Konfigurace Klient Azure VPN – Ověřování certifikátů OpenVPN – Linux (Preview)
Tento článek vám pomůže připojit se k virtuální síti Azure z Klient Azure VPN pro Linux pomocí ověřování certifikátu typu point-to-site (P2S) služby VPN Gateway. Klient Azure VPN pro Linux vyžaduje typ tunelu OpenVPN.
I když je možné, že Klient Azure VPN pro Linux může fungovat v jiných distribucích a verzích Linuxu, Klient Azure VPN pro Linux se podporuje jenom v následujících verzích:
- Ubuntu 20.04
- Ubuntu 22.04
Než začnete
Ověřte, že jste ve správném článku. Následující tabulka uvádí články o konfiguraci, které jsou k dispozici pro klienty VPN typu P2S služby Azure VPN Gateway. Postup se liší v závislosti na typu ověřování, typu tunelu a klientském operačním systému.
| Metoda ověřování | Typ tunelového propojení | Operační systém klienta | Klient VPN |
|---|---|---|---|
| Certifikát | |||
| IKEv2, SSTP | Windows | Nativní klient VPN | |
| IKEv2 | macOS | Nativní klient VPN | |
| IKEv2 | Linux | strongSwan | |
| OpenVPN | Windows |
Klient Azure VPN Klient OpenVPN verze 2.x Klient OpenVPN verze 3.x |
|
| OpenVPN | macOS | Klient OpenVPN | |
| OpenVPN | iOS | Klient OpenVPN | |
| OpenVPN | Linux |
Klient Azure VPN Klient OpenVPN |
|
| Microsoft Entra ID | |||
| OpenVPN | Windows | Klient Azure VPN | |
| OpenVPN | macOS | Klient Azure VPN | |
| OpenVPN | Linux | Klient Azure VPN |
Požadavky
Tento článek předpokládá, že jste už provedli následující požadavky:
- Brána VPN je nakonfigurovaná pro ověřování certifikátů typu point-to-site a typ tunelu OpenVPN. Postup najdete v tématu Konfigurace nastavení serveru pro připojení brány VPN Gateway typu P2S – ověřování certifikátů.
- Konfigurační soubory profilu klienta VPN byly generovány a jsou k dispozici. Postup najdete v tématu Generování konfiguračních souborů profilu klienta VPN.
Požadavky na připojení
Pokud se chcete připojit k Azure pomocí ověřování Klient Azure VPN a certifikátu, každý připojující klient vyžaduje následující položky:
- Na každém klientovi musí být nainstalovaný a nakonfigurovaný software Klient Azure VPN.
- Klient musí mít nainstalované správné certifikáty místně.
Workflow
Pracovní postup pro tento článek:
- Generování a instalace klientských certifikátů
- Vyhledejte a zobrazte konfigurační soubory profilu klienta VPN obsažené v konfiguračním balíčku profilu klienta VPN, který jste vygenerovali.
- Stáhněte a nakonfigurujte Klient Azure VPN pro Linux.
- Připojte se k Azure.
Vygenerování certifikátů
Pro ověřování certifikátů musí být klientský certifikát nainstalovaný na každém klientském počítači. Klientský certifikát, který chcete použít, musí být exportován s privátním klíčem a musí obsahovat všechny certifikáty v cestě k certifikaci. V některých konfiguracích budete také muset nainstalovat informace o kořenovém certifikátu.
Pomocí následujících příkazů vygenerujte data veřejného certifikátu klienta a privátní klíč ve formátu .pem . Ke spuštění příkazů musíte mít veřejný kořenový certifikát caCert.pem a privátní klíč kořenového certifikátu caKey.pem kořenového certifikátu. Další informace najdete v tématu Generování a export certifikátů – Linux – OpenSSL.
export PASSWORD="password"
export USERNAME=$(hostnamectl --static)
# Generate a private key
openssl genrsa -out "${USERNAME}Key.pem" 2048
# Generate a CSR
openssl req -new -key "${USERNAME}Key.pem" -out "${USERNAME}Req.pem" -subj "/CN=${USERNAME}"
# Sign the CSR using the CA certificate and key
openssl x509 -req -days 365 -in "${USERNAME}Req.pem" -CA caCert.pem -CAkey caKey.pem -CAcreateserial -out "${USERNAME}Cert.pem" -extfile <(echo -e "subjectAltName=DNS:${USERNAME}\nextendedKeyUsage=clientAuth")
Zobrazení konfiguračních souborů profilu klienta VPN
Když vygenerujete a stáhnete konfigurační balíček profilu klienta VPN, budou všechna potřebná nastavení konfigurace pro klienty VPN obsažena v konfiguračním souboru ZIP profilu klienta VPN. Konfigurační soubory profilu klienta VPN jsou specifické pro konfiguraci brány VPN typu P2S pro virtuální síť. Pokud se po vygenerování souborů, například změn typu protokolu VPN nebo typu ověřování, změníte konfiguraci P2S VPN, musíte vygenerovat nové konfigurační soubory profilu klienta VPN a použít novou konfiguraci pro všechny klienty VPN, které chcete připojit.
Vyhledejte a rozbalte konfigurační balíček profilu klienta VPN, který jste vygenerovali a stáhli (uvedené v části Požadavky). Otevřete složku AzureVPN. V této složce uvidíte soubor azurevpnconfig_cert.xml nebo soubor azurevpnconfig.xml v závislosti na tom, jestli konfigurace P2S obsahuje více typů ověřování. Soubor .xml obsahuje nastavení, která používáte ke konfiguraci profilu klienta VPN.
Pokud žádný soubor nevidíte nebo nemáte složku AzureVPN, ověřte, že je vaše brána VPN nakonfigurovaná tak, aby používala typ tunelu OpenVPN a že je vybrané ověřování certifikátů.
Stažení Klient Azure VPN
Pomocí následujících příkazů přidejte seznam úložišť Microsoft a nainstalujte Klient Azure VPN pro Linux:
# install curl utility
sudo apt-get install curl
# Install Microsoft's public key
curl -sSl https://packages.microsoft.com/keys/microsoft.asc | sudo tee /etc/apt/trusted.gpg.d/microsoft.asc
# Install the production repo list for focal
# For Ubuntu 20.04
curl https://packages.microsoft.com/config/ubuntu/20.04/prod.list | sudo tee /etc/apt/sources.list.d/microsoft-ubuntu-focal-prod.list
# Install the production repo list for jammy
# For Ubuntu 22.04
curl https://packages.microsoft.com/config/ubuntu/22.04/prod.list | sudo tee /etc/apt/sources.list.d/microsoft-ubuntu-jammy-prod.list
sudo apt-get update
sudo apt-get install microsoft-azurevpnclient
Další informace o úložišti naleznete v tématu Linux Software Repository for Microsoft Products.
Konfigurace profilu Klient Azure VPN
Otevřete Klient Azure VPN.
V levém dolním rohu stránky klienta VPN s Linuxem vyberte Importovat.
V okně přejděte na soubor azurevpnconfig.xml nebo azurevpnconfig_cert.xml , vyberte ho a pak vyberte Otevřít.
Chcete-li přidat veřejná data klientského certifikátu, použijte nástroj pro výběr souboru a vyhledejte související soubory .pem .
Pokud chcete přidat privátní klíč klientského certifikátu, použijte nástroj pro výběr a vyberte cestu k souborům certifikátu v textových polích pro privátní klíč s příponou souboru .pem.
Po ověření importu (import bez chyb) vyberte Uložit.
V levém podokně vyhledejte profil připojení VPN, který jste vytvořili. Vyberte Připojit.
Po úspěšném připojení klienta se stav zobrazí jako Připojeno se zelenou ikonou.
Souhrn protokolů připojení můžete zobrazit v protokolech stavu na hlavní obrazovce klienta VPN.
Odinstalace Klient Azure VPN
Pokud chcete odinstalovat Klient Azure VPN, použijte v terminálu následující příkaz:
sudo apt remove microsoft-azurevpnclient
Další kroky
Další kroky najdete v článku Vytvoření připojení VPN Gateway P2S VPN.