Configuración del cliente OpenVPN 2.x para conexiones de autenticación de certificados de VPN de punto a sitio de usuario en Windows

Si su puerta de enlace VPN de punto a sitio (P2S) está configurada para usar OpenVPN y autenticación de certificado, puede conectarse a su red virtual usando el cliente OpenVPN. Este artículo le guía por los pasos para configurar el cliente OpenVPN 2.4 y versiones posteriores y conectarse a la red virtual. Para los clientes de OpenVPN Connect 3.x, consulte Configuración del cliente OpenVPN 3.x para conexiones de autenticación de certificados de VPN de punto a sitio de usuario en Windows.

Nota:

El cliente de OpenVPN se administra de forma independiente y no está bajo el control de Microsoft. Esto significa que Microsoft no supervisa su código, compilaciones, plan de desarrollo o aspectos legales. Si los clientes detectan errores o problemas con el cliente de OpenVPN, deben ponerse en contacto directamente con el soporte técnico de OpenVPN Inc. Las instrucciones de este artículo se proporcionan "tal cual" y no se han validado por OpenVPN Inc. Están diseñadas para ayudar a los usuarios que ya están familiarizados con el cliente y desean usarlas para conectarse a Azure VPN Gateway en una configuración de VPN de punto a sitio.

Antes de empezar

Antes de empezar, asegúrese de que ha configurado una red WAN virtual según los pasos descritos en el artículo Creación de conexiones de punto a sitio de VPN de usuario. La configuración de VPN de usuario debe usar la autenticación de certificados.

Requisitos previos

En este artículo se supone que ya has realizado los siguientes requisitos previos:

• Ha configurado una red WAN virtual según los pasos descritos en el artículo Creación de conexiones de VPN de punto a sitio de usuario. La configuración de VPN de usuario debe usar la autenticación de certificados.
• Ha generado y ha descargado los archivos de configuración del cliente VPN. Para conocer los pasos para generar un paquete de configuración del perfil de cliente VPN, consulte Generar archivos de configuración de cliente VPN.
• Puede generar certificados de cliente o adquirir los certificados de cliente adecuados necesarios para la autenticación.

Requisitos de la conexión

Para conectarse a Azure mediante el cliente OpenVPN mediante la autenticación de certificado, cada equipo cliente de conexión requiere los siguientes elementos:

• El software Cliente OpenVPN debe instalarse y configurarse en cada computadora cliente.
• El equipo cliente debe tener un certificado de cliente instalado localmente.

Flujo de trabajo

El flujo de trabajo de este artículo es:

1. Genere e instale los certificados de cliente si aún no lo ha hecho.
2. Vea los archivos de configuración del perfil de cliente VPN incluidos en el paquete de configuración del perfil de cliente VPN que generó.
3. Configure el cliente OpenVPN.
4. Conéctese a Azure.

Generación e instalación de certificados de cliente

Para la autenticación de certificados, se debe instalar un certificado de cliente en cada equipo cliente. El certificado de cliente que quiere usar debe exportarse con la clave privada y contener todos los certificados de la ruta de acceso de certificación. Además, para algunas configuraciones, también tendrá que instalar la información del certificado raíz.

En muchos casos, puede instalar el certificado de cliente directamente en el equipo cliente haciendo doble clic. Sin embargo, para determinadas configuraciones de cliente OpenVPN, es posible que tenga que extraer información del certificado de cliente para completar la configuración.

• Para conocer los pasos para generar un certificado de cliente, consulte Generación y exportación de certificados.
• Para ver un certificado de cliente instalado, abra Administrar certificados de usuario. El certificado de cliente está instalado en Usuario actual\Personal\Certificates\ .

Instalación del certificado de cliente

Cada equipo necesita un certificado de cliente para autenticarse. Si el certificado de cliente aún no está instalado en el equipo local, puede instalarlo mediante los pasos siguientes:

1. Busque el certificado de cliente. Para obtener más información sobre los certificados de cliente, consulte Instalar certificados de cliente.
2. Instale el certificado de cliente. Normalmente, para instalar el certificado puede hacer doble clic en el archivo de certificado y proporcionar una contraseña (si es necesario).
3. También usará el certificado de cliente más adelante en este ejercicio para realizar la configuración del perfil de cliente de OpenVPN Connect.

Visualización de los archivos de configuración de perfil de cliente

El paquete de configuración del perfil de cliente VPN contiene carpetas específicas. Los archivos de las carpetas contienen la configuración necesaria para configurar el perfil de cliente VPN en el equipo cliente. Los archivos y la configuración que contienen son específicos de la puerta de enlace de VPN y el tipo de autenticación y túnel que la puerta de enlace de VPN está configurada para su uso.

Busca y descomprime el paquete de configuración del perfil de cliente VPN que generaste. Para la autenticación de certificados y OpenVPN, debería ver la carpeta OpenVPN. Si no ve la carpeta, compruebe los siguientes elementos:

• Compruebe que la puerta de enlace de VPN esté configurada para usar el tipo de túnel OpenVPN.
• Si va a usar la autenticación de Microsoft Entra ID, es posible que no tenga una carpeta OpenVPN. Consulte en su lugar el artículo de configuración de Microsoft Entra ID.

Configurar el cliente

1. Descargue e instale el cliente OpenVPN (versión 2.4 o superior) desde el sitio web de OpenVPN oficial.

2. Localice el paquete de configuración del perfil del cliente VPN que ha generado y descargado en el equipo. Extraiga el paquete. Vaya a la carpeta OpenVPN y abra el archivo de configuración vpnconfig.ovpn con el Bloc de notas.

3. Después, busque el certificado secundario que ha creado. Si no tiene el certificado, use uno de los vínculos siguientes para obtener los pasos necesarios a fin de exportar el certificado. Usará la información del certificado en el paso siguiente.

   • Instrucciones de VPN Gateway
   • Instrucciones de Virtual WAN

4. En el certificado secundario, extraiga la clave privada y la huella digital de base64 de .pfx. Hay varias formas de hacerlo. Una de ellas es usar OpenSSL en su equipo. El archivo profileinfo.txt contiene la clave privada y la huella digital de la entidad de certificación y el certificado de cliente. Asegúrese de usar la huella digital del certificado de cliente.

   openssl pkcs12 -in "filename.pfx" -nodes -out "profileinfo.txt"
   

5. Cambie al archivo vpnconfig.ovpn que ha abierto en el Bloc de notas. Rellene la sección entre <cert> y </cert>, obteniendo los valores de $CLIENT_CERTIFICATE, $INTERMEDIATE_CERTIFICATE y $ROOT_CERTIFICATE como se muestra en el ejemplo siguiente.

      # P2S client certificate
      # please fill this field with a PEM formatted cert
      <cert>
      $CLIENT_CERTIFICATE
      $INTERMEDIATE_CERTIFICATE (optional)
      $ROOT_CERTIFICATE
      </cert>
   

   • Abra profileinfo.txt del paso anterior en el Bloc de notas. Puede identificar cada uno de los certificados si examina la línea subject=. Por ejemplo, si el certificado secundario se denomina P2SChildCert, el certificado de cliente estará después del atributo subject=CN = P2SChildCert.
   • Para cada certificado de la cadena, copie el texto (incluido y entre) "-----BEGIN CERTIFICATE-----" y "-----END CERTIFICATE-----".
   • Incluya solo un valor $INTERMEDIATE_CERTIFICATE si tiene un certificado intermedio en el archivo profileinfo.txt.

6. Abra el archivo profileinfo.txt en el Bloc de notas. Para obtener la clave privada, seleccione el texto (incluido y entre) "-----BEGIN PRIVATE KEY-----" y "-----END PRIVATE KEY-----" y cópielo.

7. Vuelva al archivo vpnconfig.ovpn en el Bloc de notas y busque esta sección. Pegue la clave privada y reemplace todo lo que hay entre <key> y </key>.

   # P2S client root certificate private key
   # please fill this field with a PEM formatted key
   <key>
   $PRIVATEKEY
   </key>
   

8. Si usa la versión 2.6 del cliente OpenVPN, agregue la opción "disable-dco" al perfil. Esta opción no parece ser compatible con versiones anteriores, por lo que solo se debe agregar a la versión 2.6 del cliente OpenVPN.

9. No cambie los demás campos. Use los datos de la configuración de entrada del cliente para conectarse a la VPN.

10. Copie el archivo vpnconfig.ovpn en la carpeta C:\Program Files\OpenVPN\config.

11. Haga clic con el botón derecho en el icono de OpenVPN en la bandeja del sistema y después haga clic en Conectar.

Pasos siguientes

Para modificar la configuración adicional de la conexión VPN de usuario P2S, consulte Tutorial: Creación de una conexión VPN de usuario P2S.