Konfigurace Klient Azure VPN – Ověřování certifikátů OpenVPN – Linux (Preview)
Tento článek vám pomůže připojit se k virtuální síti Azure z Klient Azure VPN pro Linux pomocí ověřování certifikátu typu point-to-site (P2S) služby VPN Gateway. Klient Azure VPN pro Linux vyžaduje typ tunelu OpenVPN.
I když je možné, že Klient Azure VPN pro Linux může fungovat v jiných distribucích a verzích Linuxu, Klient Azure VPN pro Linux se podporuje jenom v následujících verzích:
- Ubuntu 20.04
- Ubuntu 22.04
Než začnete
Ověřte, že jste ve správném článku. Následující tabulka uvádí články o konfiguraci, které jsou k dispozici pro klienty VPN typu P2S služby Azure VPN Gateway. Postup se liší v závislosti na typu ověřování, typu tunelu a klientském operačním systému.
| Ověřování | Typ tunelového propojení | Operační systém klienta | Klient VPN |
|---|---|---|---|
| Certifikát | |||
| IKEv2, SSTP | Windows | Nativní klient VPN | |
| IKEv2 | macOS | Nativní klient VPN | |
| IKEv2 | Linux | strongSwan | |
| OpenVPN | Windows | Klient Azure VPN Klient OpenVPN |
|
| OpenVPN | macOS | Klient OpenVPN | |
| OpenVPN | iOS | Klient OpenVPN | |
| OpenVPN | Linux | Klient Azure VPN Klient OpenVPN |
|
| Microsoft Entra ID | |||
| OpenVPN | Windows | Klient Azure VPN | |
| OpenVPN | macOS | Klient Azure VPN | |
| OpenVPN | Linux | Klient Azure VPN |
Požadavky
Tento článek předpokládá, že jste už provedli následující požadavky:
- Brána VPN je nakonfigurovaná pro ověřování certifikátů typu point-to-site a typ tunelu OpenVPN. Postup najdete v tématu Konfigurace nastavení serveru pro připojení brány VPN Gateway typu P2S – ověřování certifikátů.
- Konfigurační soubory profilu klienta VPN byly generovány a jsou k dispozici. Postup najdete v tématu Generování konfiguračních souborů profilu klienta VPN.
Požadavky na připojení
Pokud se chcete připojit k Azure pomocí ověřování Klient Azure VPN a certifikátu, každý připojující klient vyžaduje následující položky:
- Na každém klientovi musí být nainstalovaný a nakonfigurovaný software Klient Azure VPN.
- Klient musí mít nainstalované správné certifikáty místně.
Workflow
Základní pracovní postup je následující:
- Generování a instalace klientských certifikátů
- Vyhledejte konfigurační balíček profilu klienta VPN, který jste vygenerovali v části Konfigurace nastavení serveru pro připojení brány VPN Gateway typu P2S – článek o ověřování certifikátů.
- Stáhněte a nakonfigurujte Klient Azure VPN pro Linux.
- Připojte se k Azure.
Vygenerování certifikátů
Pro ověřování certifikátů musí být klientský certifikát nainstalovaný na každém klientském počítači. Klientský certifikát, který chcete použít, musí být exportován s privátním klíčem a musí obsahovat všechny certifikáty v cestě k certifikaci. V některých konfiguracích budete také muset nainstalovat informace o kořenovém certifikátu.
Pomocí následujících příkazů vygenerujte data veřejného certifikátu klienta a privátní klíč ve formátu .pem . Ke spuštění příkazů musíte mít veřejný kořenový certifikát caCert.pem a privátní klíč kořenového certifikátu caKey.pem kořenového certifikátu. Další informace najdete v tématu Generování a export certifikátů – Linux – OpenSSL.
export PASSWORD="password"
export USERNAME=$(hostnamectl --static)
# Generate a private key
openssl genrsa -out "${USERNAME}Key.pem" 2048
# Generate a CSR
openssl req -new -key "${USERNAME}Key.pem" -out "${USERNAME}Req.pem" -subj "/CN=${USERNAME}"
# Sign the CSR using the CA certificate and key
openssl x509 -req -days 365 -in "${USERNAME}Req.pem" -CA caCert.pem -CAkey caKey.pem -CAcreateserial -out "${USERNAME}Cert.pem" -extfile <(echo -e "subjectAltName=DNS:${USERNAME}\nextendedKeyUsage=clientAuth")
Zobrazení konfiguračních souborů profilu klienta VPN
Při generování konfiguračního balíčku profilu klienta VPN jsou všechna potřebná nastavení konfigurace pro klienty VPN obsažena v konfiguračním souboru ZIP profilu klienta VPN. Konfigurační soubory profilu klienta VPN jsou specifické pro konfiguraci brány VPN typu P2S pro virtuální síť. Pokud se po vygenerování souborů, například změn typu protokolu VPN nebo typu ověřování, změníte konfiguraci P2S VPN, musíte vygenerovat nové konfigurační soubory profilu klienta VPN a použít novou konfiguraci pro všechny klienty VPN, které chcete připojit.
Vyhledejte a rozbalte konfigurační balíček profilu klienta VPN, který jste vygenerovali. V případě ověřování certifikátu P2S a typu tunelu OpenVPN se zobrazí složka AzureVPN. Ve složce AzureVPN vyhledejte soubor azurevpnconfig.xml . Tento soubor obsahuje nastavení, která používáte ke konfiguraci profilu klienta VPN.
Pokud soubor azurevpnconfig.xml nevidíte, ověřte následující položky:
- Ověřte, že je brána VPN nakonfigurovaná tak, aby používala typ tunelu OpenVPN.
- Ověřte, že je vaše konfigurace P2S nastavená pro ověřování certifikátů.
- Pokud používáte ověřování Microsoft Entra ID, možná nemáte složku AzureVPN. Místo toho si přečtěte článek o konfiguraci Microsoft Entra ID .
Stažení Klient Azure VPN
Pomocí následujících příkazů přidejte seznam úložišť Microsoft a nainstalujte Klient Azure VPN pro Linux:
# install curl utility
sudo apt-get install curl
# Install Microsoft's public key
curl -sSl https://packages.microsoft.com/keys/microsoft.asc | sudo tee /etc/apt/trusted.gpg.d/microsoft.asc
# Install the production repo list for focal
# For Ubuntu 20.04
curl https://packages.microsoft.com/config/ubuntu/20.04/prod.list | sudo tee /etc/apt/sources.list.d/microsoft-ubuntu-focal-prod.list
# Install the production repo list for jammy
# For Ubuntu 22.04
curl https://packages.microsoft.com/config/ubuntu/22.04/prod.list | sudo tee /etc/apt/sources.list.d/microsoft-ubuntu-jammy-prod.list
sudo apt-get update
sudo apt-get install microsoft-azurevpnclient
Další informace o úložišti naleznete v tématu Linux Software Repository for Microsoft Products.
Konfigurace profilu Klient Azure VPN
Otevřete Klient Azure VPN.
V levém dolním rohu stránky klienta VPN s Linuxem vyberte Importovat.
V okně přejděte na azurevpnconfig.xml soubor, vyberte ho a pak vyberte Otevřít.
Chcete-li přidat veřejná data klientského certifikátu, použijte nástroj pro výběr souboru a vyhledejte související soubory .pem .
Pokud chcete přidat privátní klíč klientského certifikátu, použijte nástroj pro výběr a vyberte cestu k souborům certifikátu v textových polích pro privátní klíč s příponou souboru .pem.
Po ověření importu (import bez chyb) vyberte Uložit.
V levém podokně vyhledejte profil připojení VPN, který jste vytvořili. Vyberte Připojit.
Po úspěšném připojení klienta se stav zobrazí jako Připojeno se zelenou ikonou.
Souhrn protokolů připojení můžete zobrazit v protokolech stavu na hlavní obrazovce klienta VPN.
Odinstalace Klient Azure VPN
Pokud chcete odinstalovat Klient Azure VPN, použijte v terminálu následující příkaz:
sudo apt remove microsoft-azurevpnclient
Další kroky
Další kroky najdete v článku o portálu P2S na webu Azure Portal .
Váš názor
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu: https://aka.ms/ContentUserFeedback.
Odeslat a zobrazit názory pro