client à installer. Pour plus d’informations sur l’installation d’un certificat client, consultez l’article Installer un certificat client.

Vérifier l’installation du certificat

Vérifiez que le client et le certificat racine sont installés.

  1. Ouvrez Trousseaux d’accès.
  2. Accédez à l’onglet Certificats.
  3. Vérifiez que le client et le certificat racine sont installés.

Configurer le profil du client VPN

  1. Accédez à Préférences système -> Réseau. Dans la page Réseau, cliquez sur « + » pour créer un profil de connexion de client VPN pour une connexion P2S au réseau virtuel Azure.

    Capture d’écran montrant la fenêtre Réseau et le bouton + sur lequel cliquer.

  2. Dans la page Sélectionner l’interface, cliquez sur les flèches en regard de Interface :. Dans la liste déroulante, cliquez sur VPN.

    La capture d’écran affiche la fenêtre Réseau avec l’option permettant de sélectionner une interface, VPN est sélectionné.

  3. Pour Type VPN, dans la liste déroulante, cliquez sur IKEv2. Dans le champ Nom du service, spécifiez un nom convivial pour le profil, puis cliquez sur Créer.

    Capture d’écran montrant la fenêtre Réseau avec l’option permettant de sélectionner une interface, de sélectionner le type de VPN et d’entrer un nom de service.

  4. Accédez au profil de client VPN que vous avez téléchargé. Dans le dossier Générique, ouvrez le fichier VpnSettings.xml à l’aide d’un éditeur de texte. Dans l’exemple, vous pouvez voir des informations sur le type de tunnel et l’adresse du serveur. Même si deux types de VPN sont listés, ce client VPN se connecte via IKEv2. Copiez la valeur de la balise VpnServer.

    Capture d’écran affichant le fichier VpnSettings.xml ouvert avec la balise VpnServer mise en surbrillance.

  5. Collez la valeur de balise VpnServer dans les champs Adresse du serveur et ID distant du profil. Laissez ID local vide. Cliquez ensuite sur Paramètres d’authentification....

    capture d’écran montrant les informations du serveur collées dans les champs.

Configurer les paramètres d’authentification

Configurez les paramètres d’authentification. Il existe deux ensembles d’instructions : Choisissez les instructions qui correspondent à la version de votre système d’exploitation.

Big Sur et versions ultérieures

  1. Dans la page Paramètres d’authentification, pour le champ Paramètres d’authentification, cliquez sur les flèches afin de sélectionner Certificat.

    Capture d’écran montrant des paramètres d’authentification avec le certificat sélectionné.

  2. Cliquez sur Sélectionner pour ouvrir la page Choisir une identité.

    Capture d’écran illustrant le clic sur Sélectionner.

  3. La page Choisir une identité affiche une liste de certificats à choisir. Si vous n’êtes pas sûr du certificat à utiliser, vous pouvez sélectionner Afficher le certificat pour afficher plus d’informations sur chaque certificat. Cliquez sur le certificat approprié, puis cliquez sur Continuer.

    Capture d’écran montrant les propriétés du certificat.

  4. Sur la page Paramètres d’authentification, vérifiez que le certificat approprié est affiché, puis cliquez sur OK.

    Capture d’écran montrant la boîte de dialogue Choisir une identité dans laquelle vous pouvez sélectionner le certificat approprié.

Catalina

Si vous utilisez Catalina, utilisez les étapes de paramètres d’authentification suivantes :

  1. Pour Paramètres d’authentification, choisissez Aucun.

  2. Cliquez sur Certificat, cliquez sur Sélectionner et cliquez sur le certificat client correct que vous avez installé précédemment. Cliquez ensuite sur OK.

Indiquer un certificat

  1. Dans le champ ID local, spécifiez le nom du certificat. Dans cet exemple, il s’agit de P2SChildCertMac.

    Capture d’écran affichant la valeur de l’ID local.

  2. Cliquez sur Appliquer pour enregistrer toutes les modifications.

Se connecter

  1. Cliquez sur Connecter pour lancer la connexion P2S de point à site au réseau virtuel Azure. Vous devrez peut-être entrer le mot de passe associé au trousseau « login ».

    Capture d’écran montrant le bouton de connexion.

  2. Une fois la connexion établie, l’état indique Connecté et vous pouvez afficher l’adresse IP qui a été extraite du pool d’adresses des clients VPN.

    La capture d’écran montre la connexion.

OpenVPN - procédure sur macOS

L’exemple suivant utilise TunnelBlick.

Important

Seul macOS 10.13 et versions ultérieures sont pris en charge avec le protocole OpenVPN.

Notes

Le client OpenVPN version 2.6 n’est pas encore pris en charge.

  1. Télécharger et installer un client OpenVPN, comme TunnelBlick.

  2. Si vous ne l’avez pas déjà fait, téléchargez le package de profil client VPN à partir du Portail Azure.

  3. Décompressez le profil. Ouvrez le fichier de configuration vpnconfig.ovpn à partir du dossier OpenVPN dans un éditeur de texte.

  4. Renseignez la section du certificat client P2S avec la clé publique du certificat client P2S en base64. Dans un certificat au format PEM, vous pouvez ouvrir le fichier .cer et copier la clé base64 entre les en-têtes de certificat.

  5. Renseignez la section de la clé privée avec la clé privée du certificat client P2S en base64. Pour plus d’informations sur la façon d’extraire une clé privée, consultez Exporter votre clé privée sur le site OpenVPN.

  6. Ne modifiez aucun autre champ. Utilisez la configuration complétée dans l’entrée client pour vous connecter au VPN.

  7. Double-cliquez sur le fichier de profil pour créer le profil dans Tunnelblick.

  8. Lancez Tunnelblick à partir du dossier d’applications.

  9. Cliquez sur l’icône Tunnelblick dans la zone de notification et choisissez l’option de connexion.

OpenVPN - procédure sur iOS

L’exemple suivant utilise OpenVPN Connect à partir de l’App Store.

Important

Seul iOS 11.0 et versions ultérieures sont pris en charge avec le protocole OpenVPN.

Notes

Le client OpenVPN version 2.6 n’est pas encore pris en charge.

  1. Installez le client OpenVPN (version 2.4 ou ultérieure) à partir de l’App Store. La version 2.6 n’est pas encore prise en charge.

  2. Si vous ne l’avez pas déjà fait, téléchargez le package de profil client VPN à partir du Portail Azure.

  3. Décompressez le profil. Ouvrez le fichier de configuration vpnconfig.ovpn à partir du dossier OpenVPN dans un éditeur de texte.

  4. Renseignez la section du certificat client P2S avec la clé publique du certificat client P2S en base64. Dans un certificat au format PEM, vous pouvez ouvrir le fichier .cer et copier la clé base64 entre les en-têtes de certificat.

  5. Renseignez la section de la clé privée avec la clé privée du certificat client P2S en base64. Pour plus d’informations sur la façon d’extraire une clé privée, consultez Exporter votre clé privée sur le site OpenVPN.

  6. Ne modifiez aucun autre champ.

  7. Envoyez par e-mail le fichier de profil (.ovpn) à votre compte de messagerie configuré dans l’application de messagerie sur votre iPhone.

  8. Ouvrez l’e-mail dans l’application de messagerie sur l’iPhone, puis appuyez sur le fichier joint.

    Capture d’écran qui montre le message prêt pour l’envoi.

  9. Appuyez sur Plus si vous ne voyez pas l’option Copier dans OpenVPN.

    Capture d’écran illustrant comment appuyer pour en savoir plus.

  10. Appuyez sur Copier dans OpenVPN.

    Capture d’écran illustrant comment copier dans OpenVPN.

  11. Appuyez sur AJOUTER dans la page Importer un profil.

    Capture d’écran illustrant Importer le profil.

  12. Appuyez sur AJOUTER dans la page Profil importé.

    Capture d’écran illustrant Profil importé.

  13. Lancez l’application OpenVPN et faites glisser le commutateur vers la droite dans la page Profil pour vous connecter

    Capture d’écran illustrant comment faire glisser pour se connecter.

Étapes suivantes

Pour plus d’instructions, revenez à l’article sur la connexion point à site original sur lequel vous travailliez.