مشاركة عبر

تكوين عميل OpenVPN لاتصالات مصادقة شهادة P2S - Windows

  • مقالة

إذا تم تكوين بوابة VPN من نقطة إلى موقع (P2S) لاستخدام OpenVPN ومصادقة الشهادة، يمكنك الاتصال بشبكتك الظاهرية باستخدام عميل OpenVPN. ترشدك هذه المقالة خلال خطوات تكوين عميل OpenVPN والاتصال بشبكتك الظاهرية.

قبل البدء

قبل البدء في خطوات تكوين العميل، تحقق من أنك تستخدم مقالة تكوين عميل VPN الصحيحة. يعرض الجدول التالي مقالات التكوين المتوفرة لعملاء VPN من نقطة إلى موقع لبوابة VPN. تختلف الخطوات حسب نوع المصادقة ونوع النفق ونظام تشغيل العميل.

المصادقة نوع النفق نظام تشغيل العميل عميل VPN
شهادة
IKEv2، SSTP Windows عميل VPN الأصلي
الإصدار 2 من Internet Key Exchange (مفتاح الإنترنت التبادلي) macOS عميل VPN الأصلي
الإصدار 2 من Internet Key Exchange (مفتاح الإنترنت التبادلي) Linux strongSwan
OpenVPN Windows عميل Azure VPN
عميل OpenVPN
OpenVPN macOS عميل OpenVPN
OpenVPN iOS عميل OpenVPN
OpenVPN Linux عميل Azure VPN
عميل OpenVPN
Microsoft Entra ID
OpenVPN Windows عميل Azure VPN
OpenVPN macOS عميل Azure VPN
OpenVPN Linux عميل Azure VPN

المتطلبات الأساسية

تفترض هذه المقالة أنك قمت بالفعل بتنفيذ المتطلبات الأساسية التالية:

  • لقد قمت بإنشاء بوابة VPN وتكوينها لمصادقة شهادة من نقطة إلى موقع ونوع نفق OpenVPN. راجع تكوين إعدادات الخادم لاتصالات بوابة P2S VPN - مصادقة الشهادة لمعرفة الخطوات.
  • لقد قمت بإنشاء ملفات تكوين عميل VPN وتنزيلها. راجع إنشاء ملفات تكوين ملف تعريف عميل VPN لمعرفة الخطوات.
  • يمكنك إما إنشاء شهادات العميل، أو الحصول على شهادات العميل المناسبة اللازمة للمصادقة.

متطلبات الاتصال

للاتصال ب Azure باستخدام عميل OpenVPN باستخدام مصادقة الشهادة، يتطلب كل كمبيوتر عميل متصل العناصر التالية:

  • يجب تثبيت برنامج Open VPN Client وتكوينه على كل كمبيوتر عميل.
  • يجب أن يكون لدى الكمبيوتر العميل شهادة عميل مثبتة محليا.

‏‏سير العمل‬

سير العمل لهذه المقالة هو:

  1. قم بإنشاء شهادات العميل وتثبيتها إذا لم تكن قد فعلت ذلك بالفعل.
  2. عرض ملفات تكوين ملف تعريف عميل VPN المضمنة في حزمة تكوين ملف تعريف عميل VPN التي قمت بإنشائها.
  3. تكوين عميل OpenVPN.
  4. الاتصال بـ Azure.

إنشاء شهادات العميل وتثبيتها

لمصادقة الشهادة، يجب تثبيت شهادة عميل على كل كمبيوتر عميل. يجب تصدير شهادة العميل التي تريد استخدامها باستخدام المفتاح الخاص، ويجب أن تحتوي على جميع الشهادات في مسار الشهادة. بالإضافة إلى ذلك، بالنسبة لبعض التكوينات، ستحتاج أيضا إلى تثبيت معلومات شهادة الجذر.

في كثير من الحالات، يمكنك تثبيت شهادة العميل مباشرة على كمبيوتر العميل بالنقر المزدوج. ومع ذلك، بالنسبة إلى تكوينات عميل OpenVPN معينة، قد تحتاج إلى استخراج المعلومات من شهادة العميل لإكمال التكوين.

  • للحصول على معلومات حول العمل مع الشهادات، راجع من نقطة إلى موقع: إنشاء شهادات.
  • لعرض شهادة عميل مثبتة، افتح Manage User Certificates. يتم تثبيت شهادة العميل في Current User\Personal\Certificates.

تثبيت شهادة العميل

يحتاج كل كمبيوتر إلى شهادة عميل للمصادقة. إذا لم تكن شهادة العميل مثبتة بالفعل على الكمبيوتر المحلي، يمكنك تثبيتها باستخدام الخطوات التالية:

  1. حدد موقع شهادة العميل. لمزيد من المعلومات حول شهادات العميل، راجع تثبيت شهادات العميل.
  2. ثبّت شهادة العميل. يمكنك عادة القيام بذلك بالنقر نقرا مزدوجا فوق ملف الشهادة وتوفير كلمة مرور (إذا لزم الأمر).

اعرض ملفات التكوين

تحتوي حزمة تكوين ملف تعريف عميل VPN على مجلدات محددة. تحتوي الملفات داخل المجلدات على الإعدادات اللازمة لتكوين ملف تعريف عميل VPN على كمبيوتر العميل. الملفات والإعدادات التي تحتوي عليها خاصة ببوابة VPN ونوع المصادقة والنفق الذي تم تكوين بوابة VPN لاستخدامه.

حدد موقع حزمة تكوين ملف تعريف عميل VPN التي أنشأتها وقم بإلغاء ضغطها. لمصادقة الشهادة وOpenVPN، يجب أن تشاهد مجلد OpenVPN. إذا كنت لا ترى المجلد، فتحقق من العناصر التالية:

  • تحقق من تكوين بوابة VPN الخاصة بك لاستخدام نوع نفق OpenVPN.
  • إذا كنت تستخدم مصادقة Microsoft Entra، فقد لا يكون لديك مجلد OpenVPN. راجع مقالة تكوين معرف Microsoft Entra بدلا من ذلك.

تكوين العميل

إشعار

الإصدار 2.6 من OpenVPN Client غير مدعوم حتى الآن.

  1. قم بتنزيل عميل OpenVPN وتثبيته (الإصدار 2.4 أو إصدار أحدث) من موقع OpenVPN الرسمي. الإصدار 2.6 غير مدعوم حتى الآن.

  2. حدد موقع حزمة تكوين ملف تعريف عميل VPN التي أنشأتها وقمت بتنزيلها على الكمبيوتر. استخراج الحزمة. انتقل إلى المجلد OpenVPN وافتح ملف تكوين vpnconfig.ovpn باستخدام المفكرة.

  3. بعد ذلك، حدد موقع الشهادة التابعة التي قمت بإنشائها. إذا لم يكن لديك الشهادة، فاستخدم أحد الارتباطات التالية للحصول على خطوات لتصدير الشهادة. ستستخدم معلومات الشهادة في الخطوة التالية.

  4. من الشهادة التابعة، استخرج المفتاح الخاص وبصمة الإبهام base64 من .pfx. ثمة طرق كثيرة للقيام بذلك. يعد استخدام OpenSSL على جهاز الكمبيوتر الخاص بك ضمن إحدى الطرق. يحتوي ملف profileinfo.txt على المفتاح الخاص وبصمة الإبهام الخاصة بـ CA وشهادة العميل. تأكد من استخدام بصمة إبهام شهادة العميل.

    openssl pkcs12 -in "filename.pfx" -nodes -out "profileinfo.txt"

  5. قم بالتبديل إلى ملف vpnconfig.ovpn الذي فتحته في المفكرة. املأ القسم بين <cert> و</cert>، واحصل على قيم لـ $CLIENT_CERTIFICATE و$INTERMEDIATE_CERTIFICATE و$ROOT_CERTIFICATE وكما هو موضح أدناه.

       # P2S client certificate
   # please fill this field with a PEM formatted cert
   <cert>
   $CLIENT_CERTIFICATE
   $INTERMEDIATE_CERTIFICATE (optional)
   $ROOT_CERTIFICATE
   </cert>
    • افتح profileinfo.txt من الخطوة السابقة في المفكرة. يمكنك تحديد كل شهادة من خلال الاطّلاع على السطر subject=. على سبيل المثال، إذا كانت شهادتك التابعة تُسمى P2SChildCert، فستكون شهادة العميل بعد السمة subject=CN = P2SChildCert.
    • لكل شهادة في السلسلة، انسخ النص (بما في ذلك ما بينه) "-----BEGIN CERTIFICATE-----" و"-----END CERTIFICATE-----".
    • قم بتضمين قيمة $INTERMEDIATE_CERTIFICATE فقط إذا كان لديك شهادة وسيطة في ملف profileinfo.txt.

  6. افتح profileinfo.txt في المفكرة. للحصول على المفتاح الخاص، حدد النص (بما في ذلك ما بينه) "-----BEGIN PRIVATE KEY-----" و"-----END PRIVATE KEY-----" وانسخه.

  7. ارجع إلى ملف vpnconfig.ovpn في المفكرة وابحث عن هذا القسم. الصق المفتاح الخاص ليحل محل كل شيء فيما بين <key> و</key>.

    # P2S client root certificate private key
# please fill this field with a PEM formatted key
<key>
$PRIVATEKEY
</key>

  8. لا تغير أي حقول أخرى. استخدم التكوين المعبأ في إدخال العميل للاتصال بـ VPN.

  9. انسخ الملف vpnconfig.ovpn إلى المجلد C:\Program Files\OpenVPN\config.

  10. انقر بزر الماوس الأيمن فوق أيقونة OpenVPN في علبة النظام وانقر فوق اتصال.

الخطوات التالية

تابع مع أي إعدادات إضافية للخادم أو الاتصال. راجع خطوات تكوين نقطة إلى موقع.