点到站点 VPN 客户端配置工作流:证书身份验证 - Windows
本文会逐步讲解为使用证书身份验证的点到站点 (P2S) 虚拟网络连接配置 VPN 客户端的工作流和步骤。 这些步骤延续了之前配置 VPN 网关点到站点服务器设置的文章。 在本文中,你将生成客户端配置文件并安装用于身份验证的必要客户端证书。
开始之前
本文假定已创建并配置 VPN 网关以进行 P2S 证书身份验证。 请参阅为 P2S VPN 网关连接配置服务器设置 - 证书身份验证以获取步骤。
在开始工作流之前,请验证你是否在正确的文章中。 下表显示了 Azure VPN 网关 P2S VPN 客户端可用的配置文章。 步骤因身份验证类型、隧道类型和客户端 OS 而有所不同。
| 身份验证 | 隧道类型 | 生成配置文件 | 配置 VPN 客户端 |
|---|---|---|---|
| Azure 证书 | IKEv2、SSTP | Windows | 本机 VPN 客户端 |
| Azure 证书 | OpenVPN | Windows | - OpenVPN 客户端 - Azure VPN 客户端 |
| Azure 证书 | IKEv2、OpenVPN | macOS-iOS | macOS-iOS |
| Azure 证书 | IKEv2、OpenVPN | Linux | Linux |
| Microsoft Entra ID | OpenVPN (SSL) | Windows | Windows |
| RADIUS - 证书 | - | 文章 | 文章 |
| RADIUS - 密码 | - | 文章 | 文章 |
| RADIUS - 其他方法 | - | 文章 | 文章 |
Workflow
本文首先生成 VPN 客户端配置文件和客户端证书:
配置 VPN 客户端。 用于配置 VPN 客户端的步骤取决于 P2S VPN 网关的隧道类型,以及客户端计算机上的 VPN 客户端。 提供了特定隧道和相应客户端的配置文章的链接。
- IKEv2 和 SSTP - 本机 VPN 客户端 - 如果 P2S VPN 网关配置为使用 IKEv2/SSTP 和证书身份验证,则请使用 Windows 操作系统中的本机 VPN 客户端连接到 VNet。 此配置不需要其他客户端软件。 有关步骤,请参阅 IKEv2 和 SSTP - 本机 VPN 客户端。
- OpenVPN - Azure VPN 客户端和 OpenVPN 客户端 - 如果 P2S VPN 网关配置为使用 OpenVPN 隧道和证书身份验证,则可以选择使用 Azure VPN 客户端或 OpenVPN 客户端进行连接。
1.生成 VPN 客户端配置文件
VPN 客户端的所有必需配置设置都包含在 VPN 客户端 zip 配置文件中。 可使用 PowerShell 或 Azure 门户生成客户端配置文件。 两种方法之一都会返回相同的 zip 文件。
生成的 VPN 客户端配置文件特定于 VNet 的 P2S VPN 网关配置。 如果生成文件后 P2S VPN 配置有任何更改,例如 VPN 协议类型或身份验证类型出现更改,则需要生成新的 VPN 客户端配置文件,并将新配置应用到所有要连接的 VPN 客户端。 有关 P2S 配置的详细信息,请参阅关于点到站点 VPN。
PowerShell
生成 VPN 客户端配置文件时,“-AuthenticationMethod”的值为“EapTls”。 使用以下命令生成 VPN 客户端配置文件:
$profile=New-AzVpnClientConfiguration -ResourceGroupName "TestRG" -Name "VNet1GW" -AuthenticationMethod "EapTls"
$profile.VPNProfileSASUrl
将 URL 复制到浏览器以下载 zip 文件。
Azure 门户
在 Azure 门户中,转到要连接到的虚拟网络的虚拟网络网关。
在虚拟网络网关页上,选择“点到站点配置”以打开“点到站点配置”页。
在“点到站点配置”页的顶部,选择“下载 VPN 客户端”。 这不会下载 VPN 客户端软件,它将生成用来配置 VPN 客户端的配置包。 需要几分钟才能生成客户端配置包。 在此期间,在包生成前,可能不会显示任何指示。
生成配置包后,浏览器将显示有一个客户端配置 zip 文件可用。 其名称与网关名称相同。
解压缩该文件,查看文件夹。 你将使用其中一些或全部文件来配置 VPN 客户端。 生成的文件对应于你在 P2S 服务器上配置的身份验证和隧道类型设置。
2. 生成客户端证书
对于证书身份验证,必须在每台客户端计算机上安装客户端证书。 要使用的客户端证书必须使用私钥导出,并且必须包含证书路径中的所有证书。 此外,对于某些配置,还需要安装根证书信息。
在许多情况下,可以通过双击直接在客户端计算机上安装客户端证书。 但是,对于某些 OpenVPN 客户端配置,可能需要从客户端证书中提取信息才能完成配置。
- 有关使用证书的信息,请参阅点到站点:生成证书。
- 要查看已安装的客户端证书,请打开“管理用户证书”。 客户端证书安装在“Current User\Personal\Certificates”中。
3. 配置 VPN 客户端
接下来请配置 VPN 客户端。 从以下说明中进行选择:
| 隧道 | VPN 客户端 |
|---|---|
| IKEv2 和 SSTP | 本机 VPN 客户端步骤 |
| OpenVPN | Azure VPN 客户端步骤 |
| OpenVPN | OpenVPN 客户端步骤 |
后续步骤
有关其他步骤,请返回到先前阅读的 P2S 文章。