本文可帮助你在 macOS 中使用 OpenVPN 客户端通过 VPN 网关点到站点 (P2S) 和证书身份验证连接到 Azure 虚拟网络 (VNet)。
开始之前
在开始配置客户端之前,请验证你是否正在阅读正确的文章。 下表显示了 Azure VPN 网关 P2S VPN 客户端可用的配置文章。 步骤因身份验证类型、隧道类型和客户端 OS 而有所不同。
| 身份验证方法 | 隧道类型 | 客户操作系统 | VPN 客户端 |
|---|---|---|---|
| 证书 | |||
| IKEv2、SSTP | Windows | 本机 VPN 客户端 | |
| IKEv2 | macOS | 本机 VPN 客户端 | |
| IKEv2 | Linux | strongSwan | |
| OpenVPN | Windows | Azure VPN 客户端 OpenVPN 客户端版本 2.x OpenVPN 客户端版本 3.x |
|
| OpenVPN | macOS | OpenVPN 客户端 | |
| OpenVPN | Linux | Azure VPN 客户端 OpenVPN 客户端 |
|
| Microsoft Entra ID | |||
| OpenVPN | Windows | Azure VPN 客户端 | |
| OpenVPN | Linux | Azure VPN 客户端 |
先决条件
本文假定你已执行以下先决条件:
- 你已创建并为 VPN 网关配置点对站点证书身份验证和 OpenVPN 隧道类型。 请参阅为 P2S VPN 网关连接配置服务器设置 - 证书身份验证以获取步骤。
- 你已生成并下载了 VPN 客户端配置文件。 有关步骤,请参阅“生成 VPN 客户端配置文件”。
- 你可以生成客户端证书,也可以获取进行身份验证所需的相应客户端证书。
连接要求
若要使用 OpenVPN 客户端通过证书身份验证连接到 Azure,每个连接客户端都需要以下项:
- 必须在每台客户端上安装和配置 OpenVPN 客户端软件。
- 客户端必须具有本地安装的客户端证书。
工作流
本文的工作流如下:
- 安装 OpenVPN 客户端。
- 查看生成的 VPN 客户端配置文件包中包含的 VPN 客户端配置文件。
- 配置 OpenVPN 客户端。
- 连接到 Azure。
生成客户端证书
对于证书身份验证,必须在每台客户端计算机上安装客户端证书。 要使用的客户端证书必须使用私钥导出,并且必须包含证书路径中的所有证书。
有关使用证书的信息,请参阅点到站点:生成证书 - Linux。
配置 OpenVPN 客户端
以下示例使用 TunnelBlick。
重要
只有 macOS 10.13 及更高版本支持 OpenVPN 协议。
注意
尚不支持 OpenVPN 客户端版本 2.6。
下载并安装 OpenVPN 客户端,如 TunnelBlick。
从 Azure 门户下载 VPN 客户端配置文件包。
解压缩该配置文件。 在某个文本编辑器中打开 OpenVPN 文件夹中的 vpnconfig.ovpn 配置文件。
使用 base64 中的 P2S 客户端证书公钥填写 P2S 客户端证书部分。 在 PEM 格式的证书中,可以打开 .cer 文件并在证书标头之间复制 base64 密钥。
使用 base64 中的 P2S 客户端证书私钥填写私钥部分。 有关如何提取私钥的信息,请参阅 OpenVPN 网站上的导出私钥。
请勿更改任何其他字段。 使用客户端输入中的已填充配置连接到 VPN。
双击配置文件以在 Tunnelblick 中创建配置文件。
启动应用程序文件夹中的 Tunnelblick。
单击系统托盘中的 Tunnelblick 图标,然后单击“连接”。
后续步骤
继续进行其他服务器或连接设置。 请参阅点到站点配置步骤。