Share via

P2S-gebruikers-VPN-clients configureren: certificaatverificatie - systeemeigen VPN-client - macOS

  • Artikel

Als uw punt-naar-site-VPN-gateway (P2S) is geconfigureerd voor het gebruik van IKEv2 en certificaatverificatie, kunt u verbinding maken met uw virtuele netwerk met behulp van de systeemeigen VPN-client die deel uitmaakt van uw macOS-besturingssysteem. In dit artikel wordt u begeleid bij de stappen voor het configureren van de systeemeigen VPN-client en het maken van verbinding met uw virtuele netwerk.

Vereisten

In dit artikel wordt ervan uitgegaan dat u de volgende vereisten al hebt uitgevoerd:

  • U hebt de benodigde configuratiestappen in de zelfstudie voltooid: Een P2S-gebruikers-VPN-verbinding maken met behulp van Azure Virtual WAN.

  • U hebt de configuratiebestanden van de VPN-client gegenereerd en gedownload. De CONFIGURATIEbestanden van de VPN-client die u genereert, zijn specifiek voor het VPN-profiel van de Virtual WAN-gebruiker dat u downloadt.

    Virtual WAN heeft twee verschillende typen configuratieprofielen: WAN-niveau (globaal) en hubniveau. Zie Vpn-profielen voor globale en hubs downloaden voor meer informatie. Als er wijzigingen zijn aangebracht in de P2S VPN-configuratie nadat u de bestanden hebt gegenereerd of als u overgaat op een ander profieltype, moet u nieuwe configuratiebestanden voor de VPN-client genereren en de nieuwe configuratie toepassen op alle VPN-clients die u wilt verbinden.

  • U hebt de benodigde certificaten verkregen. U kunt clientcertificaten genereren of de juiste clientcertificaten verkrijgen die nodig zijn voor verificatie. Zorg ervoor dat u zowel het clientcertificaat als de basisservercertificaatgegevens hebt.

Connectiviteitsvereisten

Als u verbinding wilt maken met Azure met behulp van de systeemeigen VPN-clientsoftware en certificaatverificatie, heeft elke verbindingsclient de volgende items nodig:

  • De client moet een clientcertificaat hebben dat lokaal is geïnstalleerd.
  • Op de client moet een ondersteunde versie van macOS worden uitgevoerd.

Workflow

De werkstroom voor dit artikel is als volgt:

  1. Genereer clientcertificaten als u dit nog niet hebt gedaan.
  2. Bekijk de configuratiebestanden van het VPN-clientprofiel in het configuratiepakket voor het VPN-clientprofiel dat u hebt gegenereerd.
  3. Installeer certificaten.
  4. Configureer de systeemeigen VPN-client die uw besturingssysteem al heeft geïnstalleerd.
  5. Verbinding maken met Azure.

Certificaten genereren

Voor certificaatverificatie moet een clientcertificaat op elke clientcomputer worden geïnstalleerd. Het clientcertificaat dat u wilt gebruiken, moet worden geëxporteerd met de persoonlijke sleutel en moet alle certificaten in het certificeringspad bevatten. Daarnaast moet u voor sommige configuraties ook informatie over het basiscertificaat installeren.

Zie Certificaten genereren en exporteren voor meer informatie over het werken met certificaten.

De configuratiebestanden van het VPN-clientprofiel weergeven

Alle benodigde configuratie-instellingen voor de VPN-clients bevinden zich in een ZIP-bestand voor de configuratie van een VPN-clientprofiel. U kunt configuratiebestanden voor clientprofielen genereren met behulp van PowerShell of met behulp van Azure Portal. Met beide methoden wordt hetzelfde zip-bestand geretourneerd.

De configuratiebestanden voor het VPN-clientprofiel zijn specifiek voor de configuratie van de P2S VPN-gateway voor het virtuele netwerk. Als er wijzigingen zijn aangebracht in de P2S VPN-configuratie nadat u de bestanden hebt gegenereerd, zoals wijzigingen in het VPN-protocoltype of verificatietype, moet u nieuwe configuratiebestanden voor vpn-clientprofielen genereren en de nieuwe configuratie toepassen op alle VPN-clients die u wilt verbinden.

Pak het bestand uit om de mappen weer te geven. Wanneer u systeemeigen macOS-clients configureert, gebruikt u de bestanden in de map Algemeen . De algemene map is aanwezig als IKEv2 is geconfigureerd op de gateway. Als u de map Algemeen niet ziet, controleert u de volgende items en genereert u het zip-bestand opnieuw.

  • Controleer het tunneltype voor uw configuratie. Waarschijnlijk is IKEv2 niet geselecteerd als tunneltype.

De map Algemeen bevat de volgende bestanden.

  • VpnSettings.xml, die belangrijke instellingen bevat, zoals serveradres en tunneltype.
  • VpnServerRoot.cer, dat het basiscertificaat bevat dat is vereist voor het valideren van de Azure VPN-gateway tijdens het instellen van de P2S-verbinding.

Certificaten installeren

U hebt zowel het basiscertificaat als het onderliggende certificaat op uw Mac nodig. Het onderliggende certificaat moet worden geëxporteerd met de persoonlijke sleutel en moet alle certificaten in het certificeringspad bevatten.

Basiscertificaat

  1. Kopieer het basiscertificaatbestand (het .cer-bestand) naar uw Mac. Dubbelklik op het certificaat. Afhankelijk van uw besturingssysteem wordt het certificaat automatisch geïnstalleerd of ziet u de pagina Certificaten toevoegen.
  2. Als u de pagina Certificaten toevoegen ziet, klikt u opde pijlen en selecteert u aanmelden in de vervolgkeuzelijst.
  3. Klik op Toevoegen om het bestand te importeren.

Clientcertificaat

Het clientcertificaat (PFX-bestand) wordt gebruikt voor verificatie en is vereist. Normaal gesproken kunt u op het clientcertificaat klikken om te installeren.

Controleren of certificaten zijn geïnstalleerd

Controleer of zowel de client als het basiscertificaat zijn geïnstalleerd.

  1. Open Sleutelhangertoegang.
  2. Ga naar het tabblad Certificaten .
  3. Controleer of zowel de client als het basiscertificaat zijn geïnstalleerd.

VPN-clientprofiel configureren

Gebruik de stappen in de Mac-gebruikershandleiding die geschikt zijn voor de versie van uw besturingssysteem om een configuratie van een VPN-clientprofiel toe te voegen met de volgende instellingen.

  • Selecteer IKEv2 als het VPN-type.

  • Selecteer voor Weergavenaam een beschrijvende naam voor het profiel.

  • Gebruik voor zowel serveradres als externe id de waarde van de VpnServer-tag in het VpnSettings.xml-bestand .

    Schermopname om op Selecteren te klikken.

  • Selecteer Certificaat voor verificatie-instellingen.

  • Kies voor het certificaat het onderliggende certificaat dat u wilt gebruiken voor verificatie. Als u meerdere certificaten hebt, kunt u Certificaat weergeven selecteren voor meer informatie over elk certificaat.

  • Typ bij Lokale id de naam van het onderliggende certificaat dat u hebt geselecteerd.

Nadat u klaar bent met het configureren van het VPN-clientprofiel, slaat u het profiel op.

Verbinden

De stappen om verbinding te maken zijn specifiek voor de versie van het macOS-besturingssysteem. Raadpleeg de Mac-gebruikershandleiding. Selecteer de versie van het besturingssysteem die u gebruikt en volg de stappen om verbinding te maken.

Zodra de verbinding tot stand is gebracht, wordt de status weergegeven als Verbonden. Het IP-adres wordt toegewezen vanuit de VPN-clientadresgroep.

Volgende stappen

Volg de aanvullende server- of verbindingsinstellingen op. Zie zelfstudie: Een P2S-gebruikers-VPN-verbinding maken met behulp van Azure Virtual WAN.