تكوين عميل OpenVPN Connect 3.x لاتصالات مصادقة شهادة P2S - Windows
إذا تم تكوين بوابة VPN من نقطة إلى موقع (P2S) لاستخدام OpenVPN ومصادقة الشهادة، يمكنك الاتصال بشبكتك الظاهرية باستخدام عميل OpenVPN. ترشدك هذه المقالة عبر خطوات تكوين عميل OpenVPN Connect 3.x والاتصال بشبكتك الظاهرية. هناك بعض اختلافات التكوين بين عميل OpenVPN 2.x والعميل OpenVPN Connect 3.x. تركز هذه المقالة على عميل OpenVPN Connect 3.x.
قبل البدء
قبل البدء في خطوات تكوين العميل، تحقق من أنك تستخدم مقالة تكوين عميل VPN الصحيحة. يعرض الجدول التالي مقالات التكوين المتوفرة لعملاء VPN من نقطة إلى موقع لبوابة VPN. تختلف الخطوات حسب نوع المصادقة ونوع النفق ونظام تشغيل العميل.
المصادقة | نوع النفق | نظام تشغيل العميل | عميل VPN |
---|---|---|---|
شهادة | |||
IKEv2، SSTP | Windows | عميل VPN الأصلي | |
الإصدار 2 من Internet Key Exchange (مفتاح الإنترنت التبادلي) | macOS | عميل VPN الأصلي | |
الإصدار 2 من Internet Key Exchange (مفتاح الإنترنت التبادلي) | Linux | strongSwan | |
OpenVPN | Windows | عميل Azure VPN OpenVPN client version 2.x OpenVPN client version 3.x |
|
OpenVPN | macOS | عميل OpenVPN | |
OpenVPN | iOS | عميل OpenVPN | |
OpenVPN | Linux | عميل Azure VPN عميل OpenVPN |
|
Microsoft Entra ID | |||
OpenVPN | Windows | عميل Azure VPN | |
OpenVPN | macOS | عميل Azure VPN | |
OpenVPN | Linux | عميل Azure VPN |
إشعار
تتم إدارة عميل OpenVPN بشكل مستقل وليس تحت سيطرة Microsoft. وهذا يعني أن Microsoft لا تشرف على التعليمات البرمجية أو البنيات أو المخطط أو الجوانب القانونية الخاصة بها. إذا واجه العملاء أي أخطاء أو مشكلات مع عميل OpenVPN، فيجب عليهم الاتصال مباشرة بدعم OpenVPN Inc. يتم توفير الإرشادات الواردة في هذه المقالة "كما هي" ولم يتم التحقق من صحتها من قبل OpenVPN Inc. وهي تهدف إلى مساعدة العملاء الذين هم بالفعل على دراية بالعميل ويرغبون في استخدامه للاتصال ببوابة Azure VPN في إعداد VPN من نقطة إلى موقع.
المتطلبات الأساسية
تفترض هذه المقالة أنك قمت بالفعل بتنفيذ المتطلبات الأساسية التالية:
- لقد قمت بإنشاء بوابة VPN وتكوينها لمصادقة شهادة من نقطة إلى موقع ونوع نفق OpenVPN. راجع تكوين إعدادات الخادم لاتصالات بوابة P2S VPN - مصادقة الشهادة لمعرفة الخطوات.
- لقد قمت بإنشاء ملفات تكوين عميل VPN وتنزيلها. راجع إنشاء ملفات تكوين ملف تعريف عميل VPN لمعرفة الخطوات.
- يمكنك إما إنشاء شهادات العميل، أو الحصول على شهادات العميل المناسبة اللازمة للمصادقة.
متطلبات الاتصال
للاتصال ب Azure باستخدام عميل OpenVPN Connect 3.x باستخدام مصادقة الشهادة، يتطلب كل كمبيوتر عميل متصل العناصر التالية:
- يجب تثبيت برنامج عميل OpenVPN Connect وتكوينه على كل كمبيوتر عميل.
- يجب أن يكون لدى الكمبيوتر العميل شهادة عميل مثبتة محليا.
- إذا كانت سلسلة الشهادات تتضمن شهادة وسيطة، فشاهد قسم الشهادات المتوسطة أولا للتحقق من إعداد تكوين بوابة P2S VPN لدعم سلسلة الشهادات هذه. يختلف سلوك مصادقة الشهادة لعملاء 3.x عن الإصدارات السابقة، حيث يمكنك تحديد الشهادة المتوسطة في ملف تعريف العميل.
سير العمل
سير العمل لهذه المقالة هو:
- قم بإنشاء شهادات العميل وتثبيتها إذا لم تكن قد فعلت ذلك بالفعل.
- عرض ملفات تكوين ملف تعريف عميل VPN المضمنة في حزمة تكوين ملف تعريف عميل VPN التي قمت بإنشائها.
- تكوين عميل OpenVPN Connect.
- الاتصال بـ Azure.
إنشاء شهادات العميل وتثبيتها
لمصادقة الشهادة، يجب تثبيت شهادة عميل على كل كمبيوتر عميل. يجب تصدير شهادة العميل التي تريد استخدامها باستخدام المفتاح الخاص، ويجب أن تحتوي على جميع الشهادات في مسار الشهادة. بالإضافة إلى ذلك، بالنسبة لبعض التكوينات، ستحتاج أيضا إلى تثبيت معلومات شهادة الجذر.
في كثير من الحالات، يمكنك تثبيت شهادة العميل مباشرة على كمبيوتر العميل بالنقر المزدوج. ومع ذلك، بالنسبة لبعض تكوينات عميل OpenVPN، قد تحتاج إلى استخراج المعلومات من شهادة العميل لإكمال التكوين.
- للحصول على معلومات حول العمل مع الشهادات، راجع من نقطة إلى موقع: إنشاء شهادات.
- لعرض شهادة عميل مثبتة، افتح Manage User Certificates. يتم تثبيت شهادة العميل في Current User\Personal\Certificates.
تثبيت شهادة العميل
يحتاج كل كمبيوتر إلى شهادة عميل للمصادقة. إذا لم تكن شهادة العميل مثبتة بالفعل على الكمبيوتر المحلي، يمكنك تثبيتها باستخدام الخطوات التالية:
- حدد موقع شهادة العميل. لمزيد من المعلومات حول شهادات العميل، راجع تثبيت شهادات العميل.
- ثبّت شهادة العميل. يمكنك عادة القيام بذلك بالنقر نقرا مزدوجا فوق ملف الشهادة وتوفير كلمة مرور (إذا لزم الأمر).
اعرض ملفات التكوين
تحتوي حزمة تكوين ملف تعريف عميل VPN على مجلدات محددة. تحتوي الملفات داخل المجلدات على الإعدادات اللازمة لتكوين ملف تعريف عميل VPN على كمبيوتر العميل. الملفات والإعدادات التي تحتوي عليها خاصة ببوابة VPN ونوع المصادقة والنفق الذي تم تكوين بوابة VPN لاستخدامه.
حدد موقع حزمة تكوين ملف تعريف عميل VPN التي أنشأتها وقم بإلغاء ضغطها. لمصادقة الشهادة وOpenVPN، يجب أن تشاهد المجلد OpenVPN . إذا كنت لا ترى المجلد، فتحقق من العناصر التالية:
- تحقق من تكوين بوابة VPN الخاصة بك لاستخدام نوع نفق OpenVPN.
- إذا كنت تستخدم مصادقة معرف Microsoft Entra، فقد لا يكون لديك مجلد OpenVPN. راجع مقالة تكوين معرف Microsoft Entra بدلا من ذلك.
تكوين العميل
قم بتنزيل وتثبيت الإصدار 3.x من عميل OpenVPN من موقع ويب OpenVPN الرسمي.
حدد موقع حزمة تكوين ملف تعريف عميل VPN التي أنشأتها وقمت بتنزيلها على الكمبيوتر. استخراج الحزمة. انتقل إلى المجلد OpenVPN وافتح ملف تكوين vpnconfig.ovpn باستخدام المفكرة.
بعد ذلك، حدد موقع الشهادة التابعة التي قمت بإنشائها. إذا لم يكن لديك الشهادة، فاستخدم أحد الارتباطات التالية للحصول على خطوات لتصدير الشهادة. ستستخدم معلومات الشهادة في الخطوة التالية.
- تعليمات بوابة VPN
- تعليمات شبكة WAN الافتراضية
من الشهادة التابعة، استخرج المفتاح الخاص وبصمة الإبهام base64 من .pfx. ثمة طرق كثيرة للقيام بذلك. يعد استخدام OpenSSL على جهاز الكمبيوتر الخاص بك ضمن إحدى الطرق. يحتوي ملف profileinfo.txt على المفتاح الخاص وبصمة الإبهام الخاصة بـ CA وشهادة العميل. تأكد من استخدام بصمة إبهام شهادة العميل.
openssl pkcs12 -in "filename.pfx" -nodes -out "profileinfo.txt"
قم بالتبديل إلى ملف vpnconfig.ovpn الذي فتحته في المفكرة. املأ المقطع بين
<cert>
و، والحصول</cert>
على قيم$CLIENT_CERTIFICATE
، وكما$ROOT_CERTIFICATE
هو موضح في المثال التالي.# P2S client certificate # please fill this field with a PEM formatted cert <cert> $CLIENT_CERTIFICATE $ROOT_CERTIFICATE </cert>
- افتح profileinfo.txt من الخطوة السابقة في المفكرة. يمكنك تحديد كل شهادة من خلال الاطّلاع على السطر
subject=
. على سبيل المثال، إذا كانت شهادتك التابعة تُسمى P2SChildCert، فستكون شهادة العميل بعد السمةsubject=CN = P2SChildCert
. - لكل شهادة في السلسلة، انسخ النص (بما في ذلك ما بينه) "-----BEGIN CERTIFICATE-----" و"-----END CERTIFICATE-----".
- افتح profileinfo.txt من الخطوة السابقة في المفكرة. يمكنك تحديد كل شهادة من خلال الاطّلاع على السطر
افتح profileinfo.txt في المفكرة. للحصول على المفتاح الخاص، حدد النص (بما في ذلك ما بينه) "-----BEGIN PRIVATE KEY-----" و"-----END PRIVATE KEY-----" وانسخه.
ارجع إلى ملف vpnconfig.ovpn في المفكرة وابحث عن هذا القسم. الصق المفتاح الخاص ليحل محل كل شيء فيما بين
<key>
و</key>
.# P2S client root certificate private key # please fill this field with a PEM formatted key <key> $PRIVATEKEY </key>
التعليق خارج سطر "openvpn.log السجل". إذا لم يتم التعليق عليه، يبلغ عميل OpenVPN أن السجل لم يعد خيارا مدعوما. راجع مثال ملف تعريف المستخدم للحصول على مثال حول كيفية التعليق خارج سطر السجل. بعد التعليق على سطر السجل، لا يزال بإمكانك الوصول إلى السجلات عبر واجهة عميل OpenVPN. للوصول، انقر فوق أيقونة السجل في الزاوية العلوية اليسرى من واجهة مستخدم العميل. توصي Microsoft العملاء بالتحقق من وثائق اتصال OpenVPN لموقع ملف السجل لأنه يتم التحكم في التسجيل بواسطة عميل OpenVPN.
لا تغير أي حقول أخرى. استخدم التكوين المعبأ في إدخال العميل للاتصال بـ VPN.
استيراد ملف vpnconfig.ovpn في عميل OpenVPN.
انقر بزر الماوس الأيمن فوق أيقونة OpenVPN في علبة النظام وانقر فوق اتصال.
مثال ملف تعريف المستخدم
يوضح المثال التالي ملف تكوين ملف تعريف المستخدم لعملاء OpenVPN Connect 3.x. يوضح هذا المثال ملف السجل الذي تم التعليق عليه وإضافة خيار "ping-restart 0" لمنع عمليات إعادة الاتصال الدورية بسبب عدم إرسال أي حركة مرور إلى العميل.
client
remote <vpnGatewayname>.ln.vpn.azure.com 443
verify-x509-name <IdGateway>.ln.vpn.azure.com name
remote-cert-tls server
dev tun
proto tcp
resolv-retry infinite
nobind
auth SHA256
cipher AES-256-GCM
persist-key
persist-tun
tls-timeout 30
tls-version-min 1.2
key-direction 1
#log openvpn.log
#inactive 0
ping-restart 0
verb 3
# P2S CA root certificate
<ca>
-----BEGIN CERTIFICATE-----
……
……..
……..
……..
-----END CERTIFICATE-----
</ca>
# Pre Shared Key
<tls-auth>
-----BEGIN OpenVPN Static key V1-----
……..
……..
……..
-----END OpenVPN Static key V1-----
</tls-auth>
# P2S client certificate
# Please fill this field with a PEM formatted client certificate
# Alternatively, configure 'cert PATH_TO_CLIENT_CERT' to use input from a PEM certificate file.
<cert>
-----BEGIN CERTIFICATE-----
……..
……..
……..
-----END CERTIFICATE-----
</cert>
# P2S client certificate private key
# Please fill this field with a PEM formatted private key of the client certificate.
# Alternatively, configure 'key PATH_TO_CLIENT_KEY' to use input from a PEM key file.
<key>
-----BEGIN PRIVATE KEY-----
……..
……..
……..
-----END PRIVATE KEY-----
</key>
الشهادات المتوسطة
إذا كانت سلسلة الشهادات تتضمن شهادات وسيطة، فيجب عليك تحميل الشهادات المتوسطة إلى بوابة Azure VPN. هذه هي الطريقة المفضلة للاستخدام، بغض النظر عن عميل VPN الذي تختار الاتصال منه. في الإصدارات السابقة، يمكنك تحديد شهادات وسيطة في ملف تعريف المستخدم. لم يعد هذا مدعوما في إصدار عميل OpenVPN Connect 3.x.
عند العمل مع الشهادات المتوسطة، يجب تحميل الشهادة المتوسطة بعد الشهادة الجذر.
يعيد
إذا واجهت عمليات إعادة اتصال دورية بسبب عدم إرسال أي حركة مرور إلى العميل، يمكنك إضافة خيار "ping-restart 0" إلى ملف التعريف لمنع قطع الاتصال من التسبب في إعادة الاتصال. يتم وصف ذلك في وثائق OpenVPN Connect كما يلي: " --ping-restart n مشابهة ل --ping-exit، ولكن قم بتشغيل إعادة تشغيل SIGUSR1 بعد مرور n ثانية دون استقبال ping أو حزمة أخرى من بعيد."
راجع مثال ملف تعريف المستخدم للحصول على مثال حول كيفية إضافة هذا الخيار.
الخطوات التالية
تابع مع أي إعدادات إضافية للخادم أو الاتصال. راجع خطوات تكوين نقطة إلى موقع.