OpenVPN-client configureren voor P2S-certificaatverificatieverbindingen - Windows

Artikel
02/23/2024

Als uw punt-naar-site-VPN-gateway (P2S) is geconfigureerd voor het gebruik van OpenVPN en certificaatverificatie, kunt u verbinding maken met uw virtuele netwerk met behulp van de OpenVPN-client. In dit artikel wordt u begeleid bij de stappen voor het configureren van de OpenVPN-client en het maken van verbinding met uw virtuele netwerk.

Voordat u begint

In dit artikel wordt ervan uitgegaan dat u de volgende vereisten al hebt uitgevoerd:

U hebt uw VPN-gateway gemaakt en geconfigureerd voor punt-naar-site-certificaatverificatie en het Type OpenVPN-tunnel. Zie Serverinstellingen configureren voor P2S VPN Gateway-verbindingen- certificaatverificatie voor stappen.
U hebt clientcertificaten gegenereerd en de configuratiebestanden van de VPN-client gedownload. Zie Punt-naar-site-VPN-clients: certificaatverificatie - Windows

Controleer voordat u begint met de stappen voor clientconfiguratie of u het juiste artikel over vpn-clientconfiguratie gebruikt. In de volgende tabel ziet u de configuratieartikelen die beschikbaar zijn voor punt-naar-site VPN-clients voor VPN Gateway. De stappen verschillen, afhankelijk van het verificatietype, het tunneltype en het client-besturingssysteem.

Verificatie	Tunneltype	Configuratiebestanden genereren	VPN-client configureren
Azure-certificaat	IKEv2, SSTP	Windows	Systeemeigen VPN-client
Azure-certificaat	OpenVPN	Windows	- OpenVPN-client - Azure VPN-client
Azure-certificaat	IKEv2, OpenVPN	macOS-iOS	macOS-iOS
Azure-certificaat	IKEv2, OpenVPN	Linux	Linux
Microsoft Entra ID	OpenVPN (SSL)	Windows	Windows
Microsoft Entra ID	OpenVPN (SSL)	MacOS	MacOS
RADIUS - certificaat	-	Artikel	Artikel
RADIUS - wachtwoord	-	Artikel	Artikel
RADIUS - andere methoden	-	Artikel	Artikel

vereisten voor Verbinding maken ie

Om verbinding te maken met Azure, vereist elke clientcomputer die verbinding maakt de volgende items:

De Open VPN-clientsoftware moet op elke clientcomputer worden geïnstalleerd en geconfigureerd.
De clientcomputer moet een clientcertificaat hebben dat lokaal is geïnstalleerd.

Configuratiebestanden weergeven

Het configuratiepakket voor het VPN-clientprofiel bevat specifieke mappen. De bestanden in de mappen bevatten de instellingen die nodig zijn om het VPN-clientprofiel op de clientcomputer te configureren. De bestanden en de instellingen die ze bevatten, zijn specifiek voor de VPN-gateway en het type verificatie en tunnel dat uw VPN-gateway is geconfigureerd voor gebruik.

Zoek het configuratiepakket voor het VPN-clientprofiel dat u hebt gegenereerd en pak het uit. Voor certificaatverificatie en OpenVPN ziet u een OpenVPN-map. Als u de map niet ziet, controleert u de volgende items:

Controleer of uw VPN-gateway is geconfigureerd voor het gebruik van het Type OpenVPN-tunnel.
Als u Microsoft Entra-verificatie gebruikt, hebt u mogelijk geen OpenVPN-map. Zie in plaats daarvan het configuratieartikel voor Microsoft Entra-id's .

De client configureren

Notitie

OpenVPN Client versie 2.6 wordt nog niet ondersteund.

Download en installeer de OpenVPN-client (versie 2.4 of hoger) van de officiële OpenVPN-website. Versie 2.6 wordt nog niet ondersteund.
Zoek het configuratiepakket voor het VPN-clientprofiel dat u hebt gegenereerd en gedownload naar uw computer. Pak het pakket uit. Ga naar de map OpenVPN en open het configuratiebestand vpnconfig.ovpn met behulp van Kladblok.
Zoek vervolgens het onderliggende certificaat dat u hebt gemaakt. Als u het certificaat niet hebt, gebruikt u een van de volgende koppelingen om het certificaat te exporteren. In de volgende stap gebruikt u de certificaatgegevens.
- Instructies voor VPN Gateway
- Instructies voor Virtual WAN
Pak de persoonlijke sleutel en de base64-vingerafdruk uit het .pfx-bestand uit het onderliggende certificaat. Er zijn meerdere manieren om dit te doen. Het gebruik van OpenSSL op uw computer is één manier. Het profileinfo.txt-bestand bevat de persoonlijke sleutel en de vingerafdruk voor de CA en het clientcertificaat. Zorg ervoor dat u de vingerafdruk van het clientcertificaat gebruikt.
```
openssl pkcs12 -in "filename.pfx" -nodes -out "profileinfo.txt"
```
Schakel over naar het vpnconfig.ovpn-bestand dat u hebt geopend in Kladblok. Vul de sectie in tussen <cert> en </cert>, haal de waarden voor $CLIENT_CERTIFICATEen $INTERMEDIATE_CERTIFICATEop, $ROOT_CERTIFICATE zoals hieronder wordt weergegeven.
```
   # P2S client certificate
   # please fill this field with a PEM formatted cert
   <cert>
   $CLIENT_CERTIFICATE
   $INTERMEDIATE_CERTIFICATE (optional)
   $ROOT_CERTIFICATE
   </cert>
```
- Open profileinfo.txt uit de vorige stap in Kladblok. U kunt elk certificaat identificeren door naar de subject= regel te kijken. Als uw onderliggende certificaat bijvoorbeeld P2SChildCert wordt genoemd, is uw clientcertificaat na het subject=CN = P2SChildCert kenmerk.
- Kopieer voor elk certificaat in de keten de tekst (inclusief en tussen) '-----BEGIN CERTIFICATE-----' en '-----END CERTIFICATE-----'.
- Neem alleen een $INTERMEDIATE_CERTIFICATE waarde op als u een tussenliggend certificaat in uw profileinfo.txt-bestand hebt.
Open de profileinfo.txt in Kladblok. Als u de persoonlijke sleutel wilt ophalen, selecteert u de tekst (inclusief en tussen) "-----BEGIN PRIVATE KEY-----" en "-----END PRIVATE KEY-----" en kopieert u deze.
Ga terug naar het bestand vpnconfig.ovpn in Kladblok en zoek deze sectie. Plak de persoonlijke sleutel die alles tussen en <key> en </key>vervangt.
```
# P2S client root certificate private key
# please fill this field with a PEM formatted key
<key>
$PRIVATEKEY
</key>
```
Wijzig geen andere velden. Gebruik de ingevulde configuratie in de clientinvoer om verbinding te maken met de VPN.
Kopieer het bestand vpnconfig.ovpn naar C:\Program Files\OpenVPN\config folder.
Klik met de rechtermuisknop op het OpenVPN-pictogram in het systeemvak en klik op Verbinding maken.

Volgende stappen

Punt-naar-site-configuratiestappen punt-naar-site-VPN-clients: verificatie via certificaat - Windows