Configurare il client VPN di Azure - Autenticazione del certificato VPN utente da punto a sito - Linux (anteprima)
Questo articolo illustra come connettersi alla rete virtuale di Azure usando il client VPN di Azure per Linux. Queste istruzioni si applicano alle connessioni da punto a sito (da punto a sito) VPN utente e autenticazione del certificato. Il client VPN di Azure per Linux richiede il tipo di tunnel OpenVPN .
I file di configurazione del client VPN generati sono specifici della configurazione del gateway VPN utente da sito a sito. Se sono state apportate modifiche alla configurazione VPN da sito a sito dopo aver generato i file, ad esempio le modifiche al tipo di protocollo VPN o al tipo di autenticazione, è necessario generare nuovi file di configurazione del client VPN e applicare la nuova configurazione a tutti i client VPN che si desidera connettere.
Sebbene sia possibile che il client VPN di Azure per Linux funzioni in altre distribuzioni e versioni di Linux, il client VPN di Azure per Linux è supportato solo nelle versioni seguenti:
- Ubuntu 20.04
- Ubuntu 22.04
Operazioni preliminari
Verificare che questo sia l'articolo corretto. La tabella seguente illustra gli articoli di configurazione disponibili per i client VPN da sito a sito di Azure rete WAN virtuale. I passaggi variano a seconda del tipo di autenticazione, del tipo di tunnel e del sistema operativo client.
| Authentication method | Tipo di tunnel | Sistema operativo client | Client VPN |
|---|---|---|---|
| Certificate | IKEv2, SSTP | Finestre | Client VPN nativo |
| IKEv2 | macOS | Client VPN nativo | |
| IKEv2 | Linux | strongSwan | |
| OpenVPN | Finestre |
Client VPN di Azure Client OpenVPN versione 2.x Client OpenVPN versione 3.x |
|
| OpenVPN | macOS | Client OpenVPN | |
| OpenVPN | iOS | Client OpenVPN | |
| OpenVPN | Linux |
Client VPN di Azure Client OpenVPN |
|
| Microsoft Entra ID | OpenVPN | Finestre | Client VPN di Azure |
| OpenVPN | macOS | Client VPN di Azure | |
| OpenVPN | Linux | Client VPN di Azure |
Prerequisiti
Questo articolo presuppone che l'utente abbia già soddisfatto i prerequisiti seguenti:
- È stata configurata una rete WAN virtuale in base alla procedura descritta nell'articolo Creare connessioni VPN da punto a sito utente. La configurazione VPN utente deve usare l'autenticazione del certificato e il tipo di tunnel OpenVPN.
- Sono stati generati e scaricati i file di configurazione del client VPN. Per la procedura per generare un pacchetto di configurazione del profilo client VPN, vedere Generare file di configurazione del client VPN.
- È possibile generare certificati client o acquisire i certificati client appropriati necessari per l'autenticazione.
Requisiti di connessione
Per connettersi ad Azure usando il client VPN di Azure e l'autenticazione del certificato, per ogni client che si connette sono necessari gli elementi seguenti:
- Il software del client VPN di Azure deve essere installato e configurato in ogni client.
- Il client deve avere i certificati corretti installati in locale.
Workflow
Il flusso di lavoro per questo articolo è:
- Generare e installare i certificati client.
- Individuare e visualizzare i file di configurazione del profilo client VPN contenuti nel pacchetto di configurazione del profilo client VPN generato.
- Scaricare e configurare il client VPN di Azure per Linux.
- Connettersi ad Azure.
Generare i certificati
Per l'autenticazione del certificato è necessario installare un certificato client in ogni computer client. Il certificato client che si vuole usare deve essere esportato con la chiave privata e deve contenere tutti i certificati nel percorso di certificazione. Inoltre, per alcune configurazioni, è anche necessario installare le informazioni sul certificato radice.
Generare i dati del certificato pubblico e la chiave privata del client nel formato PEM usando i comandi seguenti. Per eseguire i comandi, è necessario avere il certificato radice pubblico caCert.pem e la chiave privata del certificato radice caKey.pem. Per altre informazioni, vedere Generare ed esportare certificati - Linux - OpenSSL.
export PASSWORD="password"
export USERNAME=$(hostnamectl --static)
# Generate a private key
openssl genrsa -out "${USERNAME}Key.pem" 2048
# Generate a CSR
openssl req -new -key "${USERNAME}Key.pem" -out "${USERNAME}Req.pem" -subj "/CN=${USERNAME}"
# Sign the CSR using the CA certificate and key
openssl x509 -req -days 365 -in "${USERNAME}Req.pem" -CA caCert.pem -CAkey caKey.pem -CAcreateserial -out "${USERNAME}Cert.pem" -extfile <(echo -e "subjectAltName=DNS:${USERNAME}\nextendedKeyUsage=clientAuth")
Visualizzare i file di configurazione del profilo client VPN
Quando si genera e si scarica un pacchetto di configurazione del profilo client VPN, tutte le impostazioni di configurazione necessarie per i client VPN sono contenute in un file ZIP di configurazione del profilo client VPN. I file di configurazione del profilo client VPN sono specifici della configurazione del gateway VPN da punto a sito per la rete virtuale. Se vengono apportate modifiche alla configurazione VPN da punto a sito dopo la generazione dei file, ad esempio modifiche al tipo di autenticazione o al tipo di protocollo VPN, è necessario generare nuovi file di configurazione del profilo client VPN e applicare la nuova configurazione a tutti i client VPN da connettere.
Individuare e decomprimere il pacchetto di configurazione del profilo client VPN generato e scaricato (elencato nei prerequisiti). Aprire la cartella AzureVPN. In questa cartella verranno visualizzati il file azurevpnconfig_cert.xml o il file azurevpnconfig.xml, a seconda che la configurazione da punto a sito includa più tipi di autenticazione. Il file XML contiene le impostazioni da usare per configurare il profilo client VPN.
Se non viene visualizzato alcun file o non si dispone di una cartella AzureVPN, verificare che il gateway VPN sia configurato per usare il tipo di tunnel OpenVPN e che sia selezionata l'autenticazione del certificato.
Scaricare il client VPN di Azure
Aggiungere l'elenco di repository Microsoft e installare il client VPN di Azure per Linux usando i comandi seguenti:
# install curl utility
sudo apt-get install curl
# Install Microsoft's public key
curl -sSl https://packages.microsoft.com/keys/microsoft.asc | sudo tee /etc/apt/trusted.gpg.d/microsoft.asc
# Install the production repo list for focal
# For Ubuntu 20.04
curl https://packages.microsoft.com/config/ubuntu/20.04/prod.list | sudo tee /etc/apt/sources.list.d/microsoft-ubuntu-focal-prod.list
# Install the production repo list for jammy
# For Ubuntu 22.04
curl https://packages.microsoft.com/config/ubuntu/22.04/prod.list | sudo tee /etc/apt/sources.list.d/microsoft-ubuntu-jammy-prod.list
sudo apt-get update
sudo apt-get install microsoft-azurevpnclient
Per altre informazioni sul repository, vedere Repository software Linux per prodotti Microsoft.
Configurare il profilo del client VPN di Azure
Aprire il client VPN di Azure.
Nella parte inferiore sinistra della pagina del client VPN Linux selezionare Importa.
Nella finestra passare al file azurevpnconfig.xml o azurevpnconfig_cert.xml, selezionarlo e quindi selezionare Apri.
Per aggiungere i Dati pubblici del certificato client, usare la selezione file e individuare i file con estensione pem correlati.
Per aggiungere la Chiave privata del certificato client, usare la selezione file e selezionare il percorso dei file di certificato nelle caselle di testo per la chiave privata, con estensione di file pem.
Dopo la convalida dell'importazione (importazione senza errori), selezionare Salva.
Nel riquadro sinistro individuare il profilo di connessione VPN creato. Selezionare Connetti.
Quando il client è connesso correttamente, lo stato viene visualizzato come Connesso con un'icona verde.
È possibile visualizzare il riepilogo dei log di connessione nei Log di stato nella schermata principale del client VPN.
Disinstallare il client VPN di Azure
Se si vuole disinstallare il client VPN di Azure, usare il comando seguente nel terminale:
sudo apt remove microsoft-azurevpnclient
Passaggi successivi
Per altri passaggi, tornare all'articolo Creare una connessione VPN utente da sito a sito rete WAN virtuale.