为 P2S 证书身份验证连接配置 Windows 本机 VPN 客户端
如果点到站点 (P2S) VPN 网关配置为使用 IKEv2/SSTP 和证书身份验证,则可以使用 Windows 操作系统中的本机 VPN 客户端连接到虚拟网络。 本文会指导你完成配置本机 VPN 客户端并连接到虚拟网络的步骤。
开始之前
本文假定你已执行以下先决条件:
- 你已创建并配置 VPN 网关,用于点到站点证书身份验证和 IKEv2/SSTP 隧道类型。 请参阅为 P2S VPN 网关连接配置服务器设置 - 证书身份验证以获取步骤。
- 你生成了客户端证书并下载了 VPN 客户端配置文件。 请参阅点到站点 VPN 客户端:证书身份验证 - Windows
在开始工作流之前,请验证你是否在正确的 VPN 客户端配置文章中。 下表提供了 VPN 网关点到站点 VPN 客户端可用的配置文章。 步骤因身份验证类型、隧道类型和客户端 OS 而有所不同。
| 身份验证 | 隧道类型 | 生成配置文件 | 配置 VPN 客户端 |
|---|---|---|---|
| Azure 证书 | IKEv2、SSTP | Windows | 本机 VPN 客户端 |
| Azure 证书 | OpenVPN | Windows | - OpenVPN 客户端 - Azure VPN 客户端 |
| Azure 证书 | IKEv2、OpenVPN | macOS-iOS | macOS-iOS |
| Azure 证书 | IKEv2、OpenVPN | Linux | Linux |
| Microsoft Entra ID | OpenVPN (SSL) | Windows | Windows |
| RADIUS - 证书 | - | 文章 | 文章 |
| RADIUS - 密码 | - | 文章 | 文章 |
| RADIUS - 其他方法 | - | 文章 | 文章 |
查看配置文件
VPN 客户端配置文件配置包包含特定文件夹。 文件夹中的文件包含在客户端计算机上配置 VPN 客户端配置文件所需的设置。 它们包含的文件和设置特定于 VPN 网关,以及你的 VPN 网关配置为使用的身份验证和隧道的类型。
找到并解压缩生成的 VPN 客户端配置文件配置包。 对于证书身份验证和 IKEv2/SSTP,你将看到以下文件:
- WindowsAmd64 和 WindowsX86:分别包含 Windows 64 位和 32 位安装程序包。 WindowsAmd64 安装程序包适用于所有受支持的 64 位 Windows 客户端,而不仅仅是 AMD。
- Generic 包含用于创建你自己的 VPN 客户端配置的常规信息。 如果网关上配置了 IKEv2 或 SSTP+IKEv2,会提供 Generic 文件夹。 如果仅配置了 SSTP,则不会提供 Generic 文件夹。
配置 VPN 客户端配置文件
若要连接,首先需要配置具有所需设置的 VPN 客户端。 为此,请使用 VPN 客户端配置包中包含的设置配置 VPN 客户端配置文件。 包中的设置特定于连接到的 VPN 网关。
只要版本与 Windows 客户端的体系结构匹配,就可以在每台客户端计算机上使用相同的 VPN 客户端配置包。 有关支持的客户端操作系统列表,请参阅 VPN 网关常见问题解答中的“点到站点”部分。
注意
在要从其进行连接的 Windows 客户端计算机上,必须拥有管理员权限。
安装 VPN 客户端配置包
- 根据 Windows 计算机的体系结构选择 VPN 客户端配置文件。 对于 64 位处理器体系结构,请选择“VpnClientSetupAmd64”安装程序包。 对于 32 位处理器体系结构,请选择“VpnClientSetupX86”安装程序包。
- 双击所需的包进行安装。 如果看到弹出 SmartScreen,选择“详细信息”,然后选择“仍要运行” 。
安装客户端证书
每个计算机需要一个客户端证书才能执行身份验证。 如果本地计算机上尚未安装客户端证书,可以使用以下步骤安装该证书:
- 找到客户端证书。 有关客户端证书的详细信息,请参阅安装客户端证书。
- 安装客户端证书。 通常,可以通过双击证书文件并提供密码(如果需要)来执行此操作。
连接
通过点到站点 VPN 连接到虚拟网络。
- 前往“VPN”设置,找到你创建的 VPN 连接。 其名称与虚拟网络的名称相同。 选择“连接” 。 可能会出现弹出消息。 选择“继续”,以便使用提升的权限。
- 在“连接”状态页上,选择“连接”以启动连接。 如果看到“选择证书”屏幕,请确保所显示的客户端证书是要用于连接的证书。 如果不是,请使用下拉箭头选择正确的证书,并选择“确定”。