Konfigurowanie klienta sieci VPN platformy Azure — uwierzytelnianie certyfikatu OpenVPN — Linux (wersja zapoznawcza)
Ten artykuł ułatwia nawiązywanie połączenia z siecią wirtualną platformy Azure (VNet) z klienta sieci VPN platformy Azure dla systemu Linux przy użyciu uwierzytelniania certyfikatu punkt-lokacja (P2S). Klient sieci VPN platformy Azure dla systemu Linux wymaga typu tunelu OpenVPN.
Chociaż możliwe jest, że klient sieci VPN platformy Azure dla systemu Linux może działać w innych dystrybucjach i wydaniach systemu Linux, klient sieci VPN platformy Azure dla systemu Linux jest obsługiwany tylko w następujących wersjach:
- Ubuntu 20.04
- Ubuntu 22.04
Zanim rozpoczniesz
Sprawdź, czy jesteś w prawidłowym artykule. W poniższej tabeli przedstawiono artykuły konfiguracji dostępne dla klientów sieci VPN P2S usługi Azure VPN Gateway. Kroki różnią się w zależności od typu uwierzytelniania, typu tunelu i systemu operacyjnego klienta.
| Uwierzytelnianie | Typ tunelu | System operacyjny klienta | Klient sieci VPN |
|---|---|---|---|
| Certyfikat | |||
| IKEv2, SSTP | Windows | Natywny klient sieci VPN | |
| IKEv2 | macOS | Natywny klient sieci VPN | |
| IKEv2 | Linux | strongSwan | |
| OpenVPN | Windows | Klient sieci VPN platformy Azure Klient OpenVPN w wersji 2.x Klient OpenVPN w wersji 3.x |
|
| OpenVPN | macOS | Klient OpenVPN | |
| OpenVPN | iOS | Klient OpenVPN | |
| OpenVPN | Linux | Azure VPN Client Klient OpenVPN |
|
| Microsoft Entra ID | |||
| OpenVPN | Windows | Klient sieci VPN platformy Azure | |
| OpenVPN | macOS | Azure VPN Client | |
| OpenVPN | Linux | Azure VPN Client |
Wymagania wstępne
W tym artykule założono, że zostały już spełnione następujące wymagania wstępne:
- Brama sieci VPN jest skonfigurowana do uwierzytelniania certyfikatu typu punkt-lokacja i typu tunelu OpenVPN. Aby uzyskać instrukcje, zobacz Konfigurowanie ustawień serwera dla połączeń bramy sieci VPN typu punkt-lokacja — uwierzytelnianie certyfikatu.
- Pliki konfiguracji profilu klienta sieci VPN zostały wygenerowane i są dostępne. Aby uzyskać instrukcje, zobacz Generowanie plików konfiguracji profilu klienta sieci VPN.
Wymagania dotyczące połączenia
Aby nawiązać połączenie z platformą Azure przy użyciu klienta sieci VPN platformy Azure i uwierzytelniania certyfikatu, każdy klient łączący wymaga następujących elementów:
- Oprogramowanie klienta sieci VPN platformy Azure musi być zainstalowane i skonfigurowane na każdym kliencie.
- Klient musi mieć zainstalowane lokalnie poprawne certyfikaty.
Przepływ pracy
Podstawowy przepływ pracy wygląda następująco:
- Generowanie i instalowanie certyfikatów klienta.
- Znajdź pakiet konfiguracji profilu klienta sieci VPN wygenerowany w artykule Konfigurowanie ustawień serwera dla połączeń bramy sieci VPN typu punkt-lokacja — uwierzytelnianie certyfikatu.
- Pobierz i skonfiguruj klienta sieci VPN platformy Azure dla systemu Linux.
- Nawiązywanie połączenia z platformą Azure.
Generowanie certyfikatów
W przypadku uwierzytelniania certyfikatu należy zainstalować certyfikat klienta na każdym komputerze klienckim. Certyfikat klienta, którego chcesz użyć, musi zostać wyeksportowany z kluczem prywatnym i musi zawierać wszystkie certyfikaty w ścieżce certyfikacji. Ponadto w przypadku niektórych konfiguracji należy również zainstalować informacje o certyfikacie głównym.
Wygeneruj dane certyfikatu publicznego klienta i klucz prywatny w formacie pem przy użyciu następujących poleceń. Aby uruchomić polecenia, musisz mieć publiczny certyfikat główny caCert.pem i klucz prywatny certyfikatu głównego caKey.pem. Aby uzyskać więcej informacji, zobacz Generowanie i eksportowanie certyfikatów — Linux — OpenSSL.
export PASSWORD="password"
export USERNAME=$(hostnamectl --static)
# Generate a private key
openssl genrsa -out "${USERNAME}Key.pem" 2048
# Generate a CSR
openssl req -new -key "${USERNAME}Key.pem" -out "${USERNAME}Req.pem" -subj "/CN=${USERNAME}"
# Sign the CSR using the CA certificate and key
openssl x509 -req -days 365 -in "${USERNAME}Req.pem" -CA caCert.pem -CAkey caKey.pem -CAcreateserial -out "${USERNAME}Cert.pem" -extfile <(echo -e "subjectAltName=DNS:${USERNAME}\nextendedKeyUsage=clientAuth")
Wyświetlanie plików konfiguracji profilu klienta sieci VPN
Podczas generowania i pobierania pakietu konfiguracji profilu klienta sieci VPN wszystkie niezbędne ustawienia konfiguracji dla klientów sieci VPN są zawarte w pliku zip konfiguracji profilu klienta sieci VPN. Pliki konfiguracji profilu klienta sieci VPN są specyficzne dla konfiguracji bramy sieci VPN punkt-lokacja dla sieci wirtualnej. Jeśli po wygenerowaniu plików zostaną wprowadzone jakiekolwiek zmiany w konfiguracji sieci VPN typu punkt-lokacja, takie jak zmiany typu protokołu sieci VPN lub typu uwierzytelniania, należy wygenerować nowe pliki konfiguracji profilu klienta sieci VPN i zastosować nową konfigurację do wszystkich klientów sieci VPN, z którymi chcesz nawiązać połączenie.
Znajdź i rozpakuj wygenerowany i pobrany pakiet konfiguracji profilu klienta sieci VPN (wymieniony w prequisites). Otwórz folder AzureVPN. W tym folderze zobaczysz plik azurevpnconfig_cert.xml lub plik azurevpnconfig.xml , w zależności od tego, czy konfiguracja P2S zawiera wiele typów uwierzytelniania. Plik .xml zawiera ustawienia używane do konfigurowania profilu klienta sieci VPN.
Jeśli nie widzisz pliku lub nie masz folderu AzureVPN , sprawdź, czy brama sieci VPN jest skonfigurowana do używania typu tunelu OpenVPN i czy wybrano uwierzytelnianie certyfikatu.
Pobieranie klienta sieci VPN platformy Azure
Dodaj listę repozytorium firmy Microsoft i zainstaluj klienta sieci VPN platformy Azure dla systemu Linux przy użyciu następujących poleceń:
# install curl utility
sudo apt-get install curl
# Install Microsoft's public key
curl -sSl https://packages.microsoft.com/keys/microsoft.asc | sudo tee /etc/apt/trusted.gpg.d/microsoft.asc
# Install the production repo list for focal
# For Ubuntu 20.04
curl https://packages.microsoft.com/config/ubuntu/20.04/prod.list | sudo tee /etc/apt/sources.list.d/microsoft-ubuntu-focal-prod.list
# Install the production repo list for jammy
# For Ubuntu 22.04
curl https://packages.microsoft.com/config/ubuntu/22.04/prod.list | sudo tee /etc/apt/sources.list.d/microsoft-ubuntu-jammy-prod.list
sudo apt-get update
sudo apt-get install microsoft-azurevpnclient
Aby uzyskać więcej informacji na temat repozytorium, zobacz Linux Software Repository for Microsoft Products (Repozytorium oprogramowania systemu Linux dla produktów firmy Microsoft).
Konfigurowanie profilu klienta sieci VPN platformy Azure
Otwórz klienta sieci VPN platformy Azure.
W lewym dolnym rogu strony klienta sieci VPN systemu Linux wybierz pozycję Importuj.
W oknie przejdź do pliku azurevpnconfig.xml lub azurevpnconfig_cert.xml , wybierz go, a następnie wybierz pozycję Otwórz.
Aby dodać dane publiczne certyfikatu klienta, użyj selektora plików i znajdź powiązane pliki pem .
Aby dodać klucz prywatny certyfikatu klienta, użyj selektora i wybierz ścieżkę plików certyfikatów w polach tekstowych klucza prywatnego z rozszerzeniem pliku pem.
Po zweryfikowaniu importu (import bez błędów) wybierz pozycję Zapisz.
W okienku po lewej stronie znajdź utworzony profil połączenia sieci VPN. Wybierz pozycję Połącz.
Po pomyślnym nawiązaniu połączenia klient będzie wyświetlany jako Połączony z zieloną ikoną.
Podsumowanie dzienników połączeń można wyświetlić w dziennikach stanu na ekranie głównym klienta sieci VPN.
Odinstalowywanie klienta sieci VPN platformy Azure
Jeśli chcesz odinstalować klienta sieci VPN platformy Azure, użyj następującego polecenia w terminalu:
sudo apt remove microsoft-azurevpnclient
Następne kroki
Aby uzyskać dodatkowe kroki, wróć do artykułu P2S w witrynie Azure Portal .