Konfigurieren von P2S VPN-Clients: Zertifikatauthentifizierung – nativer VPN-Client – macOS

Wenn Ihr P2S-VPN-Gateway (Point-to-Site) für die Verwendung der IKEv2- und Zertifikatauthentifizierung konfiguriert ist, können Sie mithilfe des systemeigenen VPN-Clients, der Teil Ihres macOS-Betriebssystems ist, eine Verbindung mit Ihrem virtuellen Netzwerk herstellen. Dieser Artikel führt Sie durch die Schritte zum Konfigurieren des nativen VPN-Clients und zum Herstellen einer Verbindung mit Ihrem virtuellen Netzwerk.

Voraussetzungen

Bevor Sie mit der Konfiguration des Clients beginnen, überprüfen Sie, ob Sie sich im richtigen Artikel befinden. In der folgenden Tabelle sind die Konfigurationsartikel aufgeführt, die für Azure VPN Gateway P2S-VPN-Clients verfügbar sind. Die Schritte unterscheiden sich je nach Authentifizierungstyp, Tunneltyp und Clientbetriebssystem.

Authentifizierung Tunneltyp Clientbetriebssystem VPN-Client
Zertifikat
IKEv2, SSTP Windows Nativer VPN-Client
IKEv2 macOS Nativer VPN-Client
IKEv2 Linux strongSwan
OpenVPN Windows Azure VPN Client
OpenVPN-Clientversion 2.x
OpenVPN-Clientversion 3.x
OpenVPN macOS OpenVPN-Client
OpenVPN iOS OpenVPN-Client
OpenVPN Linux Azure VPN Client
OpenVPN-Client
Microsoft Entra ID
OpenVPN Windows Azure VPN Client
OpenVPN macOS Azure VPN Client
OpenVPN Linux Azure VPN Client

Voraussetzungen

In diesem Artikel wird davon ausgegangen, dass Sie bereits die folgenden Voraussetzungen erfüllt haben:

Workflow

Der Workflow für diesen Artikel lautet wie folgt:

  1. Generieren Sie Clientzertifikate, sofern dies noch nicht geschehen ist.
  2. Zeigen Sie die Konfigurationsdateien des VPN-Clientprofils an, die im von Ihnen generierten VPN-Clientprofilkonfigurationspaket enthalten sind.
  3. Installieren Sie Zertifikate.
  4. Konfigurieren Sie den systemeigenen VPN-Client, den ihr Betriebssystem bereits installiert hat.
  5. Herstellen einer Verbindung zu Azure.

Generieren von Zertifikaten

Zur Zertifikatauthentifizierung muss auf jedem Clientcomputer ein Clientzertifikat installiert sein. Das zu verwendende Clientzertifikat muss mit dem privaten Schlüssel exportiert werden und alle Zertifikate im Zertifizierungspfad enthalten. Darüber hinaus müssen Sie für einige Konfigurationen auch Stammzertifikatinformationen installieren.

Informationen zur Verwendung von Zertifikaten finden Sie unter Generieren und Exportieren von Zertifikaten.

Anzeigen von Profilkonfigurationsdateien für den VPN-Client

Alle erforderlichen Konfigurationseinstellungen für die VPN-Clients sind in einer ZIP-Datei für die VPN-Clientprofilkonfiguration enthalten. Sie können Konfigurationsdateien für Clientprofile mithilfe von PowerShell oder mithilfe des Azure-Portals erstellen. Mit beiden Methoden wird die gleiche ZIP-Datei zurückgegeben.

Die Konfigurationsdateien für VPN-Clientprofile gelten speziell für die P2S-VPN-Gatewaykonfiguration für das virtuelle Netzwerk. Wenn nach dem Generieren der Dateien Änderungen an der P2S-VPN-Konfiguration vorgenommen werden, z. B. Änderungen am VPN-Protokolltyp oder am Authentifizierungstyp, müssen Sie neue Konfigurationsdateien für die VPN-Clientprofile generieren und die neue Konfiguration auf alle VPN-Clients anwenden, die Sie verbinden möchten.

Entzippen Sie die Datei, um die Ordner anzuzeigen. Wenn Sie native macOS-Clients konfigurieren, verwenden Sie die Dateien im Ordner Generic. Der Ordner „Generic“ wird bereitgestellt, wenn IKEv2 auf dem Gateway konfiguriert wurde. Wenn der Ordner „Generic“ nicht angezeigt wird, überprüfen Sie die folgenden Elemente, und generieren Sie die ZIP-Datei anschließend erneut.

  • Überprüfen Sie den Tunneltyp für Ihre Konfiguration. Wahrscheinlich wurde IKEv2 nicht als Tunneltyp ausgewählt.
  • Stellen Sie sicher, dass das Gateway nicht mit der Basic-SKU konfiguriert ist. Die Basic-SKU für VPN Gateway unterstützt IKEv2 nicht. Sie müssen das Gateway mit dem entsprechenden SKU- und Tunneltyp neu erstellen, wenn macOS-Clients eine Verbindung herstellen sollen.

Der Ordner Generic enthält die folgenden Dateien.

  • VpnSettings.xml. Diese Datei enthält wichtige Einstellungen wie Serveradresse und Tunneltyp.
  • VpnServerRoot.cer: Diese Datei enthält das Stammzertifikat, das zum Überprüfen des Azure-VPN-Gateways während der P2S-Verbindungseinrichtung erforderlich ist.

Installieren von Zertifikaten

Sowohl das Stammzertifikat als auch das untergeordnete Zertifikat muss auf Ihrem Mac installiert sein. Das untergeordnete Zertifikat muss mit dem privaten Schlüssel exportiert werden und alle Zertifikate im Zertifizierungspfad enthalten.

Stammzertifikat

  1. Kopieren Sie die Stammzertifikatdatei (die CER-Datei) auf Ihren Mac. Doppelklicken Sie auf das Zertifikat. Je nach Betriebssystem wird das Zertifikat entweder automatisch installiert, oder die Seite Zertifikate hinzufügen wird angezeigt.
  2. Wenn Sie die Seite Zertifikate hinzufügen sehen, klicken Sie für Keychain: auf die Pfeile und wählen im Dropdownmenü Anmelden aus.
  3. Klicken Sie auf Hinzufügen, um die Datei zu importieren.

Clientzertifikat

Ein Clientzertifikat (PFX-Datei) wird für die Authentifizierung verwendet und ist erforderlich. Normalerweise müssen Sie nur auf das Clientzertifikat klicken, um es zu installieren. Weitere Informationen zum Installieren eines Clientzertifikats finden Sie unter Installieren eines Clientzertifikats.

Überprüfen der Zertifikatinstallation

Stellen Sie sicher, dass sowohl das Client- als auch das Stammzertifikat installiert sind.

  1. Öffnen Sie Keychainzugriff.
  2. Wechseln Sie zur Registerkarte Zertifikate.
  3. Stellen Sie sicher, dass sowohl das Client- als auch das Stammzertifikat installiert sind.

Konfigurieren des VPN-Clientprofils

Führen Sie die Schritte im Mac-Benutzerhandbuch aus, die für Ihre Betriebssystemversion geeignet sind, um eine VPN-Clientprofilkonfiguration mit den folgenden Einstellungen hinzuzufügen.

  • Wählen Sie IKEv2 als VPN-Typ aus.

  • Wählen Sie für Anzeigename einen Anzeigenamen für das Profil aus.

  • Verwenden Sie für Serveradresse und Remote-ID den Wert aus dem VpnServer-Tag in der VpnSettings.xml-Datei.

    Screenshot mit Klicken auf „Aufwählen“.

  • Wählen Sie für Authentifizierungseinstellungen die Option Zertifikat aus.

  • Wählen Sie für das Zertifikat das untergeordnete Zertifikat aus, das Sie für die Authentifizierung verwenden möchten. Wenn Sie über mehrere Zertifikate verfügen, können Sie Zertifikat anzeigen auswählen, um weitere Informationen zu den einzelnen Zertifikaten anzuzeigen.

  • Geben Sie für Lokale ID den Namen des ausgewählten untergeordneten Zertifikats ein.

Nachdem Sie die Konfiguration des VPN-Clientprofils abgeschlossen haben, speichern Sie das Profil.

Verbinden

Die Schritte zum Herstellen einer Verbindung sind spezifisch für die macOS-Betriebssystemversion. Weitere Informationen finden Sie im Mac-Benutzerhandbuch. Wählen Sie die verwendete Betriebssystemversion aus, und führen Sie die Schritte aus, um eine Verbindung herzustellen.

Sobald die Verbindung hergestellt wurde, ändert sich der Status in Verbunden. Die IP-Adresse wird vom VPN-Clientadresspool zugewiesen.

Nächste Schritte

Stellen Sie dann alle zusätzlichen Server- oder Verbindungseinstellungen ein. Weitere Informationen unter Point-to-Site-Konfigurationsschritte.