Konfigurace klienta OpenVPN 2.x pro připojení ověřování certifikátů P2S – Windows
Pokud je brána VPN typu point-to-site (P2S) nakonfigurovaná tak, aby používala ověřování pomocí OpenVPN a certifikátu, můžete se k virtuální síti připojit pomocí klienta OpenVPN. Tento článek vás provede postupem konfigurace klienta OpenVPN 2.4 a vyššího a připojení k virtuální síti.
Než začnete
Před zahájením kroků konfigurace klienta ověřte, že jste ve správném článku konfigurace klienta VPN. Následující tabulka uvádí články o konfiguraci, které jsou k dispozici pro klienty VPN Vpn Gateway typu point-to-site. Postup se liší v závislosti na typu ověřování, typu tunelu a klientském operačním systému.
| Metoda ověřování | Typ tunelového propojení | Operační systém klienta | Klient VPN |
|---|---|---|---|
| Certifikát | |||
| IKEv2, SSTP | Windows | Nativní klient VPN | |
| IKEv2 | macOS | Nativní klient VPN | |
| IKEv2 | Linux | strongSwan | |
| OpenVPN | Windows | Klient Azure VPN Klient OpenVPN verze 2.x Klient OpenVPN verze 3.x |
|
| OpenVPN | macOS | Klient OpenVPN | |
| OpenVPN | iOS | Klient OpenVPN | |
| OpenVPN | Linux | Klient Azure VPN Klient OpenVPN |
|
| Microsoft Entra ID | |||
| OpenVPN | Windows | Klient Azure VPN | |
| OpenVPN | macOS | Klient Azure VPN | |
| OpenVPN | Linux | Klient Azure VPN |
Poznámka:
Klient OpenVPN je nezávisle spravovaný a není pod kontrolou Microsoftu. To znamená, že Microsoft nedohlížuje na svůj kód, buildy, plány ani právní aspekty. Pokud zákazníci narazí na jakékoli chyby nebo problémy s klientem OpenVPN, měli by kontaktovat přímo podporu OpenVPN Inc. Pokyny v tomto článku jsou poskytovány tak, jak jsou, a nebyly ověřeny společností OpenVPN Inc. Mají pomoct zákazníkům, kteří už znají klienta a chtějí ho použít k připojení ke službě Azure VPN Gateway v nastavení VPN typu point-to-site.
Požadavky
Tento článek předpokládá, že jste už provedli následující požadavky:
- Vytvořili jste a nakonfigurovali bránu VPN pro ověřování certifikátu typu point-to-site a typ tunelu OpenVPN. Postup najdete v tématu Konfigurace nastavení serveru pro připojení brány VPN Gateway typu P2S – ověřování certifikátů.
- Vygenerovali a stáhli jste konfigurační soubory klienta VPN. Postup najdete v tématu Generování konfiguračních souborů profilu klienta VPN.
- Můžete buď generovat klientské certifikáty, nebo získat příslušné klientské certifikáty potřebné k ověření.
Požadavky na připojení
Pokud se chcete připojit k Azure pomocí klienta OpenVPN pomocí ověřování certifikátů, každý připojený klientský počítač vyžaduje následující položky:
- Na každém klientském počítači musí být nainstalovaný a nakonfigurovaný software Open VPN Client.
- Klientský počítač musí mít klientský certifikát, který je nainstalovaný místně.
Workflow
Pracovní postup pro tento článek:
- Pokud jste to ještě neudělali, vygenerujte a nainstalujte klientské certifikáty.
- Zobrazte konfigurační soubory profilu klienta VPN obsažené v konfiguračním balíčku profilu klienta VPN, který jste vygenerovali.
- Nakonfigurujte klienta OpenVPN.
- Připojte se k Azure.
Generování a instalace klientských certifikátů
Pro ověřování certifikátů musí být klientský certifikát nainstalovaný na každém klientském počítači. Klientský certifikát, který chcete použít, musí být exportován s privátním klíčem a musí obsahovat všechny certifikáty v cestě k certifikaci. V některých konfiguracích budete také muset nainstalovat informace o kořenovém certifikátu.
V mnoha případech můžete klientský certifikát nainstalovat přímo do klientského počítače poklikáním. Pro určité konfigurace klienta OpenVPN však možná budete muset extrahovat informace z klientského certifikátu, aby bylo možné konfiguraci dokončit.
- Informace o práci s certifikáty naleznete v tématu Point-to-Site: Generování certifikátů.
- Pokud chcete zobrazit nainstalovaný klientský certifikát, otevřete Spravovat uživatelské certifikáty. Klientský certifikát je nainstalován v části Aktuální uživatel\Osobní\Certifikáty.
Instalace klientského certifikátu
Každý počítač potřebuje k ověření klientský certifikát. Pokud klientský certifikát ještě není v místním počítači nainstalovaný, můžete ho nainstalovat pomocí následujícího postupu:
- Vyhledejte klientský certifikát. Další informace o klientských certifikátech naleznete v tématu Instalace klientských certifikátů.
- Nainstalujte klientský certifikát. Obvykle to můžete udělat tak, že dvakrát kliknete na soubor certifikátu a zadáte heslo (v případě potřeby).
Zobrazení konfiguračních souborů
Konfigurační balíček profilu klienta VPN obsahuje konkrétní složky. Soubory v rámci složek obsahují nastavení potřebná ke konfiguraci profilu klienta VPN v klientském počítači. Soubory a nastavení, která obsahují, jsou specifické pro bránu VPN a typ ověřování a tunelu, které brána VPN používá.
Vyhledejte a rozbalte konfigurační balíček profilu klienta VPN, který jste vygenerovali. U ověřování certifikátů a OpenVPN by se měla zobrazit složka OpenVPN . Pokud složku nevidíte, ověřte následující položky:
- Ověřte, že je brána VPN nakonfigurovaná tak, aby používala typ tunelu OpenVPN.
- Pokud používáte ověřování Microsoft Entra, možná nemáte složku OpenVPN. Místo toho si přečtěte článek o konfiguraci Microsoft Entra ID .
Konfigurace klienta
Stáhněte a nainstalujte klienta OpenVPN (verze 2.4 nebo vyšší) z oficiálního webu OpenVPN.
Vyhledejte konfigurační balíček profilu klienta VPN, který jste vygenerovali a stáhli do počítače. Extrahujte balíček. Přejděte do složky OpenVPN a otevřete konfigurační soubor vpnconfig.ovpn pomocí Poznámkového bloku.
Dále vyhledejte podřízený certifikát, který jste vytvořili. Pokud certifikát nemáte, použijte jeden z následujících odkazů k exportu certifikátu. Informace o certifikátu použijete v dalším kroku.
Z podřízeného certifikátu extrahujte privátní klíč a kryptografický otisk base64 z souboru .pfx. Dá se to udělat několika způsoby. Použití OpenSSL na počítači je jedním ze způsobů. Soubor profileinfo.txt obsahuje privátní klíč a kryptografický otisk certifikační autority a klientského certifikátu. Nezapomeňte použít kryptografický otisk klientského certifikátu.
openssl pkcs12 -in "filename.pfx" -nodes -out "profileinfo.txt"Přepněte na soubor vpnconfig.ovpn , který jste otevřeli v Poznámkovém bloku. Vyplňte oddíl mezi
<cert>a</cert>, získání hodnot pro$CLIENT_CERTIFICATE,$INTERMEDIATE_CERTIFICATEa$ROOT_CERTIFICATEjak je znázorněno v následujícím příkladu.# P2S client certificate # please fill this field with a PEM formatted cert <cert> $CLIENT_CERTIFICATE $INTERMEDIATE_CERTIFICATE (optional) $ROOT_CERTIFICATE </cert>- Otevřete profileinfo.txt z předchozího kroku v Poznámkovém bloku. Jednotlivé certifikáty můžete identifikovat tak, že se podíváte na
subject=řádek. Pokud se například podřízený certifikát nazývá P2SChildCert, klientský certifikát bude za atributemsubject=CN = P2SChildCert. - Pro každý certifikát v řetězu zkopírujte text (včetně a mezi) "-----BEGIN CERTIFICATE-----" a "-----END CERTIFICATE-----".
- Hodnotu zahrňte
$INTERMEDIATE_CERTIFICATEpouze v případě, že máte v souboru profileinfo.txt zprostředkující certifikát.
- Otevřete profileinfo.txt z předchozího kroku v Poznámkovém bloku. Jednotlivé certifikáty můžete identifikovat tak, že se podíváte na
Otevřete profileinfo.txt v Poznámkovém bloku. Pokud chcete získat privátní klíč, vyberte text (včetně a mezi) "-----BEGIN PRIVATE KEY-----" a "-----END PRIVATE KEY-----" a zkopírujte ho.
Vraťte se do souboru vpnconfig.ovpn v Poznámkovém bloku a vyhledejte tuto část. Vložte privátní klíč a nahraďte vše mezi a
<key>a</key>.# P2S client root certificate private key # please fill this field with a PEM formatted key <key> $PRIVATEKEY </key>Pokud používáte verzi klienta OpenVPN verze 2.6, přidejte do profilu možnost disable-dco. Zdá se, že tato možnost není zpětně kompatibilní s předchozími verzemi, takže by se měla přidat jenom do klienta OpenVPN verze 2.6.
Neměňte žádná jiná pole. S použitím vyplněné konfigurace ve vstupu klienta se připojte k síti VPN.
Zkopírujte soubor vpnconfig.ovpn do složky C:\Program Files\OpenVPN\config.
Klikněte pravým tlačítkem myši na ikonu OpenVPN v hlavním panelu systému a klikněte na Připojit.
Další kroky
Proveďte další nastavení serveru nebo připojení. Viz kroky konfigurace typu Point-to-Site.