Compartir a través de

配置 P2S VPN 客户端:证书身份验证 - 本机 VPN 客户端 - macOS

如果点到站点 (P2S) VPN 网关配置为使用 IKEv2 和证书身份验证,则可以使用 macOS 操作系统中的本机 VPN 客户端连接到虚拟网络。 本文会指导你完成配置本机 VPN 客户端并连接到虚拟网络的步骤。

开始之前

在开始配置客户端之前,请验证你是否参阅的是正确的文章。 下表显示了 Azure VPN 网关 P2S VPN 客户端可用的配置文章。 步骤因身份验证类型、隧道类型和客户端 OS 而有所不同。

身份验证 隧道类型 客户端 OS VPN 客户端
证书
IKEv2、SSTP Windows 本机 VPN 客户端
IKEv2 macOS 本机 VPN 客户端
IKEv2 Linux strongSwan
OpenVPN Windows Azure VPN 客户端
OpenVPN 客户端版本 2.x
OpenVPN 客户端版本 3.x
OpenVPN macOS OpenVPN 客户端
OpenVPN Linux Azure VPN 客户端
OpenVPN 客户端
Microsoft Entra ID
OpenVPN Windows Azure VPN 客户端

先决条件

本文假定你已执行以下先决条件:

Workflow

本文的工作流如下所示:

  1. 生成客户端证书(如果尚未这样做)。
  2. 查看生成的 VPN 客户端配置文件包中包含的 VPN 客户端配置文件。
  3. 安装证书。
  4. 配置已在操作系统上安装的本机 VPN 客户端。
  5. 连接到 Azure。

生成证书

对于证书身份验证,必须在每台客户端计算机上安装客户端证书。 要使用的客户端证书必须使用私钥导出,并且必须包含证书路径中的所有证书。 此外,对于某些配置,还需要安装根证书信息。

有关使用证书的信息,请参阅生成和导出证书

查看 VPN 客户端配置文件

VPN 客户端的所有必需配置设置都包含在 VPN 客户端 zip 配置文件中。 可使用 PowerShell 或 Azure 门户生成客户端配置文件。 两种方法之一都会返回相同的 zip 文件。

VPN 客户端配置文件特定于虚拟网络的 P2S VPN 网关配置。 如果生成文件后 P2S VPN 配置有任何更改,例如 VPN 协议类型或身份验证类型出现更改,则需要生成新的 VPN 客户端配置文件,并将新配置应用到所有要连接的 VPN 客户端。

解压缩该文件,查看文件夹。 配置 macOS 本机客户端时,请使用 Generic 文件夹中的文件。 如果网关上配置了 IKEv2,则会提供 Generic 文件夹。 如果未看到 Generic 文件夹,请检查以下各项,然后再次生成 zip 文件。

  • 检查配置的隧道类型。 可能 IKEv2 未选作隧道类型。
  • 验证是否未使用基本 SKU 配置网关。 VPN 网关基本 SKU 不支持 IKEv2。 如果希望 macOS 客户端连接,则必须使用相应的 SKU 和隧道类型重新生成网关。

Generic 文件夹包含以下文件。

  • VpnSettings.xml:包含服务器地址和隧道类型等重要设置。
  • VpnServerRoot.cer:包含在 P2S 连接设置过程中验证 Azure VPN 网关所需的根证书。

安装证书

需要在 Mac 上同时安装有根证书和子证书。 子证书必须使用私钥导出,并且必须包含证书路径中的所有证书。

根证书

  1. 将根证书文件(.cer文件)复制到 Mac。 双击该证书。 证书将自动安装,或者你将看到“添加证书”页面,具体取决于你的操作系统。
  2. 如果看到“添加证书”页面,在“密钥链:”处单击箭头并从下拉列表中选择“登录”。
  3. 单击“添加”以导入文件。

客户端证书

客户端证书(.pfx 证书)用于进行身份验证,并且是必需的。 通常,只需单击客户端证书即可安装。 有关如何安装客户端证书的信息,请参阅安装客户端证书

验证是否已安装证书

验证是否安装了客户端和根证书。

  1. 打开“密钥链访问”。
  2. 转到“证书”选项卡。
  3. 验证是否安装了客户端和根证书。

配置 VPN 客户端配置文件

使用与操作系统版本对应的 Mac 用户指南中的步骤通过以下设置添加 VPN 客户端配置文件配置。

  • 选择“IKEv2”作为 VPN 类型。

  • 对于“显示名称”,请为配置文件选择一个易记名称。

  • 对于“服务器地址”和“远程 ID”,请使用 VpnSettings.xml 文件 VpnServer 标记中的值

    显示单击“选择”的屏幕截图。

  • 对于“身份验证”设置,选择“证书”

  • 对于“证书”,请选择要用于身份验证的子证书。 如有多个证书,可以选择“显示证书”以查看有关每个证书的详细信息。

  • 对于“本地 ID”,请键入所选子证书的名称。

配置完 VPN 客户端配置文件后,保存配置文件。

连接

连接的步骤特定于 macOS 操作系统版本。 请参阅 Mac 用户指南。 选择正在使用的操作系统版本,然后按照步骤建立连接。

建立连接后,状态将显示为“已连接”。 IP 地址是从 VPN 客户端地址池分配的。

后续步骤

继续进行任何其他服务器或连接设置。 请参阅点到站点配置步骤