Konfigurowanie klienta OpenVPN 2.x dla połączeń uwierzytelniania certyfikatów P2S — Windows

Jeśli brama sieci VPN typu punkt-lokacja (P2S) jest skonfigurowana do korzystania z protokołu OpenVPN i uwierzytelniania certyfikatu, możesz nawiązać połączenie z siecią wirtualną przy użyciu klienta OpenVPN. W tym artykule opisano kroki konfigurowania klienta OpenVPN w wersji 2.4 i nowszej oraz nawiązywania połączenia z siecią wirtualną.

Zanim rozpoczniesz

Przed rozpoczęciem kroków konfiguracji klienta sprawdź, czy znajdujesz się w odpowiednim artykule dotyczącym konfiguracji klienta sieci VPN. W poniższej tabeli przedstawiono artykuły konfiguracji dostępne dla klientów sieci VPN typu punkt-lokacja bramy sieci VPN. Kroki różnią się w zależności od typu uwierzytelniania, typu tunelu i systemu operacyjnego klienta.

Uwierzytelnianie	Typ tunelu	System operacyjny klienta	Klient sieci VPN
Certyfikat
	IKEv2, SSTP	Windows	Natywny klient sieci VPN
	IKEv2	macOS	Natywny klient sieci VPN
	IKEv2	Linux	strongSwan
	OpenVPN	Windows	Klient sieci VPN platformy Azure Klient OpenVPN w wersji 2.x Klient OpenVPN w wersji 3.x
	OpenVPN	macOS	Klient OpenVPN
	OpenVPN	iOS	Klient OpenVPN
	OpenVPN	Linux	Azure VPN Client Klient OpenVPN
Microsoft Entra ID
	OpenVPN	Windows	Klient sieci VPN platformy Azure
	OpenVPN	macOS	Azure VPN Client
	OpenVPN	Linux	Azure VPN Client

Uwaga

Klient OpenVPN jest zarządzany niezależnie, a nie pod kontrolą firmy Microsoft. Oznacza to, że firma Microsoft nie nadzoruje kodu, kompilacji, planu działania ani aspektów prawnych. Jeśli klienci napotykają jakiekolwiek błędy lub problemy z klientem OpenVPN, powinni skontaktować się bezpośrednio z pomocą techniczną firmy OpenVPN Inc. Wytyczne zawarte w tym artykule są dostarczane "tak, jak to jest" i nie zostały zweryfikowane przez OpenVPN Inc. Mają one pomóc klientom, którzy już znają klienta i chcą używać go do łączenia się z usługą Azure VPN Gateway w konfiguracji sieci VPN typu punkt-lokacja.

Wymagania wstępne

W tym artykule założono, że zostały już spełnione następujące wymagania wstępne:

• Utworzono i skonfigurowano bramę sieci VPN na potrzeby uwierzytelniania certyfikatu typu punkt-lokacja oraz typu tunelu OpenVPN. Aby uzyskać instrukcje, zobacz Konfigurowanie ustawień serwera dla połączeń bramy sieci VPN typu punkt-lokacja — uwierzytelnianie certyfikatu.
• Wygenerowano i pobrano pliki konfiguracji klienta sieci VPN. Aby uzyskać instrukcje, zobacz Generowanie plików konfiguracji profilu klienta sieci VPN.
• Możesz wygenerować certyfikaty klienta lub uzyskać odpowiednie certyfikaty klienta niezbędne do uwierzytelniania.

Wymagania dotyczące połączenia

Aby nawiązać połączenie z platformą Azure przy użyciu klienta OpenVPN przy użyciu uwierzytelniania certyfikatu, każdy połączony komputer kliencki wymaga następujących elementów:

• Oprogramowanie open VPN Client musi być zainstalowane i skonfigurowane na każdym komputerze klienckim.
• Komputer kliencki musi mieć zainstalowany lokalnie certyfikat klienta.

Przepływ pracy

Przepływ pracy dla tego artykułu to:

1. Wygeneruj i zainstaluj certyfikaty klienta, jeśli jeszcze tego nie zrobiono.
2. Wyświetl pliki konfiguracji profilu klienta sieci VPN zawarte w wygenerowanych pakietach konfiguracji profilu klienta sieci VPN.
3. Skonfiguruj klienta OpenVPN.
4. Nawiązywanie połączenia z platformą Azure.

Generowanie i instalowanie certyfikatów klienta

W przypadku uwierzytelniania certyfikatu należy zainstalować certyfikat klienta na każdym komputerze klienckim. Certyfikat klienta, którego chcesz użyć, musi zostać wyeksportowany z kluczem prywatnym i musi zawierać wszystkie certyfikaty w ścieżce certyfikacji. Ponadto w przypadku niektórych konfiguracji należy również zainstalować informacje o certyfikacie głównym.

W wielu przypadkach można zainstalować certyfikat klienta bezpośrednio na komputerze klienckim, klikając dwukrotnie. Jednak w przypadku niektórych konfiguracji klienta OpenVPN może być konieczne wyodrębnienie informacji z certyfikatu klienta w celu ukończenia konfiguracji.

• Aby uzyskać informacje na temat pracy z certyfikatami, zobacz Punkt-lokacja: Generowanie certyfikatów.
• Aby wyświetlić zainstalowany certyfikat klienta, otwórz pozycję Zarządzaj certyfikatami użytkowników. Certyfikat klienta jest instalowany w folderze Current User\Personal\Certificates.

Instalowanie certyfikatu klienta

Każdy komputer potrzebuje certyfikatu klienta w celu uwierzytelnienia. Jeśli certyfikat klienta nie został jeszcze zainstalowany na komputerze lokalnym, możesz go zainstalować, wykonując następujące czynności:

1. Znajdź certyfikat klienta. Aby uzyskać więcej informacji na temat certyfikatów klienta, zobacz Instalowanie certyfikatów klienta.
2. Zainstaluj certyfikat klienta. Zazwyczaj można to zrobić, klikając dwukrotnie plik certyfikatu i podając hasło (jeśli jest to wymagane).

Wyświetlanie plików konfiguracji

Pakiet konfiguracji profilu klienta sieci VPN zawiera określone foldery. Pliki w folderach zawierają ustawienia wymagane do skonfigurowania profilu klienta sieci VPN na komputerze klienckim. Pliki i zawarte w nich ustawienia są specyficzne dla bramy sieci VPN, a typ uwierzytelniania i tunel bramy sieci VPN jest skonfigurowany do użycia.

Znajdź i rozpakuj wygenerowany pakiet konfiguracji profilu klienta sieci VPN. W przypadku uwierzytelniania certyfikatów i protokołu OpenVPN powinien zostać wyświetlony folder OpenVPN . Jeśli folder nie jest widoczny, sprawdź następujące elementy:

• Sprawdź, czy brama sieci VPN jest skonfigurowana do używania typu tunelu OpenVPN.
• Jeśli używasz uwierzytelniania microsoft Entra, być może nie masz folderu OpenVPN. Zamiast tego zapoznaj się z artykułem dotyczącym konfiguracji identyfikatora Entra firmy Microsoft.

Konfigurowanie klienta

1. Pobierz i zainstaluj klienta OpenVPN (wersja 2.4 lub nowsza) z oficjalnej witryny internetowej OpenVPN.

2. Znajdź wygenerowany i pobrany na komputer pakiet konfiguracji profilu klienta sieci VPN. Wyodrębnij pakiet. Przejdź do folderu OpenVPN i otwórz plik konfiguracji vpnconfig.ovpn przy użyciu Notatnika.

3. Następnie znajdź utworzony certyfikat podrzędny. Jeśli nie masz certyfikatu, użyj jednego z poniższych linków, aby wykonać kroki eksportowania certyfikatu. Informacje o certyfikacie będą używane w następnym kroku.

   • Instrukcje dotyczące usługi VPN Gateway
   • Instrukcje dotyczące wirtualnej sieci WAN

4. Z certyfikatu podrzędnego wyodrębnij klucz prywatny i odcisk palca base64 z pliku PFX. Istnieje wiele sposobów, aby to zrobić. Korzystanie z biblioteki OpenSSL na komputerze jest jednym ze sposobów. Plik profileinfo.txt zawiera klucz prywatny oraz odcisk palca urzędu certyfikacji i certyfikatu klienta. Pamiętaj, aby użyć odcisku palca certyfikatu klienta.

   openssl pkcs12 -in "filename.pfx" -nodes -out "profileinfo.txt"
   

5. Przejdź do pliku vpnconfig.ovpn otwartego w Notatniku. Wypełnij sekcję między <cert> i </cert>, uzyskując wartości dla $CLIENT_CERTIFICATE, $INTERMEDIATE_CERTIFICATEi, jak $ROOT_CERTIFICATE pokazano w poniższym przykładzie.

      # P2S client certificate
      # please fill this field with a PEM formatted cert
      <cert>
      $CLIENT_CERTIFICATE
      $INTERMEDIATE_CERTIFICATE (optional)
      $ROOT_CERTIFICATE
      </cert>
   

   • Otwórz profileinfo.txt z poprzedniego kroku w Notatniku. Każdy certyfikat można zidentyfikować, przeglądając subject= wiersz. Jeśli na przykład certyfikat podrzędny nosi nazwę P2SChildCert, certyfikat klienta będzie znajdować się po atrybucie subject=CN = P2SChildCert .
   • Dla każdego certyfikatu w łańcuchu skopiuj tekst (w tym między) "-----BEGIN CERTIFICATE-----" i "-----END CERTIFICATE-----".
   • Uwzględnij $INTERMEDIATE_CERTIFICATE tylko wartość, jeśli masz certyfikat pośredni w pliku profileinfo.txt .

6. Otwórz profileinfo.txt w Notatniku. Aby uzyskać klucz prywatny, zaznacz tekst (w tym między) "-----BEGIN PRIVATE KEY-----" i "-----END PRIVATE KEY-----" i skopiuj go.

7. Wróć do pliku vpnconfig.ovpn w Notatniku i znajdź tę sekcję. Wklej klucz prywatny, zastępując wszystko między elementami i i <key> </key>.

   # P2S client root certificate private key
   # please fill this field with a PEM formatted key
   <key>
   $PRIVATEKEY
   </key>
   

8. Jeśli używasz wersji 2.6 klienta OpenVPN, dodaj opcję "disable-dco" do profilu. Ta opcja nie wydaje się być zgodna z poprzednimi wersjami, dlatego powinna zostać dodana tylko do klienta OpenVPN w wersji 2.6.

9. Nie zmieniaj żadnych innych pól. Użyj konfiguracji wprowadzonej w danych wejściowych klienta, aby nawiązać połączenie z siecią VPN.

10. Skopiuj plik vpnconfig.ovpn do folderu C:\Program Files\OpenVPN\config.

11. Kliknij prawym przyciskiem myszy ikonę OpenVPN na pasku zadań systemowych, a następnie kliknij przycisk Połącz.

Następne kroki

Postępuj zgodnie z dodatkowymi ustawieniami serwera lub połączenia. Zobacz Kroki konfiguracji punkt-lokacja.