Поделиться через

Настройка клиента OpenVPN 2.x для подключений проверки подлинности VPN-сертификата пользователя P2S — Windows

  • Статья

Если VPN-шлюз типа "точка — сеть" (P2S) настроен для использования OpenVPN и проверки подлинности сертификата, вы можете подключиться к виртуальной сети с помощью клиента OpenVPN. В этой статье описаны действия по настройке клиента OpenVPN 2.4 и более поздней версии и подключению к виртуальной сети. Сведения о клиентах OpenVPN Connect 3.x см. в разделе Настройка клиента OpenVPN 3.x для подключений проверки подлинности VPN-сертификата P2S — Windows.

Примечание.

Клиент OpenVPN управляется независимо и не контролируется корпорацией Майкрософт. Это означает, что корпорация Майкрософт не контролирует свой код, сборки, план развития или юридические аспекты. Если клиенты сталкиваются с любыми ошибками или проблемами с клиентом OpenVPN, они должны напрямую обратиться в службу поддержки OpenVPN Inc. Рекомендации в этой статье приведены "как есть" и не были проверены OpenVPN Inc. Они предназначены для поддержки клиентов, которые уже знакомы с клиентом и хотят использовать его для подключения к Azure VPN-шлюз в настройке VPN типа "точка — сеть".

Подготовка к работе

Прежде чем начать, убедитесь, что вы настроили Виртуальную глобальную сеть в соответствии с инструкциями, описанными в статье Создание пользовательских VPN-подключений типа P2S. Конфигурация VPN пользователя должна предусматривать проверку подлинности на основе сертификата.

Необходимые компоненты

В этой статье предполагается, что вы уже выполнили следующие предварительные требования:

  • Вы настроили виртуальную глобальную сеть в соответствии с инструкциями, описанными в статье "Создание vpn-подключений типа "точка — сеть". Конфигурация VPN пользователя должна предусматривать проверку подлинности на основе сертификата.
  • Вы создали и скачали файлы конфигурации VPN-клиента. Инструкции по созданию пакета конфигурации профиля VPN-клиента см. в разделе "Создание файлов конфигурации VPN-клиента".
  • Вы можете создать сертификаты клиента или получить соответствующие сертификаты клиента, необходимые для проверки подлинности.

Требования к подключению

Чтобы подключиться к Azure с помощью клиента OpenVPN с помощью проверки подлинности сертификата, для каждого подключающегося клиентского компьютера требуются следующие элементы:

  • Программное обеспечение открытого VPN-клиента должно быть установлено и настроено на каждом клиентском компьютере.
  • Клиентский компьютер должен иметь сертификат клиента, установленный локально.

Рабочий процесс

Рабочий процесс для этой статьи:

  1. Создайте и установите сертификаты клиента, если это еще не сделано.
  2. Просмотрите файлы конфигурации профиля VPN-клиента, содержащиеся в созданном пакете конфигурации профиля VPN-клиента.
  3. Настройте клиент OpenVPN.
  4. Подключитесь к Azure.

Создание и установка сертификатов клиента

Для проверки подлинности сертификата сертификат должен быть установлен на каждом клиентском компьютере. Сертификат клиента, который вы хотите использовать, должен экспортироваться с закрытым ключом и содержать все сертификаты в пути сертификации. Кроме того, для некоторых конфигураций также потребуется установить сведения о корневом сертификате.

Во многих случаях сертификат клиента можно установить непосредственно на клиентском компьютере, дважды щелкнув его. Однако для некоторых конфигураций клиента OpenVPN может потребоваться извлечь сведения из сертификата клиента, чтобы завершить настройку.

  • Инструкции по созданию сертификата клиента см. в разделе Создание и экспорт сертификатов.
  • Чтобы просмотреть установленный сертификат клиента, откройте раздел Управление сертификатами пользователей. Сертификат клиента устанавливается в каталог Current User\Personal\Certificates.

Установка сертификата клиента

Каждому компьютеру требуется сертификат клиента для проверки подлинности. Если сертификат клиента еще не установлен на локальном компьютере, его можно установить, выполнив следующие действия.

  1. Найдите сертификат клиента. Дополнительные сведения о сертификатах клиента см. в разделе "Установка сертификатов клиента".
  2. Установите сертификат клиента. Как правило, можно установить сертификат, дважды щелкнув файл сертификата и указав пароль (при необходимости).
  3. Вы также будете использовать сертификат клиента далее в этом упражнении для настройки параметров профиля клиента OpenVPN Connect.

Просмотр файлов конфигурации профиля клиента

Пакет конфигурации профиля VPN-клиента содержит определенные папки. Файлы в папках содержат параметры, необходимые для настройки профиля VPN-клиента на клиентском компьютере. Файлы и параметры, которые они содержат, относятся к VPN-шлюзу, а тип проверки подлинности и туннелирование VPN-шлюза настроен для использования.

Найдите и распакуйте созданный пакет конфигурации профиля VPN-клиента. Для проверки подлинности сертификата и OpenVPN должна появиться папка OpenVPN . Если папка не отображается, проверьте следующее:

Настройка клиента

  1. Загрузите и установите официальный клиент OpenVPN (версии 2.4 или выше) с веб-сайта OpenVPN.

  2. Найдите пакет конфигурации профиля VPN-клиента, созданный и скачанный на компьютер. Извлеките пакет. Перейдите в папку OpenVPN и откройте файл конфигурации vpnconfig.ovpn с помощью Блокнота.

  3. Затем найдите созданный дочерний сертификат. Если у вас нет сертификата, используйте одну из следующих ссылок для экспорта сертификата. Вы будете использовать сведения о сертификате на следующем шаге.

  4. Из дочернего сертификата извлеките закрытый ключ и отпечаток base64 из PFX. Существует несколько способов это сделать. Это можно сделать с помощью OpenSSL на компьютере. Файл profileinfo.txt содержит закрытый ключ, отпечаток для ЦС и сертификат клиента. Не забудьте использовать отпечаток сертификата клиента.

    openssl pkcs12 -in "filename.pfx" -nodes -out "profileinfo.txt"

  5. Перейдите к файлу vpnconfig.ovpn , который вы открыли в Блокноте. Заполните раздел между <cert> и </cert>, получая значения для $CLIENT_CERTIFICATE, $INTERMEDIATE_CERTIFICATEи $ROOT_CERTIFICATE как показано в следующем примере.

       # P2S client certificate
   # please fill this field with a PEM formatted cert
   <cert>
   $CLIENT_CERTIFICATE
   $INTERMEDIATE_CERTIFICATE (optional)
   $ROOT_CERTIFICATE
   </cert>
    • Откройте в Блокноте файл profileinfo.txt с предыдущего шага. Каждый сертификат можно определить, просмотрев строку subject=. Например, если ваш дочерний сертификат называется P2SChildCert, сертификат клиента будет указан после атрибута subject=CN = P2SChildCert.
    • Для каждого сертификата в цепочке скопируйте текст "-----BEGIN CERTIFICATE-----" и "-----END CERTIFICATE-----" (включая текст между ними).
    • Значение $INTERMEDIATE_CERTIFICATE добавляйте только в том случае, если в файле profileinfo.txt есть промежуточный сертификат.

  6. Откройте файл profileinfo.txt в Блокноте. Чтобы получить закрытый ключ, выделите текст между "-----BEGIN PRIVATE KEY-----" и "-----END PRIVATE KEY-----" (включая эти строки) и скопируйте его.

  7. Вернитесь к файлу vpnconfig.ovpn в Блокноте и найдите этот раздел. Вставьте закрытый ключ, заменив все между <key> и </key>.

    # P2S client root certificate private key
# please fill this field with a PEM formatted key
<key>
$PRIVATEKEY
</key>

  8. Если вы используете версию 2.6 клиента OpenVPN, добавьте параметр disable-dco в профиль. Этот параметр не совместим с предыдущими версиями, поэтому его следует добавить только в клиент OpenVPN версии 2.6.

  9. Не изменяйте остальные поля. Для подключения к VPN используйте заполненную конфигурацию на входе клиента.

  10. Скопируйте файл vpnconfig.ovpn в папку C:\Program Files\OpenVPN\config.

  11. Щелкните правой кнопкой мыши значок OpenVPN в области системы и нажмите кнопку "Подключить".

Следующие шаги

Сведения об изменении дополнительных параметров VPN-подключения пользователя по типу P2S см. в Руководстве по созданию VPN-подключения пользователя по типу P2S.