Konfigurace klienta OpenVPN pro připojení ověřování certifikátů P2S – Windows
Pokud je brána VPN typu point-to-site (P2S) nakonfigurovaná tak, aby používala ověřování pomocí OpenVPN a certifikátu, můžete se k virtuální síti připojit pomocí klienta OpenVPN. Tento článek vás provede postupem konfigurace klienta OpenVPN a připojením k virtuální síti.
Než začnete
Tento článek předpokládá, že jste už provedli následující požadavky:
- Vytvořili jste a nakonfigurovali bránu VPN pro ověřování certifikátu typu point-to-site a typ tunelu OpenVPN. Postup najdete v tématu Konfigurace nastavení serveru pro připojení brány VPN Gateway typu P2S – ověřování certifikátů.
- Vygenerovali jste klientské certifikáty a stáhli jste konfigurační soubory klienta VPN. Viz klienti VPN typu point-to-site: ověřování certifikátů – Windows
Před zahájením kroků konfigurace klienta ověřte, že jste ve správném článku konfigurace klienta VPN. Následující tabulka uvádí články o konfiguraci, které jsou k dispozici pro klienty VPN Vpn Gateway typu point-to-site. Postup se liší v závislosti na typu ověřování, typu tunelu a klientském operačním systému.
Ověřování | Typ tunelového propojení | Generování konfiguračních souborů | Konfigurace klienta VPN |
---|---|---|---|
Certifikát Azure | IKEv2, SSTP | Windows | Nativní klient VPN |
Certifikát Azure | OpenVPN | Windows | - Klient OpenVPN - Klient Azure VPN |
Certifikát Azure | IKEv2, OpenVPN | macOS-iOS | macOS-iOS |
Certifikát Azure | IKEv2, OpenVPN | Linux | Linux |
Microsoft Entra ID | OpenVPN (SSL) | Windows | Windows |
Microsoft Entra ID | OpenVPN (SSL) | macOS | macOS |
RADIUS – certifikát | - | Článek | Článek |
RADIUS – heslo | - | Článek | Článek |
RADIUS – jiné metody | - | Článek | Článek |
požadavky na Připojení
Pokud se chcete připojit k Azure, každý připojený klientský počítač vyžaduje následující položky:
- Na každém klientském počítači musí být nainstalovaný a nakonfigurovaný software Open VPN Client.
- Klientský počítač musí mít klientský certifikát, který je nainstalovaný místně.
Zobrazení konfiguračních souborů
Konfigurační balíček profilu klienta VPN obsahuje konkrétní složky. Soubory v rámci složek obsahují nastavení potřebná ke konfiguraci profilu klienta VPN v klientském počítači. Soubory a nastavení, která obsahují, jsou specifické pro bránu VPN a typ ověřování a tunelu, které brána VPN používá.
Vyhledejte a rozbalte konfigurační balíček profilu klienta VPN, který jste vygenerovali. Pro ověřování certifikátů a OpenVPN by se měla zobrazit složka OpenVPN. Pokud složku nevidíte, ověřte následující položky:
- Ověřte, že je brána VPN nakonfigurovaná tak, aby používala typ tunelu OpenVPN.
- Pokud používáte ověřování Microsoft Entra, možná nemáte složku OpenVPN. Místo toho si přečtěte článek o konfiguraci Microsoft Entra ID .
Konfigurace klienta
Poznámka:
Klient OpenVPN verze 2.6 se zatím nepodporuje.
Stáhněte a nainstalujte klienta OpenVPN (verze 2.4 nebo vyšší) z oficiálního webu OpenVPN. Verze 2.6 se zatím nepodporuje.
Vyhledejte konfigurační balíček profilu klienta VPN, který jste vygenerovali a stáhli do počítače. Extrahujte balíček. Přejděte do složky OpenVPN a otevřete konfigurační soubor vpnconfig.ovpn pomocí Poznámkový blok.
Dále vyhledejte podřízený certifikát, který jste vytvořili. Pokud certifikát nemáte, použijte jeden z následujících odkazů k exportu certifikátu. Informace o certifikátu použijete v dalším kroku.
Z podřízeného certifikátu extrahujte privátní klíč a kryptografický otisk base64 z souboru .pfx. Dá se to udělat několika způsoby. Použití OpenSSL na počítači je jedním ze způsobů. Soubor profileinfo.txt obsahuje privátní klíč a kryptografický otisk certifikační autority a klientského certifikátu. Nezapomeňte použít kryptografický otisk klientského certifikátu.
openssl pkcs12 -in "filename.pfx" -nodes -out "profileinfo.txt"
Přepněte do souboru vpnconfig.ovpn, který jste otevřeli v Poznámkový blok. Vyplňte oddíl mezi
<cert>
oddílem a</cert>
získáním hodnot pro$CLIENT_CERTIFICATE
,$INTERMEDIATE_CERTIFICATE
a$ROOT_CERTIFICATE
jak je znázorněno níže.# P2S client certificate # please fill this field with a PEM formatted cert <cert> $CLIENT_CERTIFICATE $INTERMEDIATE_CERTIFICATE (optional) $ROOT_CERTIFICATE </cert>
- Otevřete profileinfo.txt z předchozího kroku v Poznámkový blok. Jednotlivé certifikáty můžete identifikovat tak, že se podíváte na
subject=
řádek. Pokud se například podřízený certifikát nazývá P2SChildCert, klientský certifikát bude za atributemsubject=CN = P2SChildCert
. - Pro každý certifikát v řetězu zkopírujte text (včetně a mezi) "-----BEGIN CERTIFICATE-----" a "-----END CERTIFICATE-----".
- Hodnotu zahrňte
$INTERMEDIATE_CERTIFICATE
pouze v případě, že máte v souboru profileinfo.txt zprostředkující certifikát.
- Otevřete profileinfo.txt z předchozího kroku v Poznámkový blok. Jednotlivé certifikáty můžete identifikovat tak, že se podíváte na
Otevřete profileinfo.txt v Poznámkový blok. Pokud chcete získat privátní klíč, vyberte text (včetně a mezi) "-----BEGIN PRIVATE KEY-----" a "-----END PRIVATE KEY-----" a zkopírujte ho.
Vraťte se do souboru vpnconfig.ovpn v Poznámkový blok a vyhledejte tuto část. Vložte privátní klíč a nahraďte vše mezi a
<key>
a</key>
.# P2S client root certificate private key # please fill this field with a PEM formatted key <key> $PRIVATEKEY </key>
Neměňte žádná jiná pole. S použitím vyplněné konfigurace ve vstupu klienta se připojte k síti VPN.
Zkopírujte soubor vpnconfig.ovpn do složky C:\Program Files\OpenVPN\config.
Klikněte pravým tlačítkem myši na ikonu OpenVPN v hlavním panelu systému a klikněte na Připojení.
Další kroky
Krokykonfigurace typu Point-to-Site pro klienty VPN typu Point-to-Site: Ověřování certifikátů – Windows