Konfigurieren des systemeigenen VPN-Clientclients für P2S-Zertifikatauthentifizierungsverbindungen – Windows
Wenn Ihr P2S-VPN-Gateway (Point-to-Site) für die Verwendung der IKEv2/SSTP- und Zertifikatauthentifizierung konfiguriert ist, können Sie mithilfe des systemeigenen VPN-Clients, der Teil Ihres Windows-Betriebssystems ist, eine Verbindung mit Ihrem virtuellen Netzwerk herstellen. Dieser Artikel führt Sie durch die Schritte zum Konfigurieren des nativen VPN-Clients und zum Herstellen einer Verbindung mit Ihrem virtuellen Netzwerk.
Voraussetzungen
Vergewissern Sie sich vor Beginn der Clientkonfigurationsschritte, dass Sie sich im richtigen Artikel zur VPN-Clientkonfiguration befinden. In der folgenden Tabelle sind die Konfigurationsartikel aufgeführt, die für VPN Gateway-P2S-VPN-Clients verfügbar sind. Die Schritte unterscheiden sich je nach Authentifizierungstyp, Tunneltyp und Clientbetriebssystem.
| Authentifizierung | Tunneltyp | Clientbetriebssystem | VPN-Client |
|---|---|---|---|
| Zertifikat | |||
| IKEv2, SSTP | Windows | Nativer VPN-Client | |
| IKEv2 | macOS | Nativer VPN-Client | |
| IKEv2 | Linux | strongSwan | |
| OpenVPN | Windows | Azure VPN Client OpenVPN-Clientversion 2.x OpenVPN-Clientversion 3.x |
|
| OpenVPN | macOS | OpenVPN-Client | |
| OpenVPN | iOS | OpenVPN-Client | |
| OpenVPN | Linux | Azure VPN Client OpenVPN-Client |
|
| Microsoft Entra ID | |||
| OpenVPN | Windows | Azure VPN Client | |
| OpenVPN | macOS | Azure VPN Client | |
| OpenVPN | Linux | Azure VPN Client |
Voraussetzungen
In diesem Artikel wird davon ausgegangen, dass Sie bereits die folgenden Voraussetzungen erfüllt haben:
- Sie haben Ihr VPN-Gateway für die Point-to-Site-Zertifikatauthentifizierung und einen IKEv2/SSTP-Tunneltyp erstellt und konfiguriert. Die Schritte finden Sie unter Konfigurieren von Servereinstellungen für P2S-VPN-Gatewayverbindungen – Zertifikatauthentifizierung.
- Sie haben die VPN-Clientkonfigurationsdateien generiert und heruntergeladen. Unter Generieren von Profilkonfigurationsdateien für den VPN-Client finden Sie Informationen zu den Schritten.
- Sie können entweder Clientzertifikate generieren oder die entsprechenden Clientzertifikate erwerben, die für die Authentifizierung erforderlich sind.
Workflow
Der Workflow für diesen Artikel lautet wie folgt:
- Generieren und installieren Sie Clientzertifikate, sofern dies noch nicht geschehen ist.
- Zeigen Sie die Konfigurationsdateien des VPN-Clientprofils an, die im von Ihnen generierten VPN-Clientprofilkonfigurationspaket enthalten sind.
- Konfigurieren Sie den systemeigenen VPN-Client, der bereits auf Ihrem Windows-Computer installiert ist.
- Herstellen einer Verbindung zu Azure.
Generieren und Installieren von Clientzertifikaten
Für die Zertifikatauthentifizierung muss auf jedem Clientcomputer ein Clientzertifikat installiert sein. Das zu verwendende Clientzertifikat muss mit dem privaten Schlüssel exportiert werden und alle Zertifikate im Zertifizierungspfad enthalten. Darüber hinaus müssen Sie für einige Konfigurationen auch Stammzertifikatinformationen installieren.
In vielen Fällen können Sie das Clientzertifikat durch Doppelklicken direkt auf dem Clientcomputer installieren. Für bestimmte OpenVPN-Clientkonfigurationen müssen Sie jedoch möglicherweise Informationen aus dem Clientzertifikat extrahieren, um die Konfiguration abzuschließen.
- Informationen zur Verwendung von Zertifikaten finden Sie unter Generieren und Exportieren von Zertifikaten für Point-to-Site-Verbindungen mithilfe von PowerShell.
- Öffnen Sie Benutzerzertifikate verwalten, um ein installiertes Clientzertifikat anzuzeigen. Das Clientzertifikat ist unter Current User\Personal\Certificates gespeichert.
Installieren des Clientzertifikats
Jeder Computer benötigt ein Clientzertifikat, um sich zu authentifizieren. Wenn das Clientzertifikat noch nicht auf dem lokalen Computer installiert ist, können Sie es mit den folgenden Schritten installieren:
- Suchen Sie das Clientzertifikat. Weitere Informationen zu Clientzertifikaten finden Sie unter Installieren von Clientzertifikaten.
- Installieren Sie das Clientzertifikat. In der Regel können Sie dazu auf die Zertifikatdatei doppelklicken und (bei Bedarf) ein Kennwort angeben.
Konfigurationsdateien ansehen
Das VPN-Clientprofilkonfigurationspaket enthält bestimmte Ordner. Die Dateien in den Ordnern enthalten die Einstellungen, die zum Konfigurieren des VPN-Clientprofils auf dem Clientcomputer erforderlich sind. Die Dateien und die darin enthaltenen Einstellungen sind spezifisch für das VPN-Gateway und den Typ der Authentifizierung und des Tunnels, der für die Verwendung für Ihr VPN-Gateway konfiguriert ist.
Suchen und entzippen Sie das von Ihnen generierte VPN-Clientprofilkonfigurationspaket. Für die Zertifikatauthentifizierung und IKEv2/SSTP werden die folgenden Dateien angezeigt:
- WindowsAmd64 und WindowsX86 enthalten das Windows-64-Bit- bzw. das 32-Bit-Installer-Paket. Das Installer-Paket WindowsAmd64 gilt nicht nur für AMD, sondern für alle unterstützten 64-Bit-Windows-Clients.
- Allgemein enthält allgemeine Informationen zum Erstellen Ihrer eigenen VPN-Clientkonfiguration. Der Ordner „Allgemein“ wird bereitgestellt, wenn für das Gateway IKEv2 oder SSTP und IKEv2 konfiguriert wurde. Wenn nur SSTP konfiguriert ist, ist der Ordner „Allgemein“ nicht vorhanden.
Konfigurieren des VPN-Clientprofils
Um eine Verbindung herzustellen, müssen Sie zuerst den VPN-Client mit den erforderlichen Einstellungen konfigurieren. Dazu konfigurieren Sie das VPN-Clientprofil mithilfe der Einstellungen, die im VPN-Clientkonfigurationspaket enthalten sind. Die Einstellungen im Paket sind spezifisch für das VPN-Gateway, mit dem Sie eine Verbindung herstellen.
Sie können auf jedem Windows-Clientcomputer das gleiche VPN-Clientkonfigurationspaket verwenden – vorausgesetzt, es handelt sich dabei um die passende Version für die Architektur des jeweiligen Clients. Die Liste mit den unterstützten Clientbetriebssystemen finden Sie im Abschnitt Point-to-Site-Verbindungen der häufig gestellten Fragen zu VPN Gateway.
Hinweis
Sie müssen über Administratorrechte auf dem Windows-Clientcomputer verfügen, von dem Sie eine Verbindung herstellen.
Installieren des VPN-Clientkonfigurationspakets
- Wählen Sie die VPN-Clientkonfigurationsdateien, die der Architektur des Windows-Computers entsprechen. Wählen Sie für eine 64-Bit-Prozessorarchitektur das Installer-Paket „VpnClientSetupAmd64“ aus. Wählen Sie für eine 32-Bit-Prozessorarchitektur das Installer-Paket „VpnClientSetupX86“ aus.
- Doppelklicken Sie auf das Paket, um es zu installieren. Sollte eine SmartScreen-Popupmeldung angezeigt werden, wählen Sie Weitere Informationen und anschließend Trotzdem ausführen aus.
Verbinden
Stellen Sie eine Verbindung mit Ihrem virtuellen Netzwerk über das Point-to-Site-VPN her.
- Navigieren Sie zu den VPN-Einstellungen, und suchen Sie die von Ihnen erstellte VPN-Verbindung. Sie hat den gleichen Namen wie das virtuelle Netzwerk. Wählen Sie Verbinden. Möglicherweise wird eine Popupnachricht angezeigt. Wählen Sie Weiter aus, um erhöhte Rechte zu verwenden.
- Wählen Sie auf der Seite Verbindungsstatus die Option Verbinden aus, um die Verbindung herzustellen. Wenn der Bildschirm Zertifikat auswählen angezeigt wird, vergewissern Sie sich, dass das angezeigte Clientzertifikat dem Zertifikat entspricht, die Sie zum Herstellen der Verbindung verwenden möchten. Ist dies nicht der Fall, verwenden Sie den Dropdownpfeil, um das richtige Zertifikat auszuwählen, und wählen Sie dann OK aus.
Nächste Schritte
Stellen Sie dann alle zusätzlichen Server- oder Verbindungseinstellungen ein. Weitere Informationen unter Point-to-Site-Konfigurationsschritte.