Konfigurace klienta OpenVPN pro připojení ověřování certifikátů P2S – Linux

Článek
06/25/2024

Tento článek vám pomůže připojit se k virtuální síti Azure pomocí brány VPN Gateway typu point-to-site (P2S) a ověřování certifikátů z Linuxu pomocí klienta OpenVPN.

Než začnete

Ověřte, že jste ve správném článku. Následující tabulka uvádí články o konfiguraci, které jsou k dispozici pro klienty VPN typu P2S služby Azure VPN Gateway. Postup se liší v závislosti na typu ověřování, typu tunelu a klientském operačním systému.

Ověřování	Typ tunelového propojení	Operační systém klienta	Klient VPN
Certifikát
	IKEv2, SSTP	Windows	Nativní klient VPN
	IKEv2	macOS	Nativní klient VPN
	IKEv2	Linux	strongSwan
	OpenVPN	Windows	Klient Azure VPN Klient OpenVPN
	OpenVPN	macOS	Klient OpenVPN
	OpenVPN	iOS	Klient OpenVPN
	OpenVPN	Linux	Klient Azure VPN Klient OpenVPN
Microsoft Entra ID
	OpenVPN	Windows	Klient Azure VPN
	OpenVPN	macOS	Klient Azure VPN
	OpenVPN	Linux	Klient Azure VPN

Požadavky

Tento článek předpokládá, že jste už provedli následující požadavky:

Vytvořili jste a nakonfigurovali bránu VPN pro ověřování certifikátu typu point-to-site a typ tunelu OpenVPN. Postup najdete v tématu Konfigurace nastavení serveru pro připojení brány VPN Gateway typu P2S – ověřování certifikátů.
Vygenerovali a stáhli jste konfigurační soubory klienta VPN. Postup najdete v tématu Generování konfiguračních souborů profilu klienta VPN.
Můžete buď generovat klientské certifikáty, nebo získat příslušné klientské certifikáty potřebné k ověření.

Požadavky na připojení

Pokud se chcete připojit k Azure pomocí klienta OpenVPN pomocí ověřování certifikátů, každý připojující klient vyžaduje následující položky:

Na každém klientovi musí být nainstalovaný a nakonfigurovaný software Open VPN Client.
Klient musí mít nainstalované správné certifikáty místně.

Workflow

Pracovní postup pro tento článek:

Nainstalujte klienta OpenVPN.
Zobrazte konfigurační soubory profilu klienta VPN obsažené v konfiguračním balíčku profilu klienta VPN, který jste vygenerovali.
Nakonfigurujte klienta OpenVPN.
Připojte se k Azure.

Informace o certifikátech

Pro ověřování certifikátů musí být klientský certifikát nainstalovaný na každém klientském počítači. Klientský certifikát, který chcete použít, musí být exportován s privátním klíčem a musí obsahovat všechny certifikáty v cestě k certifikaci. V některých konfiguracích budete také muset nainstalovat informace o kořenovém certifikátu.

Klient OpenVPN v tomto článku používá certifikáty exportované ve formátu .pfx . Klientský certifikát můžete snadno exportovat do tohoto formátu pomocí pokynů pro Windows. Viz Export klientského certifikátu – pfx. Pokud nemáte počítač s Windows, můžete jako alternativní řešení použít malý virtuální počítač s Windows k exportu certifikátů do požadovaného formátu .pfx . V tuto chvíli poskytujeme pokyny openSSL pro Linux pouze ve formátu .pem .

Kroky konfigurace

Tato část vám pomůže nakonfigurovat klienty Linuxu pro ověřování certifikátů, které používají typ tunelu OpenVPN. Pokud se chcete připojit k Azure, stáhněte klienta OpenVPN a nakonfigurujte profil připojení.

Poznámka:

Klient OpenVPN verze 2.6 se zatím nepodporuje.

Otevřete novou relaci terminálu. Novou relaci můžete otevřít tak, že současně stisknete kombinaci kláves Ctrl + Alt + t.

Zadejte následující příkaz, který nainstaluje potřebné součásti:

sudo apt-get install openvpn
sudo apt-get -y install network-manager-openvpn
sudo service network-manager restart

Dále přejděte do složky profilu klienta VPN a rozbalte soubor a zobrazte soubory.
Exportujte klientský certifikát P2S, který jste vytvořili a nahráli do konfigurace P2S v bráně. Postup najdete v tématu Vpn Gateway typu point-to-site.
Extrahujte privátní klíč a kryptografický otisk base64 z souboru .pfx. Dá se to udělat několika způsoby. Použití OpenSSL na počítači je jedním ze způsobů.
```
openssl pkcs12 -in "filename.pfx" -nodes -out "profileinfo.txt"
```
Soubor profileinfo.txt obsahuje privátní klíč a kryptografický otisk certifikační autority a klientský certifikát. Nezapomeňte použít kryptografický otisk klientského certifikátu.
Otevřete profileinfo.txt v textovém editoru. Pokud chcete získat kryptografický otisk certifikátu klienta (podřízeného) certifikátu, vyberte text včetně a mezi textem "-----BEGIN CERTIFICATE-----" a "-----END CERTIFICATE-----" pro podřízený certifikát a zkopírujte ho. Podřízený certifikát můžete identifikovat tak, že se podíváte na předmět=/řádek.
Otevřete soubor vpnconfig.ovpn a najděte část v následujícím příkladu. Nahraďte vše mezi "certifikátem" a "/cert".
```
# P2S client certificate
# please fill this field with a PEM formatted cert
<cert>
$CLIENTCERTIFICATE
</cert>
```
Otevřete profileinfo.txt v textovém editoru. Pokud chcete získat privátní klíč, vyberte text včetně a mezi textem "-----BEGIN PRIVATE KEY-----" a "-----END PRIVATE KEY-----" a zkopírujte ho.
Otevřete soubor vpnconfig.ovpn v textovém editoru a vyhledejte tuto část. Vložte privátní klíč a nahraďte vše mezi "klíčem" a "/key".
```
# P2S client root certificate private key
# please fill this field with a PEM formatted key
<key>
$PRIVATEKEY
</key>
```
Neměňte žádná jiná pole. S použitím vyplněné konfigurace ve vstupu klienta se připojte k síti VPN.
- Pokud se chcete připojit pomocí příkazového řádku, zadejte následující příkaz:
```
sudo openvpn --config <name and path of your VPN profile file>&
```
- Pokud se chcete odpojit pomocí příkazového řádku, zadejte následující příkaz:
```
sudo pkill openvpn
```
- Pokud se chcete připojit pomocí grafického uživatelského rozhraní, přejděte do nastavení systému.
Vyberte + , pokud chcete přidat nové připojení VPN.
V části Přidat síť VPN vyberte Importovat ze souboru....
Přejděte do souboru profilu a poklikejte nebo vyberte Otevřít.
V okně Přidat síť VPN vyberte Přidat.
Můžete se připojit zapnutím sítě VPN na stránce Nastavení sítě nebo pod ikonou sítě na hlavním panelu systému.

Další kroky

Další kroky najdete v článku o portálu P2S na webu Azure Portal .

Sdílet prostřednictvím