Konfigurace klientů OpenVPN Connect 3.x pro připojení ověřování certifikátů VPN uživatele P2S – Windows

Článek
02/04/2025

Pokud je brána VPN typu point-to-site (P2S) nakonfigurovaná tak, aby používala ověřování pomocí OpenVPN a certifikátu, můžete se k virtuální síti připojit pomocí klienta OpenVPN. Tento článek vás provede postupem konfigurace klienta OpenVPN Connect 3.x a připojením k virtuální síti. Mezi klientem OpenVPN 2.x a klientem OpenVPN Connect 3.x existují určité rozdíly v konfiguraci. Tento článek se zaměřuje na klienta OpenVPN Connect 3.x.

Poznámka:

Klient OpenVPN je nezávisle spravovaný a není pod kontrolou Microsoftu. To znamená, že Microsoft nedohlížuje na svůj kód, buildy, plány ani právní aspekty. Pokud zákazníci narazí na jakékoli chyby nebo problémy s klientem OpenVPN, měli by kontaktovat přímo podporu OpenVPN Inc. Pokyny v tomto článku jsou poskytovány tak, jak jsou, a nebyly ověřeny společností OpenVPN Inc. Mají pomoct zákazníkům, kteří už znají klienta a chtějí ho použít k připojení k bráně Azure VPN v nastavení VPN typu point-to-site uživatele.

Než začnete

Než začnete, ujistěte se, že jste nakonfigurovali virtuální síť WAN podle kroků v článku Vytvoření připojení VPN typu point-to-site uživatele. Konfigurace sítě VPN uživatele musí používat ověřování certifikátů.

Požadavky

Tento článek předpokládá, že jste už provedli následující požadavky:

Nakonfigurovali jste virtuální síť WAN podle kroků v článku Vytvoření připojení VPN typu point-to-site uživatele. Konfigurace sítě VPN uživatele musí používat ověřování certifikátů.
Vygenerovali a stáhli jste konfigurační soubory klienta VPN. Postup vygenerování konfiguračního balíčku profilu klienta VPN najdete v tématu Generování konfiguračních souborů klienta VPN.
Můžete buď generovat klientské certifikáty, nebo získat příslušné klientské certifikáty potřebné k ověření.

Požadavky na připojení

Pokud se chcete připojit k Azure pomocí klienta OpenVPN Connect 3.x pomocí ověřování certifikátů, každý připojený klientský počítač vyžaduje následující položky:

Na každém klientském počítači musí být nainstalovaný a nakonfigurovaný klientský software OpenVPN Connect.
Klientský počítač musí mít klientský certifikát, který je nainstalovaný místně.
Pokud řetěz certifikátů obsahuje zprostředkující certifikát, nejprve se podívejte do části Zprostředkující certifikáty a ověřte, že je vaše konfigurace brány VPN typu P2S nastavená tak, aby podporovala tento řetěz certifikátů. Chování ověřování certifikátů pro klienty verze 3.x se liší od předchozích verzí, kde můžete zadat zprostředkující certifikát v profilu klienta.

Workflow

Pracovní postup pro tento článek:

Pokud jste to ještě neudělali, vygenerujte a nainstalujte klientské certifikáty.
Zobrazte konfigurační soubory profilu klienta VPN obsažené v konfiguračním balíčku profilu klienta VPN, který jste vygenerovali.
Nakonfigurujte klienta OpenVPN Connect.
Připojte se k Azure.

Generování a instalace klientských certifikátů

Pro ověřování certifikátů musí být klientský certifikát nainstalovaný na každém klientském počítači. Klientský certifikát, který chcete použít, musí být exportován s privátním klíčem a musí obsahovat všechny certifikáty v cestě k certifikaci. V některých konfiguracích budete také muset nainstalovat informace o kořenovém certifikátu.

V mnoha případech můžete klientský certifikát nainstalovat přímo do klientského počítače poklikáním. U některých konfigurací klienta OpenVPN ale možná budete muset extrahovat informace z klientského certifikátu, aby bylo možné konfiguraci dokončit.

Informace o práci s certifikáty naleznete v tématu Generování a export certifikátů.
Pokud chcete zobrazit nainstalovaný klientský certifikát, otevřete Spravovat uživatelské certifikáty. Klientský certifikát je nainstalován v části Aktuální uživatel\Osobní\Certifikáty.

Instalace klientského certifikátu

Každý počítač potřebuje k ověření klientský certifikát. Pokud klientský certifikát ještě není v místním počítači nainstalovaný, můžete ho nainstalovat pomocí následujícího postupu:

Vyhledejte klientský certifikát. Další informace o klientských certifikátech naleznete v tématu Instalace klientských certifikátů.
Nainstalujte klientský certifikát. Certifikát můžete obvykle nainstalovat poklikáním na soubor certifikátu a zadáním hesla (v případě potřeby).
Klientský certifikát použijete také později v tomto cvičení ke konfiguraci nastavení profilu klienta OpenVPN Connect.

Zobrazení konfiguračních souborů profilu klienta

Konfigurační balíček profilu klienta VPN obsahuje konkrétní složky. Soubory v rámci složek obsahují nastavení potřebná ke konfiguraci profilu klienta VPN v klientském počítači. Soubory a nastavení, která obsahují, jsou specifické pro bránu VPN a typ ověřování a tunelu, které brána VPN používá.

Vyhledejte a rozbalte konfigurační balíček profilu klienta VPN, který jste vygenerovali. U ověřování certifikátů a OpenVPN by se měla zobrazit složka OpenVPN . Pokud složku nevidíte, ověřte následující položky:

Ověřte, že je brána VPN nakonfigurovaná tak, aby používala typ tunelu OpenVPN.
Pokud používáte ověřování Microsoft Entra ID, možná nemáte složku OpenVPN. Místo toho si přečtěte článek o konfiguraci Microsoft Entra ID .

Konfigurace klienta

Stáhněte a nainstalujte klienta OpenVPN verze 3.x z oficiálního webu OpenVPN.
Vyhledejte konfigurační balíček profilu klienta VPN, který jste vygenerovali a stáhli do počítače. Extrahujte balíček. Přejděte do složky OpenVPN a otevřete konfigurační soubor vpnconfig.ovpn pomocí Poznámkového bloku.
Dále vyhledejte podřízený certifikát, který jste vytvořili. Pokud certifikát nemáte, použijte jeden z následujících odkazů k exportu certifikátu. Informace o certifikátu použijete v dalším kroku.
- Pokyny ke službě VPN Gateway
- Pokyny pro Virtual WAN
Z podřízeného certifikátu extrahujte privátní klíč a kryptografický otisk base64 z souboru .pfx. Dá se to udělat několika způsoby. Použití OpenSSL na počítači je jedním ze způsobů. Soubor profileinfo.txt obsahuje privátní klíč a kryptografický otisk certifikační autority a klientského certifikátu. Nezapomeňte použít kryptografický otisk klientského certifikátu.
```
openssl pkcs12 -in "filename.pfx" -nodes -out "profileinfo.txt"
```
Přepněte na soubor vpnconfig.ovpn , který jste otevřeli v Poznámkovém bloku. Vyplňte oddíl mezi oddílem <cert> a </cert>získáním hodnot pro $CLIENT_CERTIFICATE, jak $ROOT_CERTIFICATE je znázorněno v následujícím příkladu.
```
   # P2S client certificate
   # please fill this field with a PEM formatted cert
   <cert>
   $CLIENT_CERTIFICATE
   $ROOT_CERTIFICATE
   </cert>
```
- Otevřete profileinfo.txt z předchozího kroku v Poznámkovém bloku. Jednotlivé certifikáty můžete identifikovat tak, že se podíváte na subject= řádek. Pokud se například podřízený certifikát nazývá P2SChildCert, klientský certifikát bude za atributem subject=CN = P2SChildCert .
- Pro každý certifikát v řetězu zkopírujte text (včetně a mezi) "-----BEGIN CERTIFICATE-----" a "-----END CERTIFICATE-----".
Otevřete profileinfo.txt v Poznámkovém bloku. Pokud chcete získat privátní klíč, vyberte text (včetně a mezi) "-----BEGIN PRIVATE KEY-----" a "-----END PRIVATE KEY-----" a zkopírujte ho.
Vraťte se do souboru vpnconfig.ovpn v Poznámkovém bloku a vyhledejte tuto část. Vložte privátní klíč a nahraďte vše mezi a <key> a </key>.
```
# P2S client root certificate private key
# please fill this field with a PEM formatted key
<key>
$PRIVATEKEY
</key>
```
Zakomentujte řádek "log openvpn.log". Pokud není zakomentován, klient OpenVPN hlásí, že protokol už není podporovanou možností. Příklad okomentování řádku protokolu najdete v příkladu profilu uživatele. Po zakomentování řádku protokolu můžete dál přistupovat k protokolům přes klientské rozhraní OpenVPN. Přístup zobrazíte kliknutím na ikonu protokolu v pravém horním rohu uživatelského rozhraní klienta. Společnost Microsoft doporučuje, aby zákazníci zkontrolovali dokumentaci k připojení OpenVPN pro umístění souboru protokolu, protože protokolování je řízeno klientem OpenVPN.
Neměňte žádná jiná pole. S použitím vyplněné konfigurace ve vstupu klienta se připojte k síti VPN.
Importujte soubor vpnconfig.ovpn v klientovi OpenVPN.
Klikněte pravým tlačítkem myši na ikonu OpenVPN v hlavním panelu systému a klikněte na Připojit.

Příklad profilu uživatele

Následující příklad ukazuje konfigurační soubor profilu uživatele pro klienty 3.x OpenVPN Connect. Tento příklad ukazuje soubor protokolu zakomentovaný a přidanou možnost ping-restart 0, aby se zabránilo pravidelnému opětovnému připojení kvůli tomu, že se klientovi neposílají žádný provoz.

client
remote <vpnGatewayname>.ln.vpn.azure.com 443
verify-x509-name <IdGateway>.ln.vpn.azure.com name
remote-cert-tls server

dev tun
proto tcp
resolv-retry infinite
nobind

auth SHA256
cipher AES-256-GCM
persist-key
persist-tun

tls-timeout 30
tls-version-min 1.2
key-direction 1

#log openvpn.log
#inactive 0
ping-restart 0 
verb 3

# P2S CA root certificate
<ca>
-----BEGIN CERTIFICATE-----
……
……..
……..
……..

-----END CERTIFICATE-----
</ca>

# Pre Shared Key
<tls-auth>
-----BEGIN OpenVPN Static key V1-----
……..
……..
……..

-----END OpenVPN Static key V1-----
</tls-auth>

# P2S client certificate
# Please fill this field with a PEM formatted client certificate
# Alternatively, configure 'cert PATH_TO_CLIENT_CERT' to use input from a PEM certificate file.
<cert>
-----BEGIN CERTIFICATE-----
……..
……..
……..
-----END CERTIFICATE-----
</cert>

# P2S client certificate private key
# Please fill this field with a PEM formatted private key of the client certificate.
# Alternatively, configure 'key PATH_TO_CLIENT_KEY' to use input from a PEM key file.
<key>
-----BEGIN PRIVATE KEY-----
……..
……..
……..
-----END PRIVATE KEY-----
</key>

Zprostředkující certifikáty

Pokud řetěz certifikátů obsahuje zprostředkující certifikáty, musíte zprostředkující certifikáty nahrát do služby Azure VPN Gateway. Toto je upřednostňovaná metoda pro použití bez ohledu na klienta VPN, ze které se rozhodnete připojit. V předchozích verzích můžete v profilu uživatele zadat zprostředkující certifikáty. Klient OpenVPN Connect verze 3.x se už nepodporuje.

Když pracujete s zprostředkujícími certifikáty, musí se zprostředkující certifikát nahrát po kořenovém certifikátu.

Připojí

Pokud dojde k pravidelnému opětovnému připojení kvůli tomu, že se klientovi neodesílají žádný provoz, můžete do profilu přidat možnost ping-restart 0, abyste zabránili odpojení, aby se znovu připojily. Toto je popsáno v dokumentaci openVPN Connect následujícím způsobem: "-ping-restart n Podobný --ping-exit, ale aktivujte SIGUSR1 restartování po n sekundách bez přijetí příkazu ping nebo jiného paketu ze vzdáleného režimu."

Příklad přidání této možnosti najdete v příkladu profilu uživatele.

Další kroky

Proveďte další nastavení serveru nebo připojení. Viz kurz: Vytvoření připojení VPN uživatele P2S.

Sdílet prostřednictvím