ポイント対サイト VPN クライアントの構成 - 証明書認証 - macOS と iOS

  • [アーティクル]

この記事では、ユーザーが VPN Gateway ポイント対サイト (P2S) と証明書認証を使用して Azure 仮想ネットワーク (VNet) に接続するのを支援します。 この記事では、P2S 構成に選択したトンネルの種類、オペレーティング システム、接続に使用される VPN クライアントに応じて、複数の手順を用意しています。

証明書認証を使用する場合は、次のことに留意してください。

  • トンネルの種類が IKEv2 の場合は、macOS システムにネイティブにインストールされている VPN クライアントを使用して接続できます。

  • トンネルの種類が OpenVPN の場合は、OpenVPN クライアントを使用できます。

  • 証明書認証を使用する場合は、P2S 構成でトンネルの種類に OpenVPN を選択した場合でも、macOS と iOS で Azure VPN クライアントを使用できません。

開始する前に

開始する前に、正しい記事が表示されていることを確認します。 次の表は、Azure VPN Gateway P2S VPN クライアントで使用できる構成記事を示しています。 手順は、認証の種類、トンネルの種類、クライアント OS によって異なります。

認証 トンネルの種類 構成ファイルを生成する VPN クライアントを構成する
Azure 証明書 IKEv2、SSTP Windows ネイティブ VPN クライアント
Azure 証明書 OpenVPN Windows - OpenVPN クライアント
- Azure VPN クライアント
Azure 証明書 IKEv2、OpenVPN macOS-iOS macOS-iOS
Azure 証明書 IKEv2、OpenVPN Linux Linux
Microsoft Entra ID OpenVPN (SSL) Windows Windows
Microsoft Entra ID OpenVPN (SSL) macOS macOS
RADIUS - 証明書 - 記事 記事
RADIUS - パスワード - 記事 記事
RADIUS - その他の方法 - 記事 記事

重要

2018 年 7 月 1 日以降、Azure VPN Gateway では TLS 1.0 および 1.1 のサポートが終了します。 VPN Gateway では、TLS 1.2 のみがサポートされるようになります。 影響を受けるのはポイント対サイト接続のみであり、サイト対サイト接続には影響ありません。 Windows 10 以降のクライアント上でポイント対サイト VPN に対して TLS を使用する場合、特に何も行う必要はありません。 Windows 7 および Windows 8 クライアント上でポイント対サイト接続に対して TLS を使用する場合、更新手順については「VPN Gateway に関する FAQ」を参照してください。

証明書の生成

証明書認証の場合は、1 つのクライアント証明書を各クライアント コンピューターにインストールする必要があります。 使用するクライアント証明書は秘密キーを含めてエクスポートし、証明書パスにすべての証明書が含まれている必要があります。 さらに、一部の構成では、ルート証明書情報もインストールする必要があります。

証明書の操作の詳細については、Linux でのポイント対サイトの証明書生成に関するページを参照してください。

VPN クライアント構成ファイルの生成

VPN クライアントに必要なすべての構成設定は、VPN クライアント プロファイル構成 zip ファイルに含まれています。 PowerShell または Azure portal を使用して、クライアント プロファイル構成ファイルを生成できます。 どちらの方法でも、同じ zip ファイルが返されます。

生成する VPN クライアント プロファイル構成ファイルは、仮想ネットワークの P2S VPN ゲートウェイ構成に固有です。 ファイルを生成した後に、P2S VPN 構成に変更があった場合は (VPN プロトコルの種類や認証の種類の変更など)、新しい VPN クライアント プロファイル構成ファイルを生成し、接続するすべての VPN クライアントに新しい構成を適用する必要があります。 P2S 接続の詳細については、「ポイント対サイト VPN について」を参照してください。

Azure portal を使用してファイルを生成するには、次のようにします。

  1. Azure portal で、接続する仮想ネットワークの仮想ネットワーク ゲートウェイに移動します。

  2. 仮想ネットワーク ゲートウェイ ページで、 [ポイント対サイトの構成] を選択して、[ポイント対サイトの構成] ページを開きます。

  3. [ポイント対サイトの構成] ページの上部で [VPN クライアントのダウンロード] を選択します。 これにより、VPN クライアント ソフトウェアがダウンロードされるのではなく、VPN クライアントの構成に使用される構成パッケージが生成されます。 クライアント構成パッケージが生成されるまでに数分かかります。 この間、パケットが生成されるまで、何も表示されない場合があります。

    [ポイント対サイトの構成] ページのスクリーンショット。

  4. 構成パッケージが生成されると、クライアント構成 ZIP ファイルが使用可能であることがブラウザーに示されます。 ファイルにはゲートウェイと同じ名前が付けられています。

  5. そのファイルを解凍して、フォルダーを表示します。 これらのファイルの一部またはすべてを使用して、VPN クライアントを構成します。 生成されるファイルは、P2S サーバー上に構成した認証とトンネルの種類の設定に対応します。

次に、VPN クライアントを構成します。 次の手順から選択します。

IKEv2 - ネイティブ VPN クライアント - macOS の手順

次のセクションでは、ユーザーが macOS の一部として既にインストールされているネイティブ VPN クライアントを構成するのを支援します。 この種類の接続は IKEv2 でのみ機能します。

[ファイルの表示]

そのファイルを解凍して、フォルダーを表示します。 macOS ネイティブ クライアントを構成する場合は、Generic フォルダー内のファイルを使用します。 Generic フォルダーが存在するのは、IKEv2 をゲートウェイに構成した場合です。 ネイティブ VPN クライアントを構成するために必要なすべての情報は、Generic フォルダーにあります。 Generic フォルダーが表示されない場合は、次の項目を確認してから、もう一度 zip ファイルを生成します。

  • 構成のトンネルの種類を確認します。 IKEv2 がトンネルの種類として選択されていない可能性があります。
  • VPN ゲートウェイで、SKU が Basic ではないかを確認します。 VPN Gateway Basic SKU は IKEv2 をサポートしていません。 次に、IKEv2 を選択し、もう一度 zip ファイルを生成して、Generic フォルダーを取得します。

Generic フォルダーには、次のファイルが含まれています。

  • VpnSettings.xml。サーバー アドレスやトンネルの種類など、重要な設定が含まれています。
  • VpnServerRoot.cer。P2S 接続の設定中に Azure VPN Gateway を検証するために必要なルート証明書が含まれています。

証明書認証用に Mac 上でネイティブ VPN クライアントを構成するには、次の手順を実行してください。 これらの手順は、Azure に接続する Mac ごとに完了する必要があります。

証明書をインストールする

ルート証明書

  1. Mac にルート証明書ファイル - VpnServerRoot.cer - をコピーします。 証明書をダブルクリックする お使いのオペレーティング システムに応じて、証明書が自動的にインストールされるか、[証明書の追加] ページが表示されます。
  2. [証明書の追加] ページが表示される場合は、[キーチェーン] で矢印をクリックし、ドロップダウンから [ログイン] を選択します。
  3. [追加] をクリックしてファイルをインポートします。

クライアント証明書

クライアント証明書は認証に使用され、必須です。 通常は、クライアント証明書をクリックするだけでインストールできます。 クライアント証明書のインストール方法については、クライアント証明書のインストールに関するページを参照してください。

証明書のインストールを確認する

クライアント証明書とルート証明書の両方がインストールされていることを確認します。

  1. [キーチェーン アクセス] を開きます。
  2. [証明書] タブに移動します。
  3. クライアント証明書とルート証明書の両方がインストールされていることを確認します。

VPN クライアント プロファイルを構成する

  1. [システム環境設定] -> [ネットワーク] に移動します。 [ネットワーク] ページで '+' をクリックして、Azure 仮想ネットワークへの P2S 接続用に、新しい VPN クライアント接続プロファイルを作成します。

    [ネットワーク] ウィンドウのスクリーンショット。[+] をクリックします。

  2. [インターフェイスの選択] ページで、[インターフェイス] の横にある矢印をクリックします。 ドロップダウンから [VPN] をクリックします。

    インターフェイスを選択するオプションが表示された [ネットワーク] ウィンドウのスクリーンショット。[VPN] が選択されています。

  3. [VPN の種類] では、ドロップダウンから [IKEv2] をクリックします。 [サービス名] フィールドに、プロファイルのフレンドリ名を指定して、[作成] をクリックします。

    [ネットワーク] ウィンドウのスクリーンショット。インターフェイスの選択、VPN の種類の選択、サービス名の入力オプションが表示されています。

  4. ダウンロードした VPN クライアント プロファイルに移動します。 テキスト エディターを使用して Generic フォルダーの VpnSettings.xml ファイルを開きます。 この例では、トンネルの種類とサーバー アドレスに関する情報が表示されています。 2 つの VPN の種類が表示されていますが、この VPN クライアントでは IKEv2 経由で接続します。 VpnServer タグの値をコピーします。

    VpnSettings.xml ファイルが開かれているスクリーンショット。VpnServer タグが強調表示されています。

  5. VpnServer タグの値を、プロファイルの [サーバー アドレス][リモート ID] の両方のフィールドに貼り付けます。 [ローカル ID] は空のままにします。 次に、[認証設定] をクリックします。

    サーバー情報をフィールドに貼り付けたことを示すスクリーンショット。

認証設定を構成する

認証設定を構成します。 2 種類の手順があります。 OS のバージョンに対応する手順を選択します。

Big Sur 以降

  1. [認証設定] ページの [認証設定] フィールドで、矢印をクリックして [証明書] を選択します。

    [認証設定] のスクリーンショット。[証明書] が選択されています。

  2. [選択] をクリックして、 [Choose An Identity](ID の選択) ページを開きます。

    [選択] のクリックを示すスクリーンショット。

  3. [Choose An Identity](ID の選択) ページでは、選択できる証明書の一覧が表示されます。 使用する証明書が不明な場合は、[証明書の表示] を選択して、各証明書の詳細を確認できます。 適切な証明書をクリックして、[続ける] をクリックします。

    証明書のプロパティを示すスクリーンショット。

  4. [認証設定] ページで適切な証明書が表示されていることを確認し、 [OK] をクリックします。

    [Choose An Identity]\(ID の選択\) ダイアログ ボックスのスクリーンショット。適切な証明書を選択できます。

Catalina

Catalina を使用している場合は、次の認証設定手順を使用します。

  1. [認証設定][なし] を選択します。

  2. [証明書] をクリックし、[選択] をクリックして、前にインストールした適切なクライアント証明書をクリックします。 次に、 [OK] をクリックします

証明書の指定

  1. [ローカル ID] フィールドに、証明書の名前を指定します。 この例では、P2SChildCertMac です。

    ローカル ID の値を示すスクリーンショット。

  2. [適用] をクリックしてすべての変更を保存します。

接続する

  1. [接続] をクリックして、Azure 仮想ネットワークへの P2S 接続を開始します。 "ログイン" キーチェーンのパスワードの入力が必要な場合があります。

    [接続] ボタンを示すスクリーンショット。

  2. 接続が確立されると、状態が [接続済み] と表示され、VPN クライアント アドレス プールから取得した IP アドレスが表示されます。

    接続済みを示すスクリーンショット。

OpenVPN: macOS の手順

次の例では TunnelBlick を使用します。

重要

OpenVPN プロトコルでは、MacOS 10.13 以上のみがサポートされています。

注意

OpenVPN クライアント version 2.6 はまだサポートされていません。

  1. TunnelBlick などの OpenVPN クライアントをダウンロードしてインストールします。

  2. まだ行っていない場合は、Azure portal から VPN クライアント プロファイル パッケージをダウンロードします。

  3. プロファイルを展開します。 テキスト エディターで OpenVPN フォルダーから vpnconfig.ovpn 構成ファイルを開きます。

  4. P2S クライアント証明書セクションに、base64 の P2S クライアント証明書の公開キーを指定します。 PEM 形式の証明書の場合、.cer ファイルを開き、証明書ヘッダー間にある base64 キーを上書きしてコピーします。

  5. 秘密キー セクションに、base64 の P2S クライアント証明書の秘密キーを指定します。 秘密キーの抽出方法については、OpenVPN サイトにある秘密キーのエクスポートに関するページを参照してください。

  6. その他のフィールドは変更しないでください。 クライアント入力に入力された構成を使用して VPN に接続します。

  7. プロファイル ファイルをダブルクリックして、Tunnelblick にプロファイルを作成します。

  8. アプリケーション フォルダーから Tunnelblick を起動します。

  9. システム トレイの Tunnelblick アイコンをクリックし、[接続] を選択します。

OpenVPN: iOS の手順

次の例では、アプリ ストアの OpenVPN Connect を使用します。

重要

OpenVPN プロトコルでは、iOS 11.0 以上のみがサポートされています。

注意

OpenVPN クライアント version 2.6 はまだサポートされていません。

  1. App store から OpenVPN クライアント (バージョン 2.4 以降) をインストールします。 バージョン 2.6 はまだサポートされていません。

  2. まだ行っていない場合は、Azure portal から VPN クライアント プロファイル パッケージをダウンロードします。

  3. プロファイルを展開します。 テキスト エディターで OpenVPN フォルダーから vpnconfig.ovpn 構成ファイルを開きます。

  4. P2S クライアント証明書セクションに、base64 の P2S クライアント証明書の公開キーを指定します。 PEM 形式の証明書の場合、.cer ファイルを開き、証明書ヘッダー間にある base64 キーを上書きしてコピーします。

  5. 秘密キー セクションに、base64 の P2S クライアント証明書の秘密キーを指定します。 秘密キーの抽出方法については、OpenVPN サイトにある秘密キーのエクスポートに関するページを参照してください。

  6. その他のフィールドは変更しないでください。

  7. ご利用の iPhone 上のメール アプリで構成されている電子メール アカウントにプロファイル ファイル (ovpn) を電子メールで送信します。

  8. iPhone 上のメール アプリで電子メールを開き、添付ファイルをタップします。

    送信準備ができたメッセージを示すスクリーンショット。

  9. [OpenVPN にコピー] オプションが表示されない場合は、[その他] をタップします。

    [その他] のタップを示すスクリーンショット。

  10. [OpenVPN にコピー] をタップします。

    [OpenVPN にコピー] を示すスクリーンショット。

  11. [プロファイルのインポート] ページで [追加] をタップします。

    [プロファイルのインポート] を示すスクリーンショット。

  12. [インポート済みプロファイル] ページで [追加] をタップします。

    [インポート済みプロファイル] を示すスクリーンショット。

  13. OpenVPN アプリを起動し、[プロファイル] ページでスイッチを右にスライドして接続します。

    スライドして接続を示すスクリーンショット。

次のステップ

追加の手順については、作業元のポイント対サイトの記事に戻ります。