你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
为用户 VPN P2S 证书身份验证连接配置 Azure VPN 客户端 - Windows
如果将用户 VPN 点到站点 (P2S) VPN 网关配置为使用 OpenVPN 和证书身份验证,则可以使用 Azure OpenVPN 客户端连接到虚拟网络。 本文会指导你完成配置 Azure VPN 客户端并连接到虚拟网络的步骤。
本文适用于 Windows 操作系统客户端。 有关其他 VPN 客户端配置文章的详细信息,请参阅下表:
开始之前
在开始客户端配置步骤之前,请验证是否正在阅读正确的 VPN 客户端配置文章。 下表显示了虚拟 WAN 点到站点 VPN 客户端可用的配置文章。 步骤因身份验证类型、隧道类型和客户端 OS 而有所不同。
| 身份验证方法 | 隧道类型 | 客户端 OS | VPN 客户端 |
|---|---|---|---|
| 证书 | IKEv2、SSTP | Windows | 本机 VPN 客户端 |
| IKEv2 | macOS | 本机 VPN 客户端 | |
| IKEv2 | Linux | strongSwan | |
| OpenVPN | Windows |
Azure VPN 客户端 OpenVPN 客户端版本 2.x OpenVPN 客户端版本 3.x |
|
| OpenVPN | macOS | OpenVPN 客户端 | |
| OpenVPN | iOS | OpenVPN 客户端 | |
| OpenVPN | Linux |
Azure VPN 客户端 OpenVPN 客户端 |
|
| Microsoft Entra ID | OpenVPN | Windows | Azure VPN 客户端 |
| OpenVPN | macOS | Azure VPN 客户端 | |
| OpenVPN | Linux | Azure VPN 客户端 |
先决条件
本文假定你已执行以下先决条件:
- 你已按照创建用户 VPN 点到站点连接一文中的步骤配置了虚拟 WAN。 用户 VPN 配置必须使用证书身份验证和 OpenVPN 隧道类型。
- 你已生成并下载了 VPN 客户端配置文件。 有关生成 VPN 客户端配置文件的配置包的步骤,请参阅生成 VPN 客户端配置文件。
- 你可以生成客户端证书,也可以获取进行身份验证所需的相应客户端证书。
Workflow
本文的工作流如下所示:
- 生成并安装客户端证书(如果尚未这样做)。
- 查看生成的 VPN 客户端配置文件包中包含的 VPN 客户端配置文件。
- 配置 Azure VPN 客户端。
- 连接到 Azure。
安装客户端证书
如果用户 VPN 配置设置配置为证书身份验证,为了进行身份验证,必须在每台连接的客户端计算机上安装客户端证书。 在本文后面,你将指定在本节中安装的客户端证书。 安装的客户端证书必须已连同其私钥一起导出,并且必须包含证书路径中的所有证书。
有关生成客户端证书的步骤,请参阅生成和导出证书。
有关安装客户端证书的步骤,请参阅安装客户端证书。
要查看已安装的客户端证书,请打开“管理用户证书”。 客户端证书安装在“Current User\Personal\Certificates”中。
查看配置文件
VPN 客户端配置文件配置包包含特定文件夹。 文件夹中的文件包含在客户端计算机上配置 VPN 客户端配置文件所需的设置。 它们包含的文件和设置特定于 P2S VPN 网关,以及你的 VPN 网关配置为使用的身份验证和隧道的类型。
找到并解压缩生成的 VPN 客户端配置文件配置包。 对于证书身份验证和 OpenVPN,你将看到 AzureVPN 文件夹。 在此文件夹中,你将看到 azurevpnconfig_cert.xml 文件或 azurevpnconfig.xml 文件,具体取决于 P2S 配置是否包含多种身份验证类型。 .xml 文件包含用于配置 VPN 客户端配置文件的设置。
如果未看到任何一个文件,或者没有 AzureVPN 文件夹,请验证是否已将 VPN 网关配置为使用 OpenVPN 隧道类型,以及是否选择了证书身份验证。
下载 Azure VPN 客户端
使用下列其中一个链接下载最新版本的 Azure VPN 客户端安装文件:
- 使用客户端安装文件安装:https://aka.ms/azvpnclientdownload。
- 在客户端计算机上登录时直接安装:Microsoft Store。
将 Azure VPN 客户端安装到每台计算机。
验证 Azure VPN 客户端是否有权在后台运行。 有关步骤,请参阅 Windows 后台应用。
若要验证已安装的客户端版本,请打开 Azure VPN 客户端。 转到客户端底部并单击“... -> ? 帮助”。 在右窗格中,可以看到客户端版本号。
配置 Azure VPN 客户端配置文件
打开 Azure VPN 客户端。
选择页面左下方的 +,然后选择“导入”。
在窗口中导航到 azurevpnconfig.xml 或 azurevpnconfig_cert.xml 文件,具体取决于配置。 选择该文件,然后选择“打开”。
在客户端配置文件页上,请注意已指定许多设置。 预配置的设置包含在已导入的 VPN 客户端配置文件包中。 即使已指定大部分设置,也需要配置特定于客户端计算机的设置。
从“证书信息”下拉列表中,选择子证书(客户端证书)的名称。 例如,P2SChildCert。 在本练习中,对于次要配置文件,请选择“无”。
如果在“证书信息”下拉列表中没有看到客户端证书,则需要取消配置文件配置导入并解决问题,然后再继续。 有可能发生以下情况之一:
- 客户端证书未本地安装在客户端计算机上。
- 在本地计算机上安装了多个名称完全相同的证书(在测试环境中很常见)。
- 子证书已损坏。
导入验证后(导入时没有错误),选择“保存”。
在左窗格中,找到 VPN 连接,然后选择“连接”。
后续步骤
若要修改其他 P2S 用户 VPN 连接设置,请参阅教程:创建 P2S 用户 VPN 连接。