生成 VPN 客户端配置文件 - Microsoft Entra ID 身份验证

本文可帮助你生成和提取 VPN 客户端配置文件。 客户端配置文件包含用于配置 VPN 客户端的信息。 本文中的部分介绍了为使用 Microsoft Entra 身份验证的 Azure VPN 网关点到站点配置配置 Azure VPN 客户端配置文件所需的信息。

生成配置文件

可使用 PowerShell 或 Azure 门户生成 VPN 客户端配置文件。 两种方法之一都会返回相同的 zip 文件。

Azure 门户

1. 在 Azure 门户中，转到要连接到的虚拟网络的虚拟网络网关。

2. 在虚拟网络网关页上，选择“点到站点配置”以打开“点到站点配置”页。

3. 在“点到站点配置”页的顶部，选择“下载 VPN 客户端”。 这不会下载 VPN 客户端软件，它将生成用来配置 VPN 客户端的配置包。 需要几分钟才能生成客户端配置包。 在此期间，在包生成前，可能不会显示任何指示。

   

4. 生成配置包后，浏览器将显示有一个客户端配置 zip 文件可用。 其名称与网关名称相同。

5. 解压缩该文件，查看文件夹。 你将使用其中一些或全部文件来配置 VPN 客户端。 生成的文件对应于你在 P2S 服务器上配置的身份验证和隧道类型设置。

PowerShell

若要使用 PowerShell 生成 VPN 客户端配置文件，可以使用以下示例：

生成 VPN 客户端配置文件时，“-AuthenticationMethod”的值为“EapTls”。 使用以下命令生成 VPN 客户端配置文件：

$profile=New-AzVpnClientConfiguration -ResourceGroupName "TestRG" -Name "VNet1GW" -AuthenticationMethod "EapTls"

$profile.VPNProfileSASUrl

将 URL 复制到浏览器以下载 zip 文件。

解压缩 zip 文件

解压缩 zip 文件。 该文件包含以下文件夹：

• AzureVPN：AzureVPN 文件夹包含用于配置 Azure VPN 客户端的 Azurevpnconfig.xml 文件。
• Generic：Generic 文件夹包含公共服务器证书和 VpnSettings.xml 文件。 VpnSettings.xml 文件包含配置通用客户端所需的信息

检索文件信息

在 AzureVPN 文件夹中，转到 azurevpnconfig.xml 文件并使用记事本打开它。 记下以下标记之间的文本。 稍后在配置 Azure VPN 客户端时将使用此信息。

<audience>          </audience>
<issuer>            </issuer>
<tenant>            </tenant>
<fqdn>              </fqdn>
<serversecret>      </serversecret>

配置文件详细信息

添加连接时，请使用在上一步中为配置文件详细信息页面收集的信息。 这些字段对应于以下信息：

• 受众： 标识令牌所针对的接收方资源。
• 颁发者：标识发出令牌的安全令牌服务 (STS) 以及 Microsoft Entra 租户。
• 租户： 包含颁发令牌的目录租户的一个不变的唯一标识符。
• FQDN： Azure VPN 网关上的完全限定的域名 (FQDN)。
• ServerSecret： VPN 网关预共享密钥。

后续步骤

配置 VPN 客户端。

• Windows

有关点到站点的详细信息，请参阅关于点到站点。