Sdílet prostřednictvím


Konfigurace Klient Azure VPN – Ověřování certifikátů OpenVPN – Linux (Preview)

Tento článek vám pomůže připojit se k virtuální síti Azure z Klient Azure VPN pro Linux pomocí ověřování certifikátu typu point-to-site (P2S) služby VPN Gateway. Klient Azure VPN pro Linux vyžaduje typ tunelu OpenVPN.

I když je možné, že Klient Azure VPN pro Linux může fungovat v jiných distribucích a verzích Linuxu, Klient Azure VPN pro Linux se podporuje jenom v následujících verzích:

  • Ubuntu 20.04
  • Ubuntu 22.04

Než začnete

Ověřte, že jste ve správném článku. Následující tabulka uvádí články o konfiguraci, které jsou k dispozici pro klienty VPN typu P2S služby Azure VPN Gateway. Postup se liší v závislosti na typu ověřování, typu tunelu a klientském operačním systému.

Metoda ověřování Typ tunelového propojení Operační systém klienta Klient VPN
Certifikát
IKEv2, SSTP Windows Nativní klient VPN
IKEv2 macOS Nativní klient VPN
IKEv2 Linux strongSwan
OpenVPN Windows Klient Azure VPN
Klient OpenVPN verze 2.x
Klient OpenVPN verze 3.x
OpenVPN macOS Klient OpenVPN
OpenVPN iOS Klient OpenVPN
OpenVPN Linux Klient Azure VPN
Klient OpenVPN
Microsoft Entra ID
OpenVPN Windows Klient Azure VPN
OpenVPN macOS Klient Azure VPN
OpenVPN Linux Klient Azure VPN

Požadavky

Tento článek předpokládá, že jste už provedli následující požadavky:

Požadavky na připojení

Pokud se chcete připojit k Azure pomocí ověřování Klient Azure VPN a certifikátu, každý připojující klient vyžaduje následující položky:

  • Na každém klientovi musí být nainstalovaný a nakonfigurovaný software Klient Azure VPN.
  • Klient musí mít nainstalované správné certifikáty místně.

Workflow

Pracovní postup pro tento článek:

  1. Generování a instalace klientských certifikátů
  2. Vyhledejte a zobrazte konfigurační soubory profilu klienta VPN obsažené v konfiguračním balíčku profilu klienta VPN, který jste vygenerovali.
  3. Stáhněte a nakonfigurujte Klient Azure VPN pro Linux.
  4. Připojte se k Azure.

Vygenerování certifikátů

Pro ověřování certifikátů musí být klientský certifikát nainstalovaný na každém klientském počítači. Klientský certifikát, který chcete použít, musí být exportován s privátním klíčem a musí obsahovat všechny certifikáty v cestě k certifikaci. V některých konfiguracích budete také muset nainstalovat informace o kořenovém certifikátu.

Pomocí následujících příkazů vygenerujte data veřejného certifikátu klienta a privátní klíč ve formátu .pem . Ke spuštění příkazů musíte mít veřejný kořenový certifikát caCert.pem a privátní klíč kořenového certifikátu caKey.pem kořenového certifikátu. Další informace najdete v tématu Generování a export certifikátů – Linux – OpenSSL.

export PASSWORD="password"
export USERNAME=$(hostnamectl --static)
 
# Generate a private key
openssl genrsa -out "${USERNAME}Key.pem" 2048 
 
# Generate a CSR
openssl req -new -key "${USERNAME}Key.pem" -out "${USERNAME}Req.pem" -subj "/CN=${USERNAME}" 
 
# Sign the CSR using the CA certificate and key
openssl x509 -req -days 365 -in "${USERNAME}Req.pem" -CA caCert.pem -CAkey caKey.pem -CAcreateserial -out "${USERNAME}Cert.pem" -extfile <(echo -e "subjectAltName=DNS:${USERNAME}\nextendedKeyUsage=clientAuth")

Zobrazení konfiguračních souborů profilu klienta VPN

Když vygenerujete a stáhnete konfigurační balíček profilu klienta VPN, budou všechna potřebná nastavení konfigurace pro klienty VPN obsažena v konfiguračním souboru ZIP profilu klienta VPN. Konfigurační soubory profilu klienta VPN jsou specifické pro konfiguraci brány VPN typu P2S pro virtuální síť. Pokud se po vygenerování souborů, například změn typu protokolu VPN nebo typu ověřování, změníte konfiguraci P2S VPN, musíte vygenerovat nové konfigurační soubory profilu klienta VPN a použít novou konfiguraci pro všechny klienty VPN, které chcete připojit.

Vyhledejte a rozbalte konfigurační balíček profilu klienta VPN, který jste vygenerovali a stáhli (uvedené v části Požadavky). Otevřete složku AzureVPN. V této složce uvidíte soubor azurevpnconfig_cert.xml nebo soubor azurevpnconfig.xml v závislosti na tom, jestli konfigurace P2S obsahuje více typů ověřování. Soubor .xml obsahuje nastavení, která používáte ke konfiguraci profilu klienta VPN.

Pokud žádný soubor nevidíte nebo nemáte složku AzureVPN, ověřte, že je vaše brána VPN nakonfigurovaná tak, aby používala typ tunelu OpenVPN a že je vybrané ověřování certifikátů.

Stažení Klient Azure VPN

Pomocí následujících příkazů přidejte seznam úložišť Microsoft a nainstalujte Klient Azure VPN pro Linux:

# install curl utility
sudo apt-get install curl

# Install Microsoft's public key
curl -sSl https://packages.microsoft.com/keys/microsoft.asc | sudo tee /etc/apt/trusted.gpg.d/microsoft.asc

# Install the production repo list for focal
# For Ubuntu 20.04
curl https://packages.microsoft.com/config/ubuntu/20.04/prod.list | sudo tee /etc/apt/sources.list.d/microsoft-ubuntu-focal-prod.list

# Install the production repo list for jammy
# For Ubuntu 22.04
curl https://packages.microsoft.com/config/ubuntu/22.04/prod.list | sudo tee /etc/apt/sources.list.d/microsoft-ubuntu-jammy-prod.list

sudo apt-get update

sudo apt-get install microsoft-azurevpnclient

Další informace o úložišti naleznete v tématu Linux Software Repository for Microsoft Products.

Konfigurace profilu Klient Azure VPN

  1. Otevřete Klient Azure VPN.

  2. V levém dolním rohu stránky klienta VPN s Linuxem vyberte Importovat.

    Snímek obrazovky Klient Azure VPN pro Linux s importem

  3. V okně přejděte na soubor azurevpnconfig.xml nebo azurevpnconfig_cert.xml , vyberte ho a pak vyberte Otevřít.

  4. Chcete-li přidat veřejná data klientského certifikátu, použijte nástroj pro výběr souboru a vyhledejte související soubory .pem .

    Snímek obrazovky Klient Azure VPN pro Linux s vybranými daty klientského certifikátu

  5. Pokud chcete přidat privátní klíč klientského certifikátu, použijte nástroj pro výběr a vyberte cestu k souborům certifikátu v textových polích pro privátní klíč s příponou souboru .pem.

  6. Po ověření importu (import bez chyb) vyberte Uložit.

  7. V levém podokně vyhledejte profil připojení VPN, který jste vytvořili. Vyberte Připojit.

  8. Po úspěšném připojení klienta se stav zobrazí jako Připojeno se zelenou ikonou.

  9. Souhrn protokolů připojení můžete zobrazit v protokolech stavu na hlavní obrazovce klienta VPN.

    Snímek obrazovky Klient Azure VPN pro Linux s klientem zobrazujícím protokoly stavu

Odinstalace Klient Azure VPN

Pokud chcete odinstalovat Klient Azure VPN, použijte v terminálu následující příkaz:

sudo apt remove microsoft-azurevpnclient

Další kroky

Další kroky najdete v článku Vytvoření připojení VPN Gateway P2S VPN.