Konfigurowanie klientów P2S sieci VPN użytkownika — uwierzytelnianie certyfikatu — macOS i iOS

  • Artykuł

Ten artykuł ułatwia nawiązywanie połączenia z usługą Azure Virtual WAN z systemu operacyjnego macOS lub iOS za pośrednictwem protokołu P2S sieci VPN użytkownika na potrzeby konfiguracji korzystających z uwierzytelniania certyfikatu. Aby nawiązać połączenie z systemu operacyjnego iOS lub macOS za pośrednictwem tunelu OpenVPN, należy użyć klienta OpenVPN. Aby nawiązać połączenie z systemu operacyjnego macOS za pośrednictwem tunelu IKEv2, należy użyć klienta sieci VPN zainstalowanego natywnie na komputerze Mac.

Zanim rozpoczniesz

  • Upewnij się, że zostały wykonane niezbędne kroki konfiguracji opisane w artykule Samouczek: tworzenie połączenia sieci VPN użytkownika P2S przy użyciu usługi Azure Virtual WAN.

  • Generowanie plików konfiguracji klienta sieci VPN: Wygenerowane pliki konfiguracji klienta sieci VPN są specyficzne dla pobranego profilu sieci VPN użytkownika Virtual WAN. Virtual WAN ma dwa różne typy profilów konfiguracji: poziom sieci WAN (globalny) i poziom koncentratora. Jeśli po wygenerowaniu plików zostaną wprowadzone jakiekolwiek zmiany w konfiguracji sieci VPN typu punkt-lokacja lub zmienisz się na inny typ profilu, musisz wygenerować nowe pliki konfiguracji klienta sieci VPN i zastosować nową konfigurację do wszystkich klientów sieci VPN, z którymi chcesz nawiązać połączenie. Zobacz Generowanie plików konfiguracji klienta sieci VPN użytkownika.

  • Uzyskaj certyfikaty: Poniższe sekcje wymagają certyfikatów. Upewnij się, że masz zarówno certyfikat klienta, jak i informacje o certyfikacie serwera głównego. Aby uzyskać więcej informacji, zobacz Generowanie i eksportowanie certyfikatów , aby uzyskać więcej informacji.

IKEv2 — klient natywny — kroki systemu macOS

Po wygenerowaniu i pobraniu pakietu konfiguracji klienta sieci VPN rozpakuj go, aby wyświetlić foldery. Podczas konfigurowania klientów natywnych systemu macOS pliki są używane w folderze Generic . Folder Ogólny jest obecny, jeśli protokół IKEv2 został skonfigurowany w bramie. Wszystkie informacje potrzebne do skonfigurowania natywnego klienta sieci VPN można znaleźć w folderze Generic . Jeśli nie widzisz folderu Generic, upewnij się, że protokół IKEv2 jest jednym z typów tuneli, a następnie ponownie pobierz pakiet konfiguracji.

Folder Ogólny zawiera następujące pliki.

  • VpnSettings.xml, która zawiera ważne ustawienia, takie jak adres serwera i typ tunelu.
  • VpnServerRoot.cer, który zawiera certyfikat główny wymagany do zweryfikowania bramy sieci VPN platformy Azure podczas konfigurowania połączenia punkt-lokacja.

Wykonaj poniższe kroki, aby skonfigurować natywnego klienta sieci VPN na komputerze Mac na potrzeby uwierzytelniania certyfikatów. Te kroki należy wykonać na każdym komputerze Mac, który chcesz nawiązać połączenie z platformą Azure.

Instalowanie certyfikatów

Certyfikat główny

  1. Skopiuj do pliku certyfikatu głównego — VpnServerRoot.cer — na komputer Mac. Kliknij dwukrotnie certyfikat. W zależności od systemu operacyjnego certyfikat zostanie automatycznie zainstalowany lub zostanie wyświetlona strona Dodawanie certyfikatów .
  2. Jeśli zostanie wyświetlona strona Dodawanie certyfikatów , w polu Pęku kluczy kliknij strzałki i wybierz pozycję zaloguj się z listy rozwijanej.
  3. Kliknij przycisk Dodaj , aby zaimportować plik.

Certyfikat klienta

Certyfikat klienta jest używany do uwierzytelniania i jest wymagany. Zazwyczaj można po prostu kliknąć certyfikat klienta, aby zainstalować. Aby uzyskać więcej informacji na temat sposobu instalowania certyfikatu klienta, zobacz Instalowanie certyfikatu klienta.

Weryfikowanie instalacji certyfikatu

Sprawdź, czy zarówno klient, jak i certyfikat główny są zainstalowane.

  1. Otwórz pozycję Dostęp pęku kluczy.
  2. Przejdź do karty Certyfikaty .
  3. Sprawdź, czy zarówno klient, jak i certyfikat główny są zainstalowane.

Konfigurowanie profilu klienta sieci VPN

  1. Przejdź do pozycji Preferencje systemowe —> sieć. Na stronie Sieć kliknij pozycję "+" , aby utworzyć nowy profil połączenia klienta sieci VPN dla połączenia punkt-lokacja z siecią wirtualną platformy Azure.

    Zrzut ekranu przedstawiający okno Sieć, aby kliknąć znak plus.

  2. Na stronie Wybierz interfejs kliknij strzałki obok pozycji Interfejs:. Z listy rozwijanej kliknij pozycję VPN.

    Zrzut ekranu przedstawia okno Sieć z opcją wybrania interfejsu, wybrana jest sieć VPN.

  3. W polu Typ sieci VPN z listy rozwijanej kliknij pozycję IKEv2. W polu Nazwa usługi określ przyjazną nazwę profilu, a następnie kliknij przycisk Utwórz.

    Zrzut ekranu przedstawiający okno Sieć z opcją wybrania interfejsu, wybierz pozycję Typ sieci VPN i wprowadź nazwę usługi.

  4. Przejdź do pobranego profilu klienta sieci VPN. W folderze Generic otwórz plik VpnSettings.xml przy użyciu edytora tekstów. W tym przykładzie widać, że ten profil klienta sieci VPN łączy się z profilem sieci VPN na poziomie sieci WAN i że typy VpnTypes to IKEv2 i OpenVPN. Mimo że na liście znajdują się dwa typy sieci VPN, ten klient sieci VPN połączy się za pośrednictwem protokołu IKEv2. Skopiuj wartość tagu VpnServer .

    Zrzut ekranu przedstawiający otwarty plik VpnSettings.xml z wyróżnionym tagiem VpnServer.

  5. Wklej wartość tagu VpnServer w polach Adres serwera i Identyfikator zdalny profilu. Pozostaw pusty identyfikator lokalny . Następnie kliknij pozycję Ustawienia uwierzytelniania....

    Zrzut ekranu przedstawia informacje o serwerze wklejone do pól.

Konfigurowanie ustawień uwierzytelniania

Big Sur i później

  1. Na stronie Ustawienia uwierzytelniania w polu Ustawienia uwierzytelniania kliknij strzałki, aby wybrać pozycję Certyfikat.

    Zrzut ekranu przedstawiający ustawienia uwierzytelniania z wybranym certyfikatem.

  2. Kliknij pozycję Wybierz , aby otworzyć stronę Wybierz tożsamość .

    Zrzut ekranu, aby kliknąć pozycję Wybierz.

  3. Na stronie Wybierz tożsamość zostanie wyświetlona lista certyfikatów do wyboru. Jeśli nie masz pewności, który certyfikat ma być używany, możesz wybrać pozycję Pokaż certyfikat , aby wyświetlić więcej informacji o każdym certyfikacie. Kliknij odpowiedni certyfikat, a następnie kliknij przycisk Kontynuuj.

    Zrzut ekranu przedstawia właściwości certyfikatu.

  4. Na stronie Ustawienia uwierzytelniania sprawdź, czy jest wyświetlany prawidłowy certyfikat, a następnie kliknij przycisk OK.

    Zrzut ekranu przedstawia okno dialogowe Wybieranie tożsamości, w którym można wybrać odpowiedni certyfikat.

Catalina

Jeśli używasz systemu Catalina, wykonaj następujące kroki ustawień uwierzytelniania:

  1. W obszarze Ustawienia uwierzytelniania wybierz pozycję Brak.

  2. Kliknij pozycję Certyfikat, kliknij pozycję Wybierz i kliknij prawidłowy certyfikat klienta zainstalowany wcześniej. Następnie kliknij przycisk OK.

Określanie certyfikatu

  1. W polu Identyfikator lokalny określ nazwę certyfikatu. W tym przykładzie jest to P2SChildCertMac.

    Zrzut ekranu przedstawia wartość identyfikatora lokalnego.

  2. Kliknij przycisk Zastosuj , aby zapisać wszystkie zmiany.

Połącz

  1. Kliknij przycisk Połącz , aby uruchomić połączenie punkt-lokacja z siecią wirtualną platformy Azure. Może być konieczne wprowadzenie hasła pęku kluczy logowania.

    Zrzut ekranu przedstawia przycisk połącz.

  2. Po nawiązaniu połączenia stan jest wyświetlany jako Połączono i można wyświetlić adres IP, który został pobrany z puli adresów klienta sieci VPN.

    Zrzut ekranu przedstawia pozycję Połączono.

Klient OpenVPN — kroki systemu macOS

W poniższym przykładzie użyto metody TunnelGarten.

Ważne

Tylko system MacOS 10.13 lub nowszy jest obsługiwany przy użyciu protokołu OpenVPN.

Uwaga

Klient OpenVPN w wersji 2.6 nie jest jeszcze obsługiwany.

  1. Pobierz i zainstaluj klienta OpenVPN, takiego jak TunnelGarten.

  2. Jeśli jeszcze tego nie zrobiono, pobierz pakiet profilu klienta sieci VPN z Azure Portal.

  3. Rozpakuj profil. Otwórz plik konfiguracji vpnconfig.ovpn z folderu OpenVPN w edytorze tekstów.

  4. W sekcji certyfikatu klienta P2S wprowadź klucz publiczny certyfikatu klienta P2S w formacie base64. W certyfikacie sformatowanym PEM można otworzyć plik cer i skopiować go na klucz base64 między nagłówkami certyfikatu.

  5. W sekcji klucza prywatnego wprowadź klucz prywatny certyfikatu klienta P2S w formacie base64. Aby uzyskać informacje na temat wyodrębniania klucza prywatnego, zobacz Eksportowanie klucza prywatnego w witrynie OpenVPN.

  6. Nie zmieniaj żadnych innych pól. Użyj konfiguracji wprowadzonej w danych wejściowych klienta, aby nawiązać połączenie z siecią VPN.

  7. Kliknij dwukrotnie plik profilu, aby utworzyć profil w tunelu.

  8. Uruchom aplikację Tunnel stamtąd z folderu applications.

  9. Kliknij ikonę Tunelowanie na pasku zadań systemowych i wybierz pozycję Połącz.

Klient OpenVPN — kroki systemu iOS

W poniższym przykładzie użyto programu OpenVPN Connect ze sklepu App Store.

Ważne

Obsługiwane są tylko systemy iOS 11.0 i nowsze z protokołem OpenVPN.

Uwaga

Klient OpenVPN w wersji 2.6 nie jest jeszcze obsługiwany.

  1. Zainstaluj klienta OpenVPN (w wersji 2.4 lub nowszej) ze sklepu App Store. Wersja 2.6 nie jest jeszcze obsługiwana.

  2. Jeśli jeszcze tego nie zrobiono, pobierz pakiet profilu klienta sieci VPN z Azure Portal.

  3. Rozpakuj profil. Otwórz plik konfiguracji vpnconfig.ovpn z folderu OpenVPN w edytorze tekstów.

  4. W sekcji certyfikatu klienta P2S wprowadź klucz publiczny certyfikatu klienta P2S w formacie base64. W certyfikacie sformatowanym PEM można otworzyć plik cer i skopiować go na klucz base64 między nagłówkami certyfikatu.

  5. W sekcji klucza prywatnego wprowadź klucz prywatny certyfikatu klienta P2S w formacie base64. Aby uzyskać informacje na temat wyodrębniania klucza prywatnego, zobacz Eksportowanie klucza prywatnego w witrynie OpenVPN.

  6. Nie zmieniaj żadnych innych pól.

  7. Wyślij wiadomość e-mail do pliku profilu (ovpn) na swoje konto e-mail skonfigurowane w aplikacji poczty na telefonie iPhone.

  8. Otwórz wiadomość e-mail w aplikacji poczty na telefonie iPhone i naciśnij dołączony plik.

    Zrzut ekranu przedstawia komunikat gotowy do wysłania.

  9. Naciśnij pozycję Więcej , jeśli nie widzisz opcji Kopiuj do protokołu OpenVPN .

    Zrzut ekranu przedstawia, aby nacisnąć więcej.

  10. Naciśnij pozycję Kopiuj do protokołu OpenVPN.

    Zrzut ekranu przedstawia kopiowanie do protokołu OpenVPN.

  11. Naciśnij pozycję DODAJ na stronie Importowanie profilu

    Zrzut ekranu przedstawiający profil importu.

  12. Naciśnij pozycję DODAJ na stronie Zaimportowany profil

    Zrzut ekranu przedstawiający zaimportowany profil.

  13. Uruchom aplikację OpenVPN i przesuń przełącznik na stronie Profil po prawej stronie, aby nawiązać połączenie

    Zrzut ekranu przedstawia slajd do nawiązania połączenia.

Następne kroki

Samouczek: tworzenie połączenia sieci VPN użytkownika P2S przy użyciu usługi Azure Virtual WAN.