設定適用於 P2S 憑證驗證連線的 OpenVPN 用戶端 - Linux
本文可協助您從 Linux 使用 OpenVPN 用戶端透過 VPN 閘道點對站 (P2S) 和憑證驗證連線到 Azure 虛擬網路 (VNet)。
開始之前
請確認您正在閱讀正確的文章。 下表顯示 Azure VPN 閘道 P2S VPN 用戶端可用的設定文章。 步驟會根據驗證類型、通道類型和用戶端 OS 而有所不同。
驗證 | 通道類型 | 用戶端作業系統 | VPN 用戶端 |
---|---|---|---|
[MSSQLSERVER 的通訊協定內容] | |||
IKEv2、SSTP | Windows | 原生 VPN 用戶端 | |
IKEv2 | macOS | 原生 VPN 用戶端 | |
IKEv2 | Linux | strongSwan | |
OpenVPN | Windows | Azure VPN 用戶端 OpenVPN 用戶端 2.x 版 OpenVPN 用戶端 3.x 版 |
|
OpenVPN | macOS | OpenVPN 用戶端 | |
OpenVPN | iOS | OpenVPN 用戶端 | |
OpenVPN | Linux | Azure VPN Client OpenVPN 用戶端 |
|
Microsoft Entra ID | |||
OpenVPN | Windows | Azure VPN 用戶端 | |
OpenVPN | macOS | Azure VPN Client | |
OpenVPN | Linux | Azure VPN Client |
必要條件
本文假設您已經執行下列的必要條件:
- 您已建立並設定 VPN 閘道,以進行點對站憑證驗證和 OpenVPN 通道類型。 如需相關步驟,請參閱設定 P2S VPN 閘道連線的伺服器設定 - 憑證驗證。
- 您已產生並下載 VPN 用戶端組態檔。 如需步驟,請參閱產生 VPN 用戶端設定檔組態檔案 (部分機器翻譯)。
- 您可以產生用戶端憑證,或取得驗證所需的適當用戶端憑證。
連線需求
若要使用 OpenVPN 用戶端透過憑證驗證連線到 Azure,則每個連線的用戶端都需要下列項目:
- Open VPN 用戶端軟體必須安裝在每個用戶端上並加以設定。
- 用戶端必須有本機安裝的正確憑證。
工作流程
本文的工作流程如下:
- 安裝 OpenVPN 用戶端。
- 檢視您產生的 VPN 用戶端設定檔組態封裝中包含的 VPN 用戶端設定檔組態檔案。
- 設定 OpenVPN 用戶端。
- 連線到 Azure。
關於憑證
為了進行憑證驗證,用戶端憑證必須安裝在每部用戶端電腦上。 您想使用的用戶端憑證必須使用私密金鑰匯出,而且必須包含認證路徑中的所有憑證。 此外,針對某些設定,您也需要安裝根憑證資訊。
本文中的 OpenVPN 用戶端會使用以 .pfx 格式匯出的憑證。 您可以使用 Windows 指示,輕鬆地將用戶端憑證匯出至此格式。 請參閱匯出用戶端憑證 - pfx。 如果您沒有 Windows 電腦,您可以改用小型 Windows VM 將憑證匯出至所需的 .pfx 格式。 目前,我們提供的 OpenSSL Linux 指示只會有 .pem 格式。
設定步驟
本節可協助您針對使用 OpenVPN 通道類型的憑證驗證設定 Linux 用戶端。 若要連線到 Azure,請下載 OpenVPN 用戶端並設定連線設定檔。
注意
尚不支援 OpenVPN 用戶端 2.6 版。
開啟新的終端機工作階段。 同時按下 'Ctrl + Alt + t' 即可開啟新的工作階段。
輸入下列命令以安裝所需的元件:
sudo apt-get install openvpn sudo apt-get -y install network-manager-openvpn sudo service network-manager restart
接下來,移至 VPN 用戶端設定檔資料夾,然後解壓縮以檢視檔案。
匯出您所建立並上傳至閘道上 P2S 設定的 P2S 用戶端憑證。 如需相關步驟,請參閱 VPN 閘道點對站。
從 .pfx 擷取私密金鑰和 base64 指紋。 有多種方式可以執行這項操作。 其中一種方式是在電腦上使用 OpenSSL。
openssl pkcs12 -in "filename.pfx" -nodes -out "profileinfo.txt"
profileinfo.txt 檔案包含 CA 的私密金鑰和指紋,以及用戶端憑證。 請務必使用用戶端憑證的指紋。
在文字編輯器中開啟 profileinfo.txt。 若要取得用戶端 (子系) 憑證的指紋,請選取子系憑證介於 "-----BEGIN CERTIFICATE-----" 和 "-----END CERTIFICATE-----" 之間 (包含這兩句) 的文字,並加以複製。 您可以藉由查看 subject=/ 這一行來識別子系憑證。
開啟 vpnconfig.ovpn 檔案,並尋找以下範例中的區段。 取代 "cert" 與 "/cert" 之間的所有內容。
# P2S client certificate # please fill this field with a PEM formatted cert <cert> $CLIENTCERTIFICATE </cert>
在文字編輯器中開啟 profileinfo.txt。 若要取得私密金鑰,請選取 "-----BEGIN PRIVATE KEY-----" 和 "-----END PRIVATE KEY-----" 以及介於兩者之間的文字,並加以複製。
在文字編輯器中開啟 vpnconfig.ovpn 檔案,並尋找此區段。 貼上私密金鑰來取代 "key" 與 "/key" 之間的所有內容。
# P2S client root certificate private key # please fill this field with a PEM formatted key <key> $PRIVATEKEY </key>
請勿變更任何其他欄位。 使用用戶端輸入中填入的設定來連線至 VPN。
若要使用命令列建立連線,請輸入下列命令:
sudo openvpn --config <name and path of your VPN profile file>&
若要使用命令列中斷連線,請輸入下列命令:
sudo pkill openvpn
若要使用 GUI 建立連線,請移至系統設定。
選取 + 以新增 VPN 連線。
在 [新增 VPN] 之下,挑選 [匯入自檔案...]。
瀏覽至設定檔並按兩下或點選 [開啟]。
選取 [新增 VPN] 視窗上的 [新增]。
在 [網路設定] 頁面上或在系統匣中網路圖示下將 VPN 切換到 [開] 即可建立連線。
下一步
如需其他步驟,請返回 P2S Azure 入口網站一文。