Настройка подключения проверки подлинности сертификата OpenVPN для подключений проверки подлинности сертификатов P2S — Windows
Если VPN-шлюз типа "точка — сеть" (P2S) настроен для использования OpenVPN и проверки подлинности сертификата, вы можете подключиться к виртуальной сети с помощью клиента OpenVPN. В этой статье описаны действия по настройке клиента OpenVPN и подключению к виртуальной сети.
Подготовка к работе
В этой статье предполагается, что вы уже выполнили следующие предварительные требования:
- Вы создали и настроили VPN-шлюз для проверки подлинности сертификата типа "точка — сеть" и типа туннеля OpenVPN. Инструкции по настройке параметров сервера для подключений VPN-шлюз P2S — проверка подлинности на основе сертификата.
- Вы создали сертификаты клиента и скачали файлы конфигурации VPN-клиента. См. сведения о VPN-клиентах типа "точка — сеть": проверка подлинности сертификатов в Windows
Перед началом действий по настройке клиента убедитесь, что вы находитесь в правильной статье конфигурации VPN-клиента. В следующей таблице показаны статьи о конфигурации, доступные для VPN-шлюз VPN-клиентов типа "точка — сеть". Шаги различаются в зависимости от типа проверки подлинности, типа туннеля и клиентской ОС.
Проверка подлинности | Тип туннеля | Создание файлов конфигурации | Настройка VPN-клиента |
---|---|---|---|
Сертификат Azure | IKEv2, SSTP | Windows | Собственный VPN-клиент |
Сертификат Azure | OpenVPN | Windows | - Клиент OpenVPN - VPN-клиент Azure |
Сертификат Azure | IKEv2, OpenVPN | macOS-iOS | macOS-iOS |
Сертификат Azure | IKEv2, OpenVPN | Linux | Linux |
Microsoft Entra ID | OpenVPN (SSL) | Windows | Windows |
Microsoft Entra ID | OpenVPN (SSL) | macOS | macOS |
RADIUS — сертификат | - | Статья | Статья |
RADIUS — пароль | - | Статья | Статья |
RADIUS — другие методы | - | Статья | Статья |
Требования к подключению
Чтобы подключиться к Azure, для каждого подключающегося клиентского компьютера требуются следующие элементы:
- Программное обеспечение открытого VPN-клиента должно быть установлено и настроено на каждом клиентском компьютере.
- Клиентский компьютер должен иметь сертификат клиента, установленный локально.
Просмотр файлов конфигурации
Пакет конфигурации профиля VPN-клиента содержит определенные папки. Файлы в папках содержат параметры, необходимые для настройки профиля VPN-клиента на клиентском компьютере. Файлы и параметры, которые они содержат, относятся к VPN-шлюзу, а тип проверки подлинности и туннелирование VPN-шлюза настроен для использования.
Найдите и распакуйте созданный пакет конфигурации профиля VPN-клиента. Для проверки подлинности сертификата и OpenVPN должна появиться папка OpenVPN. Если папка не отображается, проверьте следующее:
- Убедитесь, что VPN-шлюз настроен для использования типа туннеля OpenVPN.
- Если вы используете проверку подлинности Microsoft Entra, возможно, у вас нет папки OpenVPN. Вместо этого см. статью о конфигурации идентификатора Microsoft Entra.
Настройка клиента
Примечание.
Клиент OpenVPN версии 2.6 еще не поддерживается.
Загрузите и установите официальный клиент OpenVPN (версии 2.4 или выше) с веб-сайта OpenVPN. Версия 2.6 еще не поддерживается.
Найдите пакет конфигурации профиля VPN-клиента, созданный и скачанный на компьютер. Извлеките пакет. Перейдите в папку OpenVPN и откройте файл конфигурации vpnconfig.ovpn с помощью Блокнот.
Затем найдите созданный дочерний сертификат. Если у вас нет сертификата, используйте одну из следующих ссылок для экспорта сертификата. Вы будете использовать сведения о сертификате на следующем шаге.
- Инструкции по работе с VPN-шлюзом
- Инструкции по работе с виртуальной глобальной сетью
Из дочернего сертификата извлеките закрытый ключ и отпечаток base64 из PFX. Существует несколько способов это сделать. Это можно сделать с помощью OpenSSL на компьютере. Файл profileinfo.txt содержит закрытый ключ, отпечаток для ЦС и сертификат клиента. Не забудьте использовать отпечаток сертификата клиента.
openssl pkcs12 -in "filename.pfx" -nodes -out "profileinfo.txt"
Перейдите к файлу vpnconfig.ovpn, который вы открыли в Блокнот. Заполните раздел между
<cert>
и</cert>
, получив значения для$CLIENT_CERTIFICATE
,$INTERMEDIATE_CERTIFICATE
и$ROOT_CERTIFICATE
, как показано ниже.# P2S client certificate # please fill this field with a PEM formatted cert <cert> $CLIENT_CERTIFICATE $INTERMEDIATE_CERTIFICATE (optional) $ROOT_CERTIFICATE </cert>
- Откройте в Блокноте файл profileinfo.txt с предыдущего шага. Каждый сертификат можно определить, просмотрев строку
subject=
. Например, если ваш дочерний сертификат называется P2SChildCert, сертификат клиента будет указан после атрибутаsubject=CN = P2SChildCert
. - Для каждого сертификата в цепочке скопируйте текст "-----BEGIN CERTIFICATE-----" и "-----END CERTIFICATE-----" (включая текст между ними).
- Значение
$INTERMEDIATE_CERTIFICATE
добавляйте только в том случае, если в файле profileinfo.txt есть промежуточный сертификат.
- Откройте в Блокноте файл profileinfo.txt с предыдущего шага. Каждый сертификат можно определить, просмотрев строку
Откройте файл profileinfo.txt в Блокноте. Чтобы получить закрытый ключ, выделите текст между "-----BEGIN PRIVATE KEY-----" и "-----END PRIVATE KEY-----" (включая эти строки) и скопируйте его.
Вернитесь к файлу vpnconfig.ovpn в Блокноте и найдите этот раздел. Вставьте закрытый ключ, заменив все между
<key>
и</key>
.# P2S client root certificate private key # please fill this field with a PEM formatted key <key> $PRIVATEKEY </key>
Не изменяйте остальные поля. Для подключения к VPN используйте заполненную конфигурацию на входе клиента.
Скопируйте файл vpnconfig.ovpn в папку C:\Program Files\OpenVPN\config.
Щелкните правой кнопкой мыши значок OpenVPN в области системы и щелкните Подключение.
Следующие шаги
Этапынастройки "точка — сеть" — VPN-клиенты типа "точка — сеть": проверка подлинности на основе сертификатов — Windows