Freigeben über


Konfigurieren des OpenVPN Connect 3.x-Clients für Verbindungen mit der P2S-Zertifikatauthentifizierung – Windows

Wenn Ihr P2S-VPN-Gateway (Point-to-Site) für die Verwendung von OpenVPN und Zertifikatauthentifizierung konfiguriert ist, können Sie mithilfe des OpenVPN-Clients eine Verbindung mit Ihrem virtuellen Netzwerk herstellen. Dieser Artikel führt Sie durch die Schritte zum Konfigurieren des OpenVPN Connect 3.x-Clients sowie zum Herstellen einer Verbindung mit Ihrem virtuellen Netzwerk. Es gibt einige Konfigurationsunterschiede zwischen dem OpenVPN 2.x-Client und dem OpenVPN Connect 3.x-Client. Dieser Artikel konzentriert sich auf den OpenVPN Connect 3.x-Client.

Voraussetzungen

Vergewissern Sie sich vor Beginn der Clientkonfigurationsschritte, dass Sie sich im richtigen Artikel zur VPN-Clientkonfiguration befinden. In der folgenden Tabelle sind die Konfigurationsartikel aufgeführt, die für VPN Gateway-P2S-VPN-Clients verfügbar sind. Die Schritte unterscheiden sich je nach Authentifizierungstyp, Tunneltyp und Clientbetriebssystem.

Authentifizierung Tunneltyp Clientbetriebssystem VPN-Client
Zertifikat
IKEv2, SSTP Windows Nativer VPN-Client
IKEv2 macOS Nativer VPN-Client
IKEv2 Linux strongSwan
OpenVPN Windows Azure VPN Client
OpenVPN-Clientversion 2.x
OpenVPN-Clientversion 3.x
OpenVPN macOS OpenVPN-Client
OpenVPN iOS OpenVPN-Client
OpenVPN Linux Azure VPN Client
OpenVPN-Client
Microsoft Entra ID
OpenVPN Windows Azure VPN Client
OpenVPN macOS Azure VPN Client
OpenVPN Linux Azure VPN Client

Hinweis

Der OpenVPN-Client wird unabhängig verwaltet und unterliegt nicht der Kontrolle durch Microsoft. Dies bedeutet, dass Microsoft seinen Code, die Builds, die Roadmap oder die rechtlichen Aspekte nicht überwacht. Sollten Kunden auf Fehler oder Probleme mit dem OpenVPN-Client stoßen, sollten sie sich direkt an den Support von OpenVPN Inc. wenden. Die Anleitungen in diesem Artikel werden „wie gesehen“ bereitgestellt und wurden von OpenVPN Inc. nicht überprüft. Sie sollen Kunden unterstützen, die bereits mit dem Client vertraut sind und diesen verwenden möchten, um eine Verbindung mit dem Azure VPN Gateway in einem Point-to-Site-VPN-Setup herzustellen.

Voraussetzungen

In diesem Artikel wird davon ausgegangen, dass Sie bereits die folgenden Voraussetzungen erfüllt haben:

Verbindungsanforderungen

Um eine Verbindung mit Azure mithilfe des OpenVPN Connect 3.x-Clients mithilfe der Zertifikatauthentifizierung herzustellen, erfordert jeder verbindende Clientcomputer die folgenden Elemente:

  • Die OpenVPN Connect-Clientsoftware muss auf jedem Clientcomputer installiert und konfiguriert werden.
  • Der Clientcomputer muss über ein lokal installiertes Clientzertifikat verfügen.
  • Wenn Ihre Zertifikatkette ein Zwischenzertifikat enthält, lesen Sie zuerst den Abschnitt Zwischenzertifikate, um zu überprüfen, ob die Konfiguration Ihres P2S VPN Gateways eingerichtet ist, um diese Zertifikatkette zu unterstützen. Das Verhalten der Zertifikatauthentifizierung für 3.x-Clients unterscheidet sich von früheren Versionen, in denen Sie das Zwischenzertifikat im Clientprofil angeben können.

Workflow

Der Workflow für diesen Artikel lautet:

  1. Generieren und installieren Sie Clientzertifikate, sofern dies noch nicht geschehen ist.
  2. Zeigen Sie die Konfigurationsdateien des VPN-Clientprofils an, die im von Ihnen generierten VPN-Clientprofilkonfigurationspaket enthalten sind.
  3. Konfigurieren Sie den OpenVPN Connect-Client.
  4. Herstellen einer Verbindung zu Azure.

Generieren und Installieren von Clientzertifikaten

Für die Zertifikatauthentifizierung muss auf jedem Clientcomputer ein Clientzertifikat installiert sein. Das zu verwendende Clientzertifikat muss mit dem privaten Schlüssel exportiert werden und alle Zertifikate im Zertifizierungspfad enthalten. Darüber hinaus müssen Sie für einige Konfigurationen auch Stammzertifikatinformationen installieren.

In vielen Fällen können Sie das Clientzertifikat durch Doppelklicken direkt auf dem Clientcomputer installieren. Für einige OpenVPN-Clientkonfigurationen müssen Sie jedoch möglicherweise Informationen aus dem Clientzertifikat extrahieren, um die Konfiguration abzuschließen.

Installieren des Clientzertifikats

Jeder Computer benötigt ein Clientzertifikat, um sich zu authentifizieren. Wenn das Clientzertifikat noch nicht auf dem lokalen Computer installiert ist, können Sie es mit den folgenden Schritten installieren:

  1. Suchen Sie das Clientzertifikat. Weitere Informationen zu Clientzertifikaten finden Sie unter Installieren von Clientzertifikaten.
  2. Installieren Sie das Clientzertifikat. In der Regel können Sie dazu auf die Zertifikatdatei doppelklicken und (bei Bedarf) ein Kennwort angeben.

Konfigurationsdateien ansehen

Das VPN-Clientprofilkonfigurationspaket enthält bestimmte Ordner. Die Dateien in den Ordnern enthalten die Einstellungen, die zum Konfigurieren des VPN-Clientprofils auf dem Clientcomputer erforderlich sind. Die Dateien und die darin enthaltenen Einstellungen sind spezifisch für das VPN-Gateway und den Typ der Authentifizierung und des Tunnels, der für die Verwendung für Ihr VPN-Gateway konfiguriert ist.

Suchen und entzippen Sie das von Ihnen generierte VPN-Clientprofilkonfigurationspaket. Für die Zertifikatauthentifizierung und OpenVPN sollten Sie sich den OpenVPN-Ordner ansehen. Wenn die Datei nicht angezeigt wird, überprüfen Sie die folgenden Elemente:

  • Stellen Sie sicher, dass Ihr VPN-Gateway für die Verwendung des OpenVPN-Tunneltyps konfiguriert ist.
  • Wenn Sie die Microsoft Entra ID-Authentifizierung verwenden, verfügen Sie möglicherweise nicht über einen OpenVPN-Ordner. Lesen Sie stattdessen den Artikel zur Microsoft Entra ID-Konfiguration.

Konfigurieren des Clients

  1. Laden Sie die OpenVPN-Clientversion 3.x von der offiziellen OpenVPN-Website herunter, und installieren Sie sie.

  2. Suchen Sie das Konfigurationspaket für das VPN-Clientprofil, das Sie generiert und auf Ihren Computer heruntergeladen haben. Extrahieren Sie das Paket. Navigieren Sie zum Ordner „OpenVPN“, und öffnen Sie die Konfigurationsdatei vpnconfig.ovpn in Editor.

  3. Suchen Sie als Nächstes nach dem untergeordneten Zertifikat, das Sie erstellt haben. Wenn Sie das Zertifikat nicht haben, finden Sie unter folgenden Links Schritte zum Exportieren des Zertifikats. Sie verwenden die Zertifikatinformationen im nächsten Schritt.

  4. Extrahieren Sie aus dem untergeordneten Zertifikat den privaten Schlüssel und den Base64-Fingerabdruck aus der PFX-Datei. Hierfür gibt es mehrere Möglichkeiten. Die Verwendung von OpenSSL auf Ihrem Computer ist eine Möglichkeit. Die Datei profileinfo.txt enthält den privaten Schlüssel und den Fingerabdruck für die Zertifizierungsstelle sowie das Clientzertifikat. Verwenden Sie unbedingt den Fingerabdruck des Clientzertifikats.

    openssl pkcs12 -in "filename.pfx" -nodes -out "profileinfo.txt"
    
  5. Wechseln Sie zur Datei vpnconfig.ovpn, die Sie in Editor geöffnet haben. Füllen Sie den Abschnitt zwischen <cert> und </cert> aus, und rufen Sie die Werte für $CLIENT_CERTIFICATE und $ROOT_CERTIFICATE ab wie im folgenden Beispiel gezeigt.

       # P2S client certificate
       # please fill this field with a PEM formatted cert
       <cert>
       $CLIENT_CERTIFICATE
       $ROOT_CERTIFICATE
       </cert>
    
    • Öffnen Sie profileinfo.txt aus dem vorherigen Schritt in Editor. Sie können die Zertifikate jeweils per Blick auf die Zeile subject= identifizieren. Wenn Ihr untergeordnetes Zertifikat z. B. P2SChildCert heißt, befindet sich das Clientzertifikat hinter dem Attribut subject=CN = P2SChildCert.
    • Kopieren Sie für jedes Zertifikat in der Kette den Text (einschließlich und zwischen) „-----BEGIN CERTIFICATE-----“ und „-----END CERTIFICATE-----“.
  6. Öffnen Sie die Datei profileinfo.txt in Editor. Um den privaten Schlüssel zu erhalten, markieren Sie den Text einschließlich und zwischen „-----BEGIN PRIVATE KEY-----“ und „-----END PRIVATE KEY-----“, und kopieren Sie ihn.

  7. Kehren Sie zur Datei „vpnconfig.ovpn“ in Editor zurück, und suchen Sie nach diesem Abschnitt. Fügen Sie den privaten Schlüssel so ein, dass er alles zwischen <key> und </key> ersetzt.

    # P2S client root certificate private key
    # please fill this field with a PEM formatted key
    <key>
    $PRIVATEKEY
    </key>
    
  8. Kommentieren Sie die Zeile „log openvpn.log“ aus. Wenn sie nicht auskommentiert ist, meldet der OpenVPN-Client, dass das Protokoll nicht mehr unterstützt wird. Ein Beispiel zum Auskommentieren der Protokollzeile finden Sie im Beispiel für das Benutzerprofil. Nachdem Sie die Protokollzeile auskommentiert haben, können Sie weiterhin über die OpenVPN-Clientschnittstelle auf Protokolle zugreifen. Um darauf zuzugreifen, klicken Sie auf das Protokollsymbol in der oberen rechten Ecke der Clientbenutzeroberfläche. Microsoft empfiehlt Kunden, sich in der OpenVPN Connect-Dokumentation den Speicherort der Protokolldatei anzusehen, da die Protokollierung vom OpenVPN-Client gesteuert wird.

  9. Ändern Sie keine anderen Felder. Verwenden Sie die ausgefüllte Konfiguration in der Clienteingabe, um eine Verbindung mit dem VPN herzustellen.

  10. Importieren Sie die Datei „vpnconfig.ovpn“ im OpenVPN-Client.

  11. Klicken Sie auf der Taskleiste mit rechten Maustaste auf das Symbol „OpenVPN“, und klicken Sie auf Verbinden.

Beispiel für das Benutzerprofil

Das folgende Beispiel zeigt die Konfigurationsdatei eines Benutzerprofils für OpenVPN Connect-Clients der Version 3.x. In diesem Beispiel ist die Protokolldatei auskommentiert und die Option „ping-restart 0“ hinzugefügt, um regelmäßige Verbindungswiederherstellungen zu verhindern, da kein Datenverkehr an den Client gesandt wird.

client
remote <vpnGatewayname>.ln.vpn.azure.com 443
verify-x509-name <IdGateway>.ln.vpn.azure.com name
remote-cert-tls server

dev tun
proto tcp
resolv-retry infinite
nobind

auth SHA256
cipher AES-256-GCM
persist-key
persist-tun

tls-timeout 30
tls-version-min 1.2
key-direction 1

#log openvpn.log
#inactive 0
ping-restart 0 
verb 3

# P2S CA root certificate
<ca>
-----BEGIN CERTIFICATE-----
……
……..
……..
……..

-----END CERTIFICATE-----
</ca>

# Pre Shared Key
<tls-auth>
-----BEGIN OpenVPN Static key V1-----
……..
……..
……..

-----END OpenVPN Static key V1-----
</tls-auth>

# P2S client certificate
# Please fill this field with a PEM formatted client certificate
# Alternatively, configure 'cert PATH_TO_CLIENT_CERT' to use input from a PEM certificate file.
<cert>
-----BEGIN CERTIFICATE-----
……..
……..
……..
-----END CERTIFICATE-----
</cert>

# P2S client certificate private key
# Please fill this field with a PEM formatted private key of the client certificate.
# Alternatively, configure 'key PATH_TO_CLIENT_KEY' to use input from a PEM key file.
<key>
-----BEGIN PRIVATE KEY-----
……..
……..
……..
-----END PRIVATE KEY-----
</key>

Zwischengeschaltete Zertifikate

Wenn Ihre Zertifikatkette Zwischenzertifikate enthält, müssen Sie die Zwischenzertifikate in das Azure VPN Gateway hochladen. Dies ist die bevorzugte zu verwendende Methode, unabhängig vom VPN-Client, von dem Sie eine Verbindung herstellen möchten. In früheren Versionen konnten Sie Zwischenzertifikate im Benutzerprofil angeben. Dies wird in der OpenVPN Connect-Clientversion 3.x nicht mehr unterstützt.

Wenn Sie mit Zwischenzertifikaten arbeiten, muss das Zwischenzertifikat nach dem Stammzertifikat hochgeladen werden.

Zwischenzertifikat für die Point-to-Site-Konfiguration.

Verbindungswiederherstellungen

Wenn regelmäßige Verbindungswiederherstellungen auftreten, weil kein Datenverkehr an den Client gesandt wird, können Sie dem Profil die Option „ping-restart 0“ hinzufügen, um zu verhindern, dass die Verbindung getrennt wird. Dies wird in der OpenVPN Connect-Dokumentation wie folgt beschrieben: „ --ping-restart n Similar to --ping-exit, but trigger a SIGUSR1 restart after n seconds pass without reception of a ping or other packet from remote.“

Ein Beispiel zum Hinzufügen dieser Option finden Sie im Beispiel für das Benutzerprofil.

Nächste Schritte

Stellen Sie dann alle zusätzlichen Server- oder Verbindungseinstellungen ein. Weitere Informationen unter Point-to-Site-Konfigurationsschritte.