P2S VPN クライアントの構成: 証明書認証 - ネイティブ VPN クライアント - macOS
ポイント対サイト (P2S) VPN Gateway が IKEv2 と証明書認証を使用するように構成されている場合、macOS オペレーティング システムの一部であるネイティブ VPN クライアントを使用して、仮想ネットワークに接続できます。 この記事では、ネイティブ VPN クライアントを構成し、仮想ネットワークに接続する手順について説明します。
開始する前に
クライアントの構成を開始する前に、お読みになっている記事が適切かをご確認ください。 次の表は、Azure VPN Gateway P2S VPN クライアントで使用できる構成記事を示しています。 手順は、認証の種類、トンネルの種類、クライアント OS によって異なります。
| 認証 | トンネルの種類 | クライアントの OS | VPN client |
|---|---|---|---|
| 証明書 | |||
| IKEv2、SSTP | Windows | ネイティブ VPN クライアント | |
| IKEv2 | macOS | ネイティブ VPN クライアント | |
| IKEv2 | Linux | strongSwan | |
| OpenVPN | Windows | Azure VPN クライアント OpenVPN クライアント バージョン 2.x OpenVPN クライアント バージョン 3.x |
|
| OpenVPN | macOS | OpenVPN クライアント | |
| OpenVPN | iOS | OpenVPN クライアント | |
| OpenVPN | Linux | Azure VPN クライアント OpenVPN クライアント |
|
| Microsoft Entra ID | |||
| OpenVPN | Windows | Azure VPN クライアント | |
| OpenVPN | macOS | Azure VPN クライアント | |
| OpenVPN | Linux | Azure VPN クライアント |
前提条件
この記事では、次の前提条件が既に実行されていることを前提としています。
- ポイント対サイト証明書認証と OpenVPN トンネルの種類用に VPN ゲートウェイを作成して構成しました。 手順については、「P2S VPN Gateway 接続用にサーバー設定を構成する - 証明書認証」を参照してください。
- VPN クライアント構成ファイルを生成し、ダウンロードした。 手順については、「VPN クライアント プロファイル構成ファイルを生成する」を参照してください。
- クライアント証明書を生成できる、または認証に必要な適切なクライアント証明書を取得できる。
ワークフロー
この記事のワークフローは次のとおりです。
- クライアント証明書をまだ生成していない場合は生成する。
- 生成した VPN クライアント プロファイル構成パッケージに含まれている VPN クライアント プロファイル構成ファイルを表示する。
- 証明書をインストールする。
- OS に既にインストールされているネイティブ VPN クライアントを構成する。
- Azure に接続します。
証明書の生成
証明書認証の場合は、1 つのクライアント証明書を各クライアント コンピューターにインストールする必要があります。 使用するクライアント証明書は秘密キーを含めてエクスポートし、証明書パスにすべての証明書が含まれている必要があります。 さらに、一部の構成では、ルート証明書情報もインストールする必要があります。
証明書の操作の詳細については、「証明書の生成とエクスポート」を参照してください。
VPN クライアント プロファイル構成ファイルを表示する
VPN クライアントに必要なすべての構成設定は、VPN クライアント プロファイル構成 zip ファイルに含まれています。 PowerShell または Azure portal を使用して、クライアント プロファイル構成ファイルを生成できます。 どちらの方法でも、同じ zip ファイルが返されます。
VPN クライアント プロファイル構成ファイルは、仮想ネットワークの P2S VPN ゲートウェイ構成に特化しています。 ファイルを生成した後に、P2S VPN 構成に変更があった場合は (VPN プロトコルの種類や認証の種類の変更など)、新しい VPN クライアント プロファイル構成ファイルを生成し、接続するすべての VPN クライアントに新しい構成を適用する必要があります。
そのファイルを解凍して、フォルダーを表示します。 macOS ネイティブ クライアントを構成する場合は、Generic フォルダー内のファイルを使用します。 Generic フォルダーが存在するのは、IKEv2 をゲートウェイに構成した場合です。 Generic フォルダーが表示されない場合は、次の項目を確認してから、もう一度 zip ファイルを生成します。
- 構成のトンネルの種類を確認します。 IKEv2 がトンネルの種類として選択されていない可能性があります。
- ゲートウェイが Basic SKU で構成されていないことを確認します。 VPN Gateway Basic SKU は IKEv2 をサポートしていません。 macOS クライアントを接続する場合は、適切な SKU とトンネルの種類を使用してゲートウェイを再構築する必要があります。
Generic フォルダーには、次のファイルが含まれています。
- VpnSettings.xml。サーバー アドレスやトンネルの種類など、重要な設定が含まれています。
- VpnServerRoot.cer。P2S 接続の設定中に Azure VPN Gateway を検証するために必要なルート証明書が含まれています。
証明書をインストールする
ルート証明書と子証明書の両方が Mac にインストールされている必要があります。 子証明書は秘密キーを含めてエクスポートし、証明書パスにすべての証明書が含まれている必要があります。
ルート証明書
- ルート証明書ファイル (.cer ファイル) を Mac にコピーします。 証明書をダブルクリックする お使いのオペレーティング システムに応じて、証明書が自動的にインストールされるか、[証明書の追加] ページが表示されます。
- [証明書の追加] ページが表示される場合は、[キーチェーン] で矢印をクリックし、ドロップダウンから [ログイン] を選択します。
- [追加] をクリックしてファイルをインポートします。
クライアント証明書
クライアント証明書 (.pfx ファイル) は認証に使用され、必須です。 通常は、クライアント証明書をクリックするだけでインストールできます。 クライアント証明書のインストール方法については、クライアント証明書のインストールに関するページを参照してください。
証明書がインストールされていることを確認する
クライアント証明書とルート証明書の両方がインストールされていることを確認します。
- [キーチェーン アクセス] を開きます。
- [証明書] タブに移動します。
- クライアント証明書とルート証明書の両方がインストールされていることを確認します。
VPN クライアント プロファイルを構成する
オペレーティング システムのバージョンに適した「Mac ユーザー ガイド」の手順を使用して、次の設定で VPN クライアント プロファイル構成を追加します。
VPN の種類として IKEv2 を選択します。
[表示名] で、プロファイルのフレンドリ名を選択します。
[サーバー アドレス] と [リモート ID] の両方に対して、VpnSettings.xml ファイルの VpnServer タグの値を使用します。
![[選択] のクリックを示すスクリーンショット。](media/point-to-site-vpn-client-cert-mac/vpn-server.png)
[認証] 設定で、[証明書] を選択します。
[証明書] で、認証に使用する子証明書を選択します。 複数の証明書がある場合は、[証明書の表示] を選択して、各証明書の詳細を確認できます。
[ローカル ID] に、選択した子証明書の名前を入力します。
![[選択] のクリックを示すスクリーンショット。](media/point-to-site-vpn-client-cert-mac/vpn-server.png#lightbox)
VPN クライアント プロファイルの構成が完了したら、プロファイルを保存します。
のインスタンスに接続するときには、
接続する手順は、macOS オペレーティング システムのバージョンに固有です。 「Mac ユーザー ガイド」を参照してください。 使用しているオペレーティング システムのバージョンを選択し、手順に従って接続します。
接続が確立されると、状態は [接続済み] と表示されます。 IP アドレスは、VPN クライアント アドレス プールから割り当てられます。
次のステップ
引き続き、追加のサーバーや接続の設定を行います。 「ポイント対サイトの構成の手順」を参照してください。