Konfigurace klienta OpenVPN Connect 3.x pro připojení ověřování certifikátů P2S – Windows
Pokud je brána VPN typu point-to-site (P2S) nakonfigurovaná tak, aby používala ověřování pomocí OpenVPN a certifikátu, můžete se k virtuální síti připojit pomocí klienta OpenVPN. Tento článek vás provede postupem konfigurace klienta OpenVPN Connect 3.x a připojením k virtuální síti. Mezi klientem OpenVPN 2.x a klientem OpenVPN Connect 3.x existují určité rozdíly v konfiguraci. Tento článek se zaměřuje na klienta OpenVPN Connect 3.x.
Než začnete
Před zahájením kroků konfigurace klienta ověřte, že jste ve správném článku konfigurace klienta VPN. Následující tabulka uvádí články o konfiguraci, které jsou k dispozici pro klienty VPN Vpn Gateway typu point-to-site. Postup se liší v závislosti na typu ověřování, typu tunelu a klientském operačním systému.
| Ověřování | Typ tunelového propojení | Operační systém klienta | Klient VPN |
|---|---|---|---|
| Certifikát | |||
| IKEv2, SSTP | Windows | Nativní klient VPN | |
| IKEv2 | macOS | Nativní klient VPN | |
| IKEv2 | Linux | strongSwan | |
| OpenVPN | Windows | Klient Azure VPN Klient OpenVPN verze 2.x Klient OpenVPN verze 3.x |
|
| OpenVPN | macOS | Klient OpenVPN | |
| OpenVPN | iOS | Klient OpenVPN | |
| OpenVPN | Linux | Klient Azure VPN Klient OpenVPN |
|
| Microsoft Entra ID | |||
| OpenVPN | Windows | Klient Azure VPN | |
| OpenVPN | macOS | Klient Azure VPN | |
| OpenVPN | Linux | Klient Azure VPN |
Poznámka:
Klient OpenVPN je nezávisle spravovaný a není pod kontrolou Microsoftu. To znamená, že Microsoft nedohlížuje na svůj kód, buildy, plány ani právní aspekty. Pokud zákazníci narazí na jakékoli chyby nebo problémy s klientem OpenVPN, měli by kontaktovat přímo podporu OpenVPN Inc. Pokyny v tomto článku jsou poskytovány tak, jak jsou, a nebyly ověřeny společností OpenVPN Inc. Mají pomoct zákazníkům, kteří už znají klienta a chtějí ho použít k připojení ke službě Azure VPN Gateway v nastavení VPN typu point-to-site.
Požadavky
Tento článek předpokládá, že jste už provedli následující požadavky:
- Vytvořili jste a nakonfigurovali bránu VPN pro ověřování certifikátu typu point-to-site a typ tunelu OpenVPN. Postup najdete v tématu Konfigurace nastavení serveru pro připojení brány VPN Gateway typu P2S – ověřování certifikátů.
- Vygenerovali a stáhli jste konfigurační soubory klienta VPN. Postup najdete v tématu Generování konfiguračních souborů profilu klienta VPN.
- Můžete buď generovat klientské certifikáty, nebo získat příslušné klientské certifikáty potřebné k ověření.
Požadavky na připojení
Pokud se chcete připojit k Azure pomocí klienta OpenVPN Connect 3.x pomocí ověřování certifikátů, každý připojený klientský počítač vyžaduje následující položky:
- Na každém klientském počítači musí být nainstalovaný a nakonfigurovaný klientský software OpenVPN Connect.
- Klientský počítač musí mít klientský certifikát, který je nainstalovaný místně.
- Pokud řetěz certifikátů obsahuje zprostředkující certifikát, nejprve se podívejte do části Zprostředkující certifikáty a ověřte, že je vaše konfigurace brány VPN typu P2S nastavená tak, aby podporovala tento řetěz certifikátů. Chování ověřování certifikátů pro klienty verze 3.x se liší od předchozích verzí, kde můžete zadat zprostředkující certifikát v profilu klienta.
Workflow
Pracovní postup pro tento článek:
- Pokud jste to ještě neudělali, vygenerujte a nainstalujte klientské certifikáty.
- Zobrazte konfigurační soubory profilu klienta VPN obsažené v konfiguračním balíčku profilu klienta VPN, který jste vygenerovali.
- Nakonfigurujte klienta OpenVPN Connect.
- Připojte se k Azure.
Generování a instalace klientských certifikátů
Pro ověřování certifikátů musí být klientský certifikát nainstalovaný na každém klientském počítači. Klientský certifikát, který chcete použít, musí být exportován s privátním klíčem a musí obsahovat všechny certifikáty v cestě k certifikaci. V některých konfiguracích budete také muset nainstalovat informace o kořenovém certifikátu.
V mnoha případech můžete klientský certifikát nainstalovat přímo do klientského počítače poklikáním. U některých konfigurací klienta OpenVPN ale možná budete muset extrahovat informace z klientského certifikátu, aby bylo možné konfiguraci dokončit.
- Informace o práci s certifikáty naleznete v tématu Point-to-Site: Generování certifikátů.
- Pokud chcete zobrazit nainstalovaný klientský certifikát, otevřete Spravovat uživatelské certifikáty. Klientský certifikát je nainstalován v části Aktuální uživatel\Osobní\Certifikáty.
Instalace klientského certifikátu
Každý počítač potřebuje k ověření klientský certifikát. Pokud klientský certifikát ještě není v místním počítači nainstalovaný, můžete ho nainstalovat pomocí následujícího postupu:
- Vyhledejte klientský certifikát. Další informace o klientských certifikátech naleznete v tématu Instalace klientských certifikátů.
- Nainstalujte klientský certifikát. Obvykle to můžete udělat tak, že dvakrát kliknete na soubor certifikátu a zadáte heslo (v případě potřeby).
Zobrazení konfiguračních souborů
Konfigurační balíček profilu klienta VPN obsahuje konkrétní složky. Soubory v rámci složek obsahují nastavení potřebná ke konfiguraci profilu klienta VPN v klientském počítači. Soubory a nastavení, která obsahují, jsou specifické pro bránu VPN a typ ověřování a tunelu, které brána VPN používá.
Vyhledejte a rozbalte konfigurační balíček profilu klienta VPN, který jste vygenerovali. U ověřování certifikátů a OpenVPN by se měla zobrazit složka OpenVPN . Pokud složku nevidíte, ověřte následující položky:
- Ověřte, že je brána VPN nakonfigurovaná tak, aby používala typ tunelu OpenVPN.
- Pokud používáte ověřování Microsoft Entra ID, možná nemáte složku OpenVPN. Místo toho si přečtěte článek o konfiguraci Microsoft Entra ID .
Konfigurace klienta
Stáhněte a nainstalujte klienta OpenVPN verze 3.x z oficiálního webu OpenVPN.
Vyhledejte konfigurační balíček profilu klienta VPN, který jste vygenerovali a stáhli do počítače. Extrahujte balíček. Přejděte do složky OpenVPN a otevřete konfigurační soubor vpnconfig.ovpn pomocí Poznámkového bloku.
Dále vyhledejte podřízený certifikát, který jste vytvořili. Pokud certifikát nemáte, použijte jeden z následujících odkazů k exportu certifikátu. Informace o certifikátu použijete v dalším kroku.
Z podřízeného certifikátu extrahujte privátní klíč a kryptografický otisk base64 z souboru .pfx. Dá se to udělat několika způsoby. Použití OpenSSL na počítači je jedním ze způsobů. Soubor profileinfo.txt obsahuje privátní klíč a kryptografický otisk certifikační autority a klientského certifikátu. Nezapomeňte použít kryptografický otisk klientského certifikátu.
openssl pkcs12 -in "filename.pfx" -nodes -out "profileinfo.txt"Přepněte na soubor vpnconfig.ovpn , který jste otevřeli v Poznámkovém bloku. Vyplňte oddíl mezi oddílem
<cert>a</cert>získáním hodnot pro$CLIENT_CERTIFICATE, jak$ROOT_CERTIFICATEje znázorněno v následujícím příkladu.# P2S client certificate # please fill this field with a PEM formatted cert <cert> $CLIENT_CERTIFICATE $ROOT_CERTIFICATE </cert>- Otevřete profileinfo.txt z předchozího kroku v Poznámkovém bloku. Jednotlivé certifikáty můžete identifikovat tak, že se podíváte na
subject=řádek. Pokud se například podřízený certifikát nazývá P2SChildCert, klientský certifikát bude za atributemsubject=CN = P2SChildCert. - Pro každý certifikát v řetězu zkopírujte text (včetně a mezi) "-----BEGIN CERTIFICATE-----" a "-----END CERTIFICATE-----".
- Otevřete profileinfo.txt z předchozího kroku v Poznámkovém bloku. Jednotlivé certifikáty můžete identifikovat tak, že se podíváte na
Otevřete profileinfo.txt v Poznámkovém bloku. Pokud chcete získat privátní klíč, vyberte text (včetně a mezi) "-----BEGIN PRIVATE KEY-----" a "-----END PRIVATE KEY-----" a zkopírujte ho.
Vraťte se do souboru vpnconfig.ovpn v Poznámkovém bloku a vyhledejte tuto část. Vložte privátní klíč a nahraďte vše mezi a
<key>a</key>.# P2S client root certificate private key # please fill this field with a PEM formatted key <key> $PRIVATEKEY </key>Zakomentujte řádek "log openvpn.log". Pokud není zakomentován, klient OpenVPN hlásí, že protokol už není podporovanou možností. Příklad okomentování řádku protokolu najdete v příkladu profilu uživatele. Po zakomentování řádku protokolu můžete dál přistupovat k protokolům přes klientské rozhraní OpenVPN. Přístup zobrazíte kliknutím na ikonu protokolu v pravém horním rohu uživatelského rozhraní klienta. Společnost Microsoft doporučuje, aby zákazníci zkontrolovali dokumentaci k připojení OpenVPN pro umístění souboru protokolu, protože protokolování je řízeno klientem OpenVPN.
Neměňte žádná jiná pole. S použitím vyplněné konfigurace ve vstupu klienta se připojte k síti VPN.
Importujte soubor vpnconfig.ovpn v klientovi OpenVPN.
Klikněte pravým tlačítkem myši na ikonu OpenVPN v hlavním panelu systému a klikněte na Připojit.
Příklad profilu uživatele
Následující příklad ukazuje konfigurační soubor profilu uživatele pro klienty 3.x OpenVPN Connect. Tento příklad ukazuje soubor protokolu zakomentovaný a přidanou možnost ping-restart 0, aby se zabránilo pravidelnému opětovnému připojení kvůli tomu, že se klientovi neposílají žádný provoz.
client
remote <vpnGatewayname>.ln.vpn.azure.com 443
verify-x509-name <IdGateway>.ln.vpn.azure.com name
remote-cert-tls server
dev tun
proto tcp
resolv-retry infinite
nobind
auth SHA256
cipher AES-256-GCM
persist-key
persist-tun
tls-timeout 30
tls-version-min 1.2
key-direction 1
#log openvpn.log
#inactive 0
ping-restart 0
verb 3
# P2S CA root certificate
<ca>
-----BEGIN CERTIFICATE-----
……
……..
……..
……..
-----END CERTIFICATE-----
</ca>
# Pre Shared Key
<tls-auth>
-----BEGIN OpenVPN Static key V1-----
……..
……..
……..
-----END OpenVPN Static key V1-----
</tls-auth>
# P2S client certificate
# Please fill this field with a PEM formatted client certificate
# Alternatively, configure 'cert PATH_TO_CLIENT_CERT' to use input from a PEM certificate file.
<cert>
-----BEGIN CERTIFICATE-----
……..
……..
……..
-----END CERTIFICATE-----
</cert>
# P2S client certificate private key
# Please fill this field with a PEM formatted private key of the client certificate.
# Alternatively, configure 'key PATH_TO_CLIENT_KEY' to use input from a PEM key file.
<key>
-----BEGIN PRIVATE KEY-----
……..
……..
……..
-----END PRIVATE KEY-----
</key>
Zprostředkující certifikáty
Pokud řetěz certifikátů obsahuje zprostředkující certifikáty, musíte zprostředkující certifikáty nahrát do služby Azure VPN Gateway. Toto je upřednostňovaná metoda pro použití bez ohledu na klienta VPN, ze které se rozhodnete připojit. V předchozích verzích můžete v profilu uživatele zadat zprostředkující certifikáty. Klient OpenVPN Connect verze 3.x se už nepodporuje.
Když pracujete s zprostředkujícími certifikáty, musí se zprostředkující certifikát nahrát po kořenovém certifikátu.
Připojí
Pokud dojde k pravidelnému opětovnému připojení kvůli tomu, že se klientovi neodesílají žádný provoz, můžete do profilu přidat možnost ping-restart 0, abyste zabránili odpojení, aby se znovu připojily. Toto je popsáno v dokumentaci openVPN Connect následujícím způsobem: "-ping-restart n Podobný --ping-exit, ale aktivujte SIGUSR1 restartování po n sekundách bez přijetí příkazu ping nebo jiného paketu ze vzdáleného režimu."
Příklad přidání této možnosti najdete v příkladu profilu uživatele.
Další kroky
Proveďte další nastavení serveru nebo připojení. Viz kroky konfigurace typu Point-to-Site.