Настройка пользовательских VPN-клиентов P2S — Проверка подлинности на основе сертификата — macOS и iOS
Эта статья поможет вам подключиться к Виртуальной глобальной сети Azure из операционной системы macOS или iOS через Пользовательское VPN-подключение P2S для конфигураций, использующих проверку подлинности сертификата. Чтобы подключиться из операционной системы iOS или macOS через туннель OpenVPN, используйте клиент OpenVPN. Чтобы подключиться из операционной системы macOS через туннель IKEv2, используйте VPN-клиент, установленный на компьютере Mac.
Подготовка к работе
Убедитесь, что вы выполнили необходимые действия по настройке, описанные в Руководстве по созданию Пользовательского VPN-подключения P2S с помощью Виртуальной глобальной сети Azure.
Создание файлов конфигурации VPN-клиента. Создаваемые файлы конфигурации VPN-клиента зависят от скачиваемого профиля VPN пользователя Виртуальной глобальной сети. Виртуальная глобальная сеть имеет два разных типа профилей конфигурации: уровень глобальной сети (глобальный) и уровень концентратора. Если в конфигурацию VPN P2S вносятся изменения после создания файлов или если вы изменяете тип профиля, необходимо создать новые файлы конфигурации VPN-клиента и применить эту новую конфигурацию ко всем VPN-клиентам, которых вы хотите подключить. См. Создание файлов конфигурации VPN-клиента.
Получение сертификатов. В следующих разделах требуются сертификаты. Убедитесь, что у вас есть как сертификат клиента, так и сведения о сертификате корневого сервера. Дополнительные сведения см. в разделе Создание и экспорт сертификатов.
IKEv2 — собственный клиент — навигация в macOS
После создания и скачивания пакета конфигурации VPN-клиента распакуйте его, чтобы просмотреть папки. При настройке собственных клиентов macOS используются файлы в папке Generic. Эта папка доступна, если для шлюза настроен протокол IKEv2. Все сведения, необходимые для настройки собственного VPN-клиента, можно найти в папке Generic. Если папка Generic отсутствует, убедитесь, что IKEv2 является одним из типов туннелей, а затем скачайте пакет конфигурации еще раз.
Папка Generic содержит следующие файлы.
- Файл VpnSettings.xml — содержит такие важные параметры, как адрес сервера и тип туннеля.
- Файл VpnServerRoot.cer содержит корневой сертификат, который требуется для проверки VPN-шлюза Azure при настройке подключения типа "точка — сеть".
Чтобы настроить на устройстве Mac собственный VPN-клиент для аутентификации на основе сертификата, сделайте следующее: Эти действия необходимо выполнить на каждом компьютере Mac, который нужно подключить к Azure.
Установка сертификатов
Корневой сертификат
- Скопируйте файл корневого сертификата VpnServerRoot.cer на компьютер Mac. Дважды щелкните сертификат. В зависимости от операционной системы либо сертификат будет установлен автоматически, либо откроется страница Добавление сертификатов.
- Если отображается страница Добавление сертификатов, для Цепочки ключей щелкните стрелки и выберите имя входа в раскрывающемся списке.
- Чтобы импортировать файл, щелкните Добавить.
Сертификат клиента
Этот сертификат клиента требуется для аутентификации. Как правило, можно просто щелкнуть сертификат клиента для установки. Сведения о том, как установить сертификат клиента, см. в разделе Установка сертификата клиента.
Проверка установки сертификата
Убедитесь в том, что установлены как сертификат клиента, так и корневой сертификат.
- Откройте приложение Keychain Access.
- Перейдите на вкладку Сертификаты.
- Убедитесь в том, что установлены как сертификат клиента, так и корневой сертификат.
Настройка профиля VPN-клиента
Выберите Настройки системы -> Сеть. На странице "Сеть" щелкните '+', чтобы создать профиль подключения VPN-клиента для подключения типа "точка — сеть" к виртуальной сети Azure.
На странице Выбор интерфейса щелкните стрелки рядом с пунктом Интерфейс:. В раскрывающемся списке выберите VPN.
В раскрывающемся списке Тип VPN выберите IKEv2. В поле Имя службы укажите понятное имя для профиля, а затем нажмите Создать.
Перейдите в скачанный профиль VPN-клиента. В папке Generic откройте файл VpnSettings.xml в текстовом редакторе. В этом примере видно, что этот профиль VPN-клиента подключается к профилю VPN на уровне глобальной сети и что VpnTypes — IKEv2 и OpenVPN. Несмотря на то, что в списке есть два типа VPN, этот VPN-клиент будет подключаться через IKEv2. Скопируйте значение тега VpnServer.
Вставьте значение тега VpnServer в поля профиля Адрес сервера и Удаленный ИД. Оставьте пустым поле Локальный идентификатор. Затем щелкните Параметры аутентификации....
Настройка параметров проверки подлинности
Big Sur и более поздние версии
На странице Параметры проверки подлинности в поле "Параметры проверки подлинности" щелкните стрелки, чтобы выбрать Сертификат.
Щелкните Выбрать, чтобы открыть страницу Выбор удостоверения.
На странице Выбор удостоверения приводится список доступных сертификатов. Если вы не уверены, какой сертификат следует использовать, можно щелкнуть Показать сертификат, чтобы просмотреть дополнительные сведения о каждом сертификате. Выберите нужный сертификат, а затем щелкните Продолжить.
На странице Параметры проверки подлинности убедитесь в том, что отображается правильный сертификат, а затем нажмите кнопку ОК.
Catalina
Если вы используете Catalina, выполните следующие действия по проверке подлинности:
В разделе Параметры проверки подлинности выберите Нет.
Щелкните Сертификат, затем Выбрать и выберите правильный сертификат клиента, установленный ранее. Затем нажмите кнопку ОК.
Выбор сертификата
В поле Локальный идентификатор укажите имя сертификата. В этом примере это P2SChildCertMac.
Нажмите кнопку Применить, чтобы сохранить все изменения.
Связь
Выберите Подключиться, чтобы установить подключение "точка — сеть" к виртуальной сети Azure. Вам может потребоваться ввести пароль из связки ключей для вашего "имени входа".
После установления подключения состояние поменяется на Подключено и вы можете просмотреть IP-адрес, полученный из пула адресов VPN-клиента.
Клиент OpenVPN — навигация для macOS
В следующем примере используется TunnelBlick.
Внимание
Протокол OpenVPN поддерживает только macOS 10.13 и более поздних версий.
Примечание.
Клиент OpenVPN версии 2.6 еще не поддерживается.
Скачайте и установите клиент OpenVPN, например TunnelBlik.
Скачайте пакет профиля VPN-клиента с портала Azure, если вы еще этого не сделали.
Распакуйте профиль. Откройте файл конфигурации vpnconfig.ovpn из папки OpenVPN в текстовом редакторе.
Заполните раздел сертификата клиента подключения "точка — сеть" открытым ключом сертификата клиента P2S в формате base64. В сертификате с форматированием PEM вы можете открыть файл CER и скопировать ключ в формате base64, находящийся между заголовками сертификата.
Заполните раздел секретного ключа закрытым ключом сертификата клиента P2S в base64. Дополнительные сведения о том, как извлечь закрытый ключ, см. в разделе Экспорт закрытого ключа на сайте OpenVPN.
Не изменяйте остальные поля. Для подключения к VPN используйте заполненную конфигурацию на входе клиента.
Дважды щелкните файл профиля, чтобы создать профиль в Tunnelblik.
Запустите Tunnelblik из папки приложения.
Нажмите значок Tunneblik на панели задач и выберите подключение.
Клиент OpenVPN — навигация для iOS
В следующем примере используется OpenVPN Connect из Магазина приложений.
Внимание
Протокол OpenVPN поддерживает только iOS 11.0 и более поздних версий.
Примечание.
Клиент OpenVPN версии 2.6 еще не поддерживается.
Установите клиент OpenVPN (версии 2.4 или выше) из App Store. Версия 2.6 еще не поддерживается.
Скачайте пакет профиля VPN-клиента с портала Azure, если вы еще этого не сделали.
Распакуйте профиль. Откройте файл конфигурации vpnconfig.ovpn из папки OpenVPN в текстовом редакторе.
Заполните раздел сертификата клиента подключения "точка — сеть" открытым ключом сертификата клиента P2S в формате base64. В сертификате с форматированием PEM вы можете открыть файл CER и скопировать ключ в формате base64, находящийся между заголовками сертификата.
Заполните раздел секретного ключа закрытым ключом сертификата клиента P2S в base64. Дополнительные сведения о том, как извлечь закрытый ключ, см. в разделе Экспорт закрытого ключа на сайте OpenVPN.
Не изменяйте остальные поля.
Отправьте файл профиля (.ovpn) по электронной почте в учетную запись электронной почты, настроенную в приложении "Почта" на устройстве iPhone.
Откройте сообщение электронной почты в приложении "Почта" на устройстве iPhone и нажмите вложенный файл.
Коснитесь More (Дополнительно), если вы не видите вариант Copy to OpenVPN (Копировать в OpenVPN).
Коснитесь Copy to OpenVPN (Копировать в OpenVPN).
Нажмите ДОБАВИТЬ на странице Импорт профиля.
Нажмите ДОБАВИТЬ на странице Импортированный профиль.
Запустите приложение OpenVPN и сдвиньте переключатель на странице Профиль вправо, чтобы установить подключение.