Konfigurace klienta OpenVPN 2.x pro připojení ověřování certifikátů VPN uživatele P2S – Windows

Pokud je brána VPN typu point-to-site (P2S) nakonfigurovaná tak, aby používala ověřování pomocí OpenVPN a certifikátu, můžete se k virtuální síti připojit pomocí klienta OpenVPN. Tento článek vás provede postupem konfigurace klienta OpenVPN 2.4 a vyššího a připojení k virtuální síti. Informace o klientech OpenVPN Connect 3.x naleznete v tématu Konfigurace klienta OpenVPN 3.x pro připojení ověřování certifikátů VPN uživatele P2S – Windows.

Poznámka:

Klient OpenVPN je nezávisle spravovaný a není pod kontrolou Microsoftu. To znamená, že Microsoft nedohlížuje na svůj kód, buildy, plány ani právní aspekty. Pokud zákazníci narazí na jakékoli chyby nebo problémy s klientem OpenVPN, měli by kontaktovat přímo podporu OpenVPN Inc. Pokyny v tomto článku jsou poskytovány tak, jak jsou, a nebyly ověřeny společností OpenVPN Inc. Mají pomoct zákazníkům, kteří už znají klienta a chtějí ho použít k připojení ke službě Azure VPN Gateway v nastavení VPN typu point-to-site.

Než začnete

Než začnete, ujistěte se, že jste nakonfigurovali virtuální síť WAN podle kroků v článku Vytvoření připojení VPN typu point-to-site uživatele. Konfigurace sítě VPN uživatele musí používat ověřování certifikátů.

Požadavky

Tento článek předpokládá, že jste už provedli následující požadavky:

• Nakonfigurovali jste virtuální síť WAN podle kroků v článku Vytvoření připojení VPN typu point-to-site uživatele. Konfigurace sítě VPN uživatele musí používat ověřování certifikátů.
• Vygenerovali a stáhli jste konfigurační soubory klienta VPN. Postup vygenerování konfiguračního balíčku profilu klienta VPN najdete v tématu Generování konfiguračních souborů klienta VPN.
• Můžete buď generovat klientské certifikáty, nebo získat příslušné klientské certifikáty potřebné k ověření.

Požadavky na připojení

Pokud se chcete připojit k Azure pomocí klienta OpenVPN pomocí ověřování certifikátů, každý připojený klientský počítač vyžaduje následující položky:

• Na každém klientském počítači musí být nainstalovaný a nakonfigurovaný software Open VPN Client.
• Klientský počítač musí mít klientský certifikát, který je nainstalovaný místně.

Workflow

Pracovní postup pro tento článek:

1. Pokud jste to ještě neudělali, vygenerujte a nainstalujte klientské certifikáty.
2. Zobrazte konfigurační soubory profilu klienta VPN obsažené v konfiguračním balíčku profilu klienta VPN, který jste vygenerovali.
3. Nakonfigurujte klienta OpenVPN.
4. Připojte se k Azure.

Generování a instalace klientských certifikátů

Pro ověřování certifikátů musí být klientský certifikát nainstalovaný na každém klientském počítači. Klientský certifikát, který chcete použít, musí být exportován s privátním klíčem a musí obsahovat všechny certifikáty v cestě k certifikaci. V některých konfiguracích budete také muset nainstalovat informace o kořenovém certifikátu.

V mnoha případech můžete klientský certifikát nainstalovat přímo do klientského počítače poklikáním. Pro určité konfigurace klienta OpenVPN však možná budete muset extrahovat informace z klientského certifikátu, aby bylo možné konfiguraci dokončit.

• Postup vygenerování klientského certifikátu najdete v tématu Generování a export certifikátů.
• Pokud chcete zobrazit nainstalovaný klientský certifikát, otevřete Spravovat uživatelské certifikáty. Klientský certifikát je nainstalován v části Aktuální uživatel\Osobní\Certifikáty.

Instalace klientského certifikátu

Každý počítač potřebuje k ověření klientský certifikát. Pokud klientský certifikát ještě není v místním počítači nainstalovaný, můžete ho nainstalovat pomocí následujícího postupu:

1. Vyhledejte klientský certifikát. Další informace o klientských certifikátech naleznete v tématu Instalace klientských certifikátů.
2. Nainstalujte klientský certifikát. Certifikát můžete obvykle nainstalovat poklikáním na soubor certifikátu a zadáním hesla (v případě potřeby).
3. Klientský certifikát použijete také později v tomto cvičení ke konfiguraci nastavení profilu klienta OpenVPN Connect.

Zobrazení konfiguračních souborů profilu klienta

Konfigurační balíček profilu klienta VPN obsahuje konkrétní složky. Soubory v rámci složek obsahují nastavení potřebná ke konfiguraci profilu klienta VPN v klientském počítači. Soubory a nastavení, která obsahují, jsou specifické pro bránu VPN a typ ověřování a tunelu, které brána VPN používá.

Vyhledejte a rozbalte konfigurační balíček profilu klienta VPN, který jste vygenerovali. U ověřování certifikátů a OpenVPN by se měla zobrazit složka OpenVPN . Pokud složku nevidíte, ověřte následující položky:

• Ověřte, že je brána VPN nakonfigurovaná tak, aby používala typ tunelu OpenVPN.
• Pokud používáte ověřování Microsoft Entra ID, možná nemáte složku OpenVPN. Místo toho si přečtěte článek o konfiguraci Microsoft Entra ID .

Konfigurace klienta

1. Stáhněte a nainstalujte klienta OpenVPN (verze 2.4 nebo vyšší) z oficiálního webu OpenVPN.

2. Vyhledejte konfigurační balíček profilu klienta VPN, který jste vygenerovali a stáhli do počítače. Extrahujte balíček. Přejděte do složky OpenVPN a otevřete konfigurační soubor vpnconfig.ovpn pomocí Poznámkového bloku.

3. Dále vyhledejte podřízený certifikát, který jste vytvořili. Pokud certifikát nemáte, použijte jeden z následujících odkazů k exportu certifikátu. Informace o certifikátu použijete v dalším kroku.

   • Pokyny ke službě VPN Gateway
   • Pokyny pro Virtual WAN

4. Z podřízeného certifikátu extrahujte privátní klíč a kryptografický otisk base64 z souboru .pfx. Dá se to udělat několika způsoby. Použití OpenSSL na počítači je jedním ze způsobů. Soubor profileinfo.txt obsahuje privátní klíč a kryptografický otisk certifikační autority a klientského certifikátu. Nezapomeňte použít kryptografický otisk klientského certifikátu.

   openssl pkcs12 -in "filename.pfx" -nodes -out "profileinfo.txt"
   

5. Přepněte na soubor vpnconfig.ovpn , který jste otevřeli v Poznámkovém bloku. Vyplňte oddíl mezi <cert> a </cert>, získání hodnot pro $CLIENT_CERTIFICATE, $INTERMEDIATE_CERTIFICATEa $ROOT_CERTIFICATE jak je znázorněno v následujícím příkladu.

      # P2S client certificate
      # please fill this field with a PEM formatted cert
      <cert>
      $CLIENT_CERTIFICATE
      $INTERMEDIATE_CERTIFICATE (optional)
      $ROOT_CERTIFICATE
      </cert>
   

   • Otevřete profileinfo.txt z předchozího kroku v Poznámkovém bloku. Jednotlivé certifikáty můžete identifikovat tak, že se podíváte na subject= řádek. Pokud se například podřízený certifikát nazývá P2SChildCert, klientský certifikát bude za atributem subject=CN = P2SChildCert .
   • Pro každý certifikát v řetězu zkopírujte text (včetně a mezi) "-----BEGIN CERTIFICATE-----" a "-----END CERTIFICATE-----".
   • Hodnotu zahrňte $INTERMEDIATE_CERTIFICATE pouze v případě, že máte v souboru profileinfo.txt zprostředkující certifikát.

6. Otevřete profileinfo.txt v Poznámkovém bloku. Pokud chcete získat privátní klíč, vyberte text (včetně a mezi) "-----BEGIN PRIVATE KEY-----" a "-----END PRIVATE KEY-----" a zkopírujte ho.

7. Vraťte se do souboru vpnconfig.ovpn v Poznámkovém bloku a vyhledejte tuto část. Vložte privátní klíč a nahraďte vše mezi a <key> a </key>.

   # P2S client root certificate private key
   # please fill this field with a PEM formatted key
   <key>
   $PRIVATEKEY
   </key>
   

8. Pokud používáte verzi klienta OpenVPN verze 2.6, přidejte do profilu možnost disable-dco. Zdá se, že tato možnost není zpětně kompatibilní s předchozími verzemi, takže by se měla přidat jenom do klienta OpenVPN verze 2.6.

9. Neměňte žádná jiná pole. S použitím vyplněné konfigurace ve vstupu klienta se připojte k síti VPN.

10. Zkopírujte soubor vpnconfig.ovpn do složky C:\Program Files\OpenVPN\config.

11. Klikněte pravým tlačítkem myši na ikonu OpenVPN v hlavním panelu systému a klikněte na Připojit.

Další kroky

Pokud chcete upravit další nastavení připojení VPN uživatele P2S, přečtěte si kurz : Vytvoření připojení VPN uživatele P2S.