Рабочий процесс настройки VPN-клиента типа "точка — сеть": проверка подлинности сертификата — Windows
В этой статье описывается рабочий процесс и шаги по настройке VPN-клиентов для подключений виртуальной сети типа "точка — сеть" (P2S), использующих проверку подлинности сертификата. Эти действия продолжаются из предыдущих статей, где настроены параметры сервера VPN-шлюз типа "точка — сеть". В этой статье вы создадите файлы конфигурации клиента и установите необходимые сертификаты клиента, используемые для проверки подлинности.
Подготовка к работе
В этой статье предполагается, что вы уже создали и настроили VPN-шлюз для проверки подлинности сертификата P2S. Инструкции по настройке параметров сервера для подключений VPN-шлюз P2S — проверка подлинности на основе сертификата.
Перед началом рабочего процесса убедитесь, что вы находитесь в правильной статье. В следующей таблице приведены статьи о конфигурации, доступные для VPN-клиентов P2S VPN-шлюза Azure. Шаги различаются в зависимости от типа проверки подлинности, типа туннеля и клиентской ОС.
| Проверка подлинности | Тип туннеля | Создание файлов конфигурации | Настройка VPN-клиента |
|---|---|---|---|
| Сертификат Azure | IKEv2, SSTP | Windows | Собственный VPN-клиент |
| Сертификат Azure | OpenVPN | Windows | - Клиент OpenVPN - VPN-клиент Azure |
| Сертификат Azure | IKEv2, OpenVPN | macOS-iOS | macOS-iOS |
| Сертификат Azure | IKEv2, OpenVPN | Linux | Linux |
| Microsoft Entra ID | OpenVPN (SSL) | Windows | Windows |
| Microsoft Entra ID | OpenVPN (SSL) | macOS | macOS |
| RADIUS — сертификат | - | Статья | Статья |
| RADIUS — пароль | - | Статья | Статья |
| RADIUS — другие методы | - | Статья | Статья |
Рабочий процесс
В этой статье мы начнем с создания файлов конфигурации VPN-клиента и сертификатов клиента:
Настройте VPN-клиент. Действия, используемые для настройки VPN-клиента, зависят от типа туннеля для VPN-шлюза P2S и VPN-клиента на клиентском компьютере. Ссылки предоставляются в статьях конфигурации для конкретного туннеля и соответствующего клиента.
- IKEv2 и SSTP — собственный VPN-клиент. Если VPN-шлюз P2S настроен для использования IKEv2/SSTP и проверки подлинности сертификата, вы подключаетесь к виртуальной сети с помощью собственного VPN-клиента , который входит в операционную систему Windows. Для такой конфигурации дополнительное клиентское программное обеспечение не требуется. Инструкции см. в разделе IKEv2 и SSTP — собственный VPN-клиент.
- OpenVPN — VPN-клиент Azure и клиент OpenVPN. Если VPN-шлюз P2S настроен для использования туннеля OpenVPN и проверки подлинности сертификата, вы можете подключиться с помощью VPN-клиента Azure или клиента OpenVPN.
1. Создайте файлы конфигурации VPN-клиента
Все необходимые параметры конфигурации для VPN-клиентов содержатся в ZIP-файле конфигурации профиля VPN-клиента. Файлы конфигурации профиля клиента можно создать с помощью PowerShell или с помощью портал Azure. И в первом, и во втором случае возвращается один и тот же ZIP-файл.
Создаваемые файлы конфигурации профиля VPN-клиента зависят от конфигурации VPN-шлюза P2S для виртуальной сети. Если после создания файлов есть какие-либо изменения в конфигурации VPN P2S, например изменения типа VPN-протокола или типа проверки подлинности, необходимо создать новые файлы конфигурации профиля VPN-клиента и применить новую конфигурацию ко всем VPN-клиентам, которые требуется подключить. Дополнительные сведения о подключениях P2S см. в статье Сведения о VPN-подключениях типа "точка — сеть".
PowerShell
При создании файлов конфигурации VPN-клиента значение параметра -AuthenticationMethod равно EapTls. Создайте конфигурацию VPN-клиента с помощью следующей команды:
$profile=New-AzVpnClientConfiguration -ResourceGroupName "TestRG" -Name "VNet1GW" -AuthenticationMethod "EapTls"
$profile.VPNProfileSASUrl
Скопируйте URL-адрес в браузер, чтобы скачать ZIP-файл.
Портал Azure
В портал Azure перейдите к шлюзу виртуальной сети для виртуальной сети, к которой требуется подключиться.
На странице шлюза виртуальной сети выберите элемент Конфигурация "точка — сеть", чтобы открыть страницу этой конфигурации.
В верхней части страницы конфигурации "Точка — сеть" выберите "Скачать VPN-клиент". При этом не скачивается клиентское программное обеспечение для VPN, а создается пакет конфигурации для настройки VPN-клиентов. Пакет конфигурации клиента создается несколько минут. В течение этого времени может не отображаться никаких признаков, пока пакет не будет создан.
После создания пакета конфигурации браузер указывает, что zip-файл конфигурации клиента доступен. Он получает такое же имя, как у вашего шлюза.
Распакуйте файл. После этого отобразятся папки. Вы будете использовать некоторые или все эти файлы для настройки VPN-клиента. Созданные файлы соответствуют параметрам типа проверки подлинности и туннеля, настроенным на сервере P2S.
2. Создание сертификатов клиента
Для проверки подлинности сертификата сертификат должен быть установлен на каждом клиентском компьютере. Сертификат клиента, который вы хотите использовать, должен экспортироваться с закрытым ключом и содержать все сертификаты в пути сертификации. Кроме того, для некоторых конфигураций также потребуется установить сведения о корневом сертификате.
Во многих случаях сертификат клиента можно установить непосредственно на клиентском компьютере, дважды щелкнув его. Однако для некоторых конфигураций клиента OpenVPN может потребоваться извлечь сведения из сертификата клиента, чтобы завершить настройку.
- Сведения о работе с сертификатами см . на сайте": создание сертификатов.
- Чтобы просмотреть установленный сертификат клиента, откройте раздел Управление сертификатами пользователей. Сертификат клиента устанавливается в каталог Current User\Personal\Certificates.
3. Настройка VPN-клиента
Затем настройте VPN-клиент. Выберите из следующих инструкций:
| Туннель | VPN-клиент |
|---|---|
| IKEv2 и SSTP | Шаги собственного VPN-клиента |
| OpenVPN | Шаги VPN-клиента Azure |
| OpenVPN | Шаги клиента OpenVPN |
Следующие шаги
Чтобы выполнить дополнительные действия, вернитесь в статью P2S, из которую вы работали.