Sdílet prostřednictvím


Konfigurace klienta OpenVPN pro připojení ověřování certifikátů P2S – Linux

Tento článek vám pomůže připojit se k virtuální síti Azure pomocí brány VPN Gateway typu point-to-site (P2S) a ověřování certifikátů z Linuxu pomocí klienta OpenVPN.

Než začnete

Ověřte, že jste ve správném článku. Následující tabulka uvádí články o konfiguraci, které jsou k dispozici pro klienty VPN typu P2S služby Azure VPN Gateway. Postup se liší v závislosti na typu ověřování, typu tunelu a klientském operačním systému.

Ověřování Typ tunelového propojení Operační systém klienta Klient VPN
Certifikát
IKEv2, SSTP Windows Nativní klient VPN
IKEv2 macOS Nativní klient VPN
IKEv2 Linux strongSwan
OpenVPN Windows Klient Azure VPN
Klient OpenVPN verze 2.x
Klient OpenVPN verze 3.x
OpenVPN macOS Klient OpenVPN
OpenVPN iOS Klient OpenVPN
OpenVPN Linux Klient Azure VPN
Klient OpenVPN
Microsoft Entra ID
OpenVPN Windows Klient Azure VPN
OpenVPN macOS Klient Azure VPN
OpenVPN Linux Klient Azure VPN

Požadavky

Tento článek předpokládá, že jste už provedli následující požadavky:

Požadavky na připojení

Pokud se chcete připojit k Azure pomocí klienta OpenVPN pomocí ověřování certifikátů, každý připojující klient vyžaduje následující položky:

  • Na každém klientovi musí být nainstalovaný a nakonfigurovaný software Open VPN Client.
  • Klient musí mít nainstalované správné certifikáty místně.

Workflow

Pracovní postup pro tento článek:

  1. Nainstalujte klienta OpenVPN.
  2. Zobrazte konfigurační soubory profilu klienta VPN obsažené v konfiguračním balíčku profilu klienta VPN, který jste vygenerovali.
  3. Nakonfigurujte klienta OpenVPN.
  4. Připojte se k Azure.

Informace o certifikátech

Pro ověřování certifikátů musí být klientský certifikát nainstalovaný na každém klientském počítači. Klientský certifikát, který chcete použít, musí být exportován s privátním klíčem a musí obsahovat všechny certifikáty v cestě k certifikaci. V některých konfiguracích budete také muset nainstalovat informace o kořenovém certifikátu.

Klient OpenVPN v tomto článku používá certifikáty exportované ve formátu .pfx . Klientský certifikát můžete snadno exportovat do tohoto formátu pomocí pokynů pro Windows. Viz Export klientského certifikátu – pfx. Pokud nemáte počítač s Windows, můžete jako alternativní řešení použít malý virtuální počítač s Windows k exportu certifikátů do požadovaného formátu .pfx . V tuto chvíli poskytujeme pokyny openSSL pro Linux pouze ve formátu .pem .

Kroky konfigurace

Tato část vám pomůže nakonfigurovat klienty Linuxu pro ověřování certifikátů, které používají typ tunelu OpenVPN. Pokud se chcete připojit k Azure, stáhněte klienta OpenVPN a nakonfigurujte profil připojení.

Poznámka:

Klient OpenVPN verze 2.6 se zatím nepodporuje.

  1. Otevřete novou relaci terminálu. Novou relaci můžete otevřít tak, že současně stisknete kombinaci kláves Ctrl + Alt + t.

  2. Zadejte následující příkaz, který nainstaluje potřebné součásti:

    sudo apt-get install openvpn
    sudo apt-get -y install network-manager-openvpn
    sudo service network-manager restart
    
  3. Dále přejděte do složky profilu klienta VPN a rozbalte soubor a zobrazte soubory.

  4. Exportujte klientský certifikát P2S, který jste vytvořili a nahráli do konfigurace P2S v bráně. Postup najdete v tématu Vpn Gateway typu point-to-site.

  5. Extrahujte privátní klíč a kryptografický otisk base64 z souboru .pfx. Dá se to udělat několika způsoby. Použití OpenSSL na počítači je jedním ze způsobů.

    openssl pkcs12 -in "filename.pfx" -nodes -out "profileinfo.txt"
    

    Soubor profileinfo.txt obsahuje privátní klíč a kryptografický otisk certifikační autority a klientský certifikát. Nezapomeňte použít kryptografický otisk klientského certifikátu.

  6. Otevřete profileinfo.txt v textovém editoru. Pokud chcete získat kryptografický otisk certifikátu klienta (podřízeného) certifikátu, vyberte text včetně a mezi textem "-----BEGIN CERTIFICATE-----" a "-----END CERTIFICATE-----" pro podřízený certifikát a zkopírujte ho. Podřízený certifikát můžete identifikovat tak, že se podíváte na předmět=/řádek.

  7. Otevřete soubor vpnconfig.ovpn a najděte část v následujícím příkladu. Nahraďte vše mezi "certifikátem" a "/cert".

    # P2S client certificate
    # please fill this field with a PEM formatted cert
    <cert>
    $CLIENTCERTIFICATE
    </cert>
    
  8. Otevřete profileinfo.txt v textovém editoru. Pokud chcete získat privátní klíč, vyberte text včetně a mezi textem "-----BEGIN PRIVATE KEY-----" a "-----END PRIVATE KEY-----" a zkopírujte ho.

  9. Otevřete soubor vpnconfig.ovpn v textovém editoru a vyhledejte tuto část. Vložte privátní klíč a nahraďte vše mezi "klíčem" a "/key".

    # P2S client root certificate private key
    # please fill this field with a PEM formatted key
    <key>
    $PRIVATEKEY
    </key>
    
  10. Neměňte žádná jiná pole. S použitím vyplněné konfigurace ve vstupu klienta se připojte k síti VPN.

    • Pokud se chcete připojit pomocí příkazového řádku, zadejte následující příkaz:

      sudo openvpn --config <name and path of your VPN profile file>&
      
    • Pokud se chcete odpojit pomocí příkazového řádku, zadejte následující příkaz:

      sudo pkill openvpn
      
    • Pokud se chcete připojit pomocí grafického uživatelského rozhraní, přejděte do nastavení systému.

  11. Vyberte + , pokud chcete přidat nové připojení VPN.

  12. V části Přidat síť VPN vyberte Importovat ze souboru....

  13. Přejděte do souboru profilu a poklikejte nebo vyberte Otevřít.

  14. V okně Přidat síť VPN vyberte Přidat.

    Snímek obrazovky znázorňující import ze souboru na stránce Přidat síť VPN

  15. Můžete se připojit zapnutím sítě VPN na stránce Nastavení sítě nebo pod ikonou sítě na hlavním panelu systému.

Další kroky

Další kroky najdete v článku o portálu P2S na webu Azure Portal .