Konfigurowanie klienta openVPN 2.x dla połączeń uwierzytelniania certyfikatu sieci VPN użytkownika P2S — Windows

Jeśli brama sieci VPN typu punkt-lokacja (P2S) jest skonfigurowana do korzystania z protokołu OpenVPN i uwierzytelniania certyfikatu, możesz nawiązać połączenie z siecią wirtualną przy użyciu klienta OpenVPN. W tym artykule opisano kroki konfigurowania klienta OpenVPN w wersji 2.4 i nowszej oraz nawiązywania połączenia z siecią wirtualną. W przypadku klientów protokołu OpenVPN Connect 3.x zobacz Konfigurowanie klienta OpenVPN 3.x dla połączeń uwierzytelniania certyfikatu sieci VPN użytkownika P2S — Windows.

Uwaga

Klient OpenVPN jest zarządzany niezależnie, a nie pod kontrolą firmy Microsoft. Oznacza to, że firma Microsoft nie nadzoruje kodu, kompilacji, planu działania ani aspektów prawnych. Jeśli klienci napotykają jakiekolwiek błędy lub problemy z klientem OpenVPN, powinni skontaktować się bezpośrednio z pomocą techniczną firmy OpenVPN Inc. Wytyczne zawarte w tym artykule są dostarczane "tak, jak to jest" i nie zostały zweryfikowane przez OpenVPN Inc. Mają one pomóc klientom, którzy już znają klienta i chcą używać go do łączenia się z usługą Azure VPN Gateway w konfiguracji sieci VPN typu punkt-lokacja.

Zanim rozpoczniesz

Przed rozpoczęciem upewnij się, że skonfigurowano wirtualną sieć WAN zgodnie z instrukcjami opisanymi w artykule Tworzenie połączeń punkt-lokacja sieci VPN użytkownika. Konfiguracja sieci VPN użytkownika musi używać uwierzytelniania certyfikatu.

Wymagania wstępne

W tym artykule założono, że zostały już spełnione następujące wymagania wstępne:

• Skonfigurowano wirtualną sieć WAN zgodnie z instrukcjami w artykule Tworzenie połączeń punkt-lokacja sieci VPN użytkownika. Konfiguracja sieci VPN użytkownika musi używać uwierzytelniania certyfikatu.
• Wygenerowano i pobrano pliki konfiguracji klienta sieci VPN. Aby uzyskać instrukcje generowania pakietu konfiguracji profilu klienta sieci VPN, zobacz Generowanie plików konfiguracji klienta sieci VPN.
• Możesz wygenerować certyfikaty klienta lub uzyskać odpowiednie certyfikaty klienta niezbędne do uwierzytelniania.

Wymagania dotyczące połączenia

Aby nawiązać połączenie z platformą Azure przy użyciu klienta OpenVPN przy użyciu uwierzytelniania certyfikatu, każdy połączony komputer kliencki wymaga następujących elementów:

• Oprogramowanie open VPN Client musi być zainstalowane i skonfigurowane na każdym komputerze klienckim.
• Komputer kliencki musi mieć zainstalowany lokalnie certyfikat klienta.

Przepływ pracy

Przepływ pracy dla tego artykułu to:

1. Wygeneruj i zainstaluj certyfikaty klienta, jeśli jeszcze tego nie zrobiono.
2. Wyświetl pliki konfiguracji profilu klienta sieci VPN zawarte w wygenerowanych pakietach konfiguracji profilu klienta sieci VPN.
3. Skonfiguruj klienta OpenVPN.
4. Nawiązywanie połączenia z platformą Azure.

Generowanie i instalowanie certyfikatów klienta

W przypadku uwierzytelniania certyfikatu należy zainstalować certyfikat klienta na każdym komputerze klienckim. Certyfikat klienta, którego chcesz użyć, musi zostać wyeksportowany z kluczem prywatnym i musi zawierać wszystkie certyfikaty w ścieżce certyfikacji. Ponadto w przypadku niektórych konfiguracji należy również zainstalować informacje o certyfikacie głównym.

W wielu przypadkach można zainstalować certyfikat klienta bezpośrednio na komputerze klienckim, klikając dwukrotnie. Jednak w przypadku niektórych konfiguracji klienta OpenVPN może być konieczne wyodrębnienie informacji z certyfikatu klienta w celu ukończenia konfiguracji.

• Aby uzyskać instrukcje generowania certyfikatu klienta, zobacz Generowanie i eksportowanie certyfikatów.
• Aby wyświetlić zainstalowany certyfikat klienta, otwórz pozycję Zarządzaj certyfikatami użytkowników. Certyfikat klienta jest instalowany w folderze Current User\Personal\Certificates.

Instalowanie certyfikatu klienta

Każdy komputer potrzebuje certyfikatu klienta w celu uwierzytelnienia. Jeśli certyfikat klienta nie został jeszcze zainstalowany na komputerze lokalnym, możesz go zainstalować, wykonując następujące czynności:

1. Znajdź certyfikat klienta. Aby uzyskać więcej informacji na temat certyfikatów klienta, zobacz Instalowanie certyfikatów klienta.
2. Zainstaluj certyfikat klienta. Zazwyczaj można zainstalować certyfikat, klikając dwukrotnie plik certyfikatu i podając hasło (jeśli jest to wymagane).
3. W dalszej części tego ćwiczenia użyjesz certyfikatu klienta, aby skonfigurować ustawienia profilu klienta OpenVPN Connect.

Wyświetlanie plików konfiguracji profilu klienta

Pakiet konfiguracji profilu klienta sieci VPN zawiera określone foldery. Pliki w folderach zawierają ustawienia wymagane do skonfigurowania profilu klienta sieci VPN na komputerze klienckim. Pliki i zawarte w nich ustawienia są specyficzne dla bramy sieci VPN, a typ uwierzytelniania i tunel bramy sieci VPN jest skonfigurowany do użycia.

Znajdź i rozpakuj wygenerowany pakiet konfiguracji profilu klienta sieci VPN. W przypadku uwierzytelniania certyfikatów i protokołu OpenVPN powinien zostać wyświetlony folder OpenVPN . Jeśli folder nie jest widoczny, sprawdź następujące elementy:

• Sprawdź, czy brama sieci VPN jest skonfigurowana do używania typu tunelu OpenVPN.
• Jeśli używasz uwierzytelniania microsoft Entra ID, być może nie masz folderu OpenVPN. Zamiast tego zapoznaj się z artykułem dotyczącym konfiguracji identyfikatora Entra firmy Microsoft.

Konfigurowanie klienta

1. Pobierz i zainstaluj klienta OpenVPN (wersja 2.4 lub nowsza) z oficjalnej witryny internetowej OpenVPN.

2. Znajdź wygenerowany i pobrany na komputer pakiet konfiguracji profilu klienta sieci VPN. Wyodrębnij pakiet. Przejdź do folderu OpenVPN i otwórz plik konfiguracji vpnconfig.ovpn przy użyciu Notatnika.

3. Następnie znajdź utworzony certyfikat podrzędny. Jeśli nie masz certyfikatu, użyj jednego z poniższych linków, aby wykonać kroki eksportowania certyfikatu. Informacje o certyfikacie będą używane w następnym kroku.

   • Instrukcje dotyczące usługi VPN Gateway
   • Instrukcje dotyczące wirtualnej sieci WAN

4. Z certyfikatu podrzędnego wyodrębnij klucz prywatny i odcisk palca base64 z pliku PFX. Istnieje wiele sposobów, aby to zrobić. Korzystanie z biblioteki OpenSSL na komputerze jest jednym ze sposobów. Plik profileinfo.txt zawiera klucz prywatny oraz odcisk palca urzędu certyfikacji i certyfikatu klienta. Pamiętaj, aby użyć odcisku palca certyfikatu klienta.

   openssl pkcs12 -in "filename.pfx" -nodes -out "profileinfo.txt"
   

5. Przejdź do pliku vpnconfig.ovpn otwartego w Notatniku. Wypełnij sekcję między <cert> i </cert>, uzyskując wartości dla $CLIENT_CERTIFICATE, $INTERMEDIATE_CERTIFICATEi, jak $ROOT_CERTIFICATE pokazano w poniższym przykładzie.

      # P2S client certificate
      # please fill this field with a PEM formatted cert
      <cert>
      $CLIENT_CERTIFICATE
      $INTERMEDIATE_CERTIFICATE (optional)
      $ROOT_CERTIFICATE
      </cert>
   

   • Otwórz profileinfo.txt z poprzedniego kroku w Notatniku. Każdy certyfikat można zidentyfikować, przeglądając subject= wiersz. Jeśli na przykład certyfikat podrzędny nosi nazwę P2SChildCert, certyfikat klienta będzie znajdować się po atrybucie subject=CN = P2SChildCert .
   • Dla każdego certyfikatu w łańcuchu skopiuj tekst (w tym między) "-----BEGIN CERTIFICATE-----" i "-----END CERTIFICATE-----".
   • Uwzględnij $INTERMEDIATE_CERTIFICATE tylko wartość, jeśli masz certyfikat pośredni w pliku profileinfo.txt .

6. Otwórz profileinfo.txt w Notatniku. Aby uzyskać klucz prywatny, zaznacz tekst (w tym między) "-----BEGIN PRIVATE KEY-----" i "-----END PRIVATE KEY-----" i skopiuj go.

7. Wróć do pliku vpnconfig.ovpn w Notatniku i znajdź tę sekcję. Wklej klucz prywatny, zastępując wszystko między elementami i i <key></key>.

   # P2S client root certificate private key
   # please fill this field with a PEM formatted key
   <key>
   $PRIVATEKEY
   </key>
   

8. Jeśli używasz wersji 2.6 klienta OpenVPN, dodaj opcję "disable-dco" do profilu. Ta opcja nie wydaje się być zgodna z poprzednimi wersjami, dlatego powinna zostać dodana tylko do klienta OpenVPN w wersji 2.6.

9. Nie zmieniaj żadnych innych pól. Użyj konfiguracji wprowadzonej w danych wejściowych klienta, aby nawiązać połączenie z siecią VPN.

10. Skopiuj plik vpnconfig.ovpn do folderu C:\Program Files\OpenVPN\config.

11. Kliknij prawym przyciskiem myszy ikonę OpenVPN na pasku zadań systemowych, a następnie kliknij przycisk Połącz.

Następne kroki

Aby zmodyfikować dodatkowe ustawienia połączenia sieci VPN użytkownika P2S, zobacz Samouczek: tworzenie połączenia sieci VPN użytkownika P2S.