Konfigurieren des OpenVPN-Clients für Verbindungen mit P2S-Zertifikatauthentifizierung – Windows
Wenn Ihr P2S-VPN-Gateway (Point-to-Site) für die Verwendung von OpenVPN und Zertifikatauthentifizierung konfiguriert ist, können Sie mithilfe des OpenVPN-Clients eine Verbindung mit Ihrem virtuellen Netzwerk herstellen. Dieser Artikel führt Sie durch die Schritte zum Konfigurieren des OpenVPN-Clients sowie zum Herstellen einer Verbindung mit Ihrem virtuellen Netzwerk.
Voraussetzungen
In diesem Artikel wird davon ausgegangen, dass Sie bereits die folgenden Voraussetzungen erfüllt haben:
- Sie haben Ihr VPN-Gateway für die Point-to-Site-Zertifikatauthentifizierung und einen OpenVPN-Tunneltyp erstellt und konfiguriert. Die Schritte finden Sie unter Konfigurieren von Servereinstellungen für P2S-VPN-Gatewayverbindungen – Zertifikatauthentifizierung.
- Sie haben Clientzertifikate generiert und die VPN-Clientkonfigurationsdateien heruntergeladen. Siehe Point-to-Site-VPN-Clients: Zertifikatauthentifizierung – Windows
Vergewissern Sie sich vor Beginn der Clientkonfigurationsschritte, dass Sie sich im richtigen Artikel zur VPN-Clientkonfiguration befinden. In der folgenden Tabelle sind die Konfigurationsartikel aufgeführt, die für VPN Gateway-P2S-VPN-Clients verfügbar sind. Die Schritte unterscheiden sich je nach Authentifizierungstyp, Tunneltyp und Clientbetriebssystem.
| Authentifizierung | Tunneltyp | Erstellen von Konfigurationsdateien | Konfigurieren des VPN-Clients |
|---|---|---|---|
| Azure-Zertifikat | IKEv2, SSTP | Windows | Nativer VPN-Client |
| Azure-Zertifikat | OpenVPN | Windows | - OpenVPN-Client - Azure VPN Client |
| Azure-Zertifikat | IKEv2, OpenVPN | macOS-iOS | macOS-iOS |
| Azure-Zertifikat | IKEv2, OpenVPN | Linux | Linux |
| Microsoft Entra ID | OpenVPN (SSL) | Windows | Windows |
| Microsoft Entra ID | OpenVPN (SSL) | macOS | macOS |
| RADIUS – Zertifikat | - | Artikel | Artikel |
| RADIUS – Kennwort | - | Artikel | Artikel |
| RADIUS – andere Methoden | - | Artikel | Artikel |
Verbindungsanforderungen
Jeder Clientcomputer benötigt folgende Elemente, um eine Verbindung mit Azure herstellen zu können:
- Die OpenVPN-Clientsoftware muss auf jedem Clientcomputer installiert und konfiguriert werden.
- Der Clientcomputer muss über ein lokal installiertes Clientzertifikat verfügen.
Konfigurationsdateien ansehen
Das VPN-Clientprofilkonfigurationspaket enthält bestimmte Ordner. Die Dateien in den Ordnern enthalten die Einstellungen, die zum Konfigurieren des VPN-Clientprofils auf dem Clientcomputer erforderlich sind. Die Dateien und die darin enthaltenen Einstellungen sind spezifisch für das VPN-Gateway und den Typ der Authentifizierung und des Tunnels, der für die Verwendung für Ihr VPN-Gateway konfiguriert ist.
Suchen und entzippen Sie das von Ihnen generierte VPN-Clientprofilkonfigurationspaket. Für die Zertifikatauthentifizierung und OpenVPN sollte ein OpenVPN-Ordner angezeigt werden. Wenn die Datei nicht angezeigt wird, überprüfen Sie die folgenden Elemente:
- Stellen Sie sicher, dass Ihr VPN-Gateway für die Verwendung des OpenVPN-Tunneltyps konfiguriert ist.
- Wenn Sie die Microsoft Entra-Authentifizierung verwenden, verfügen Sie möglicherweise nicht über einen OpenVPN-Ordner. Lesen Sie stattdessen den Artikel zur Microsoft Entra ID-Konfiguration.
Konfigurieren des Clients
Hinweis
OpenVPN-Client Version 2.6 wird noch nicht unterstützt.
Laden Sie den OpenVPN-Client (mindestens Version 2.4) von der offiziellen OpenVPN-Website herunter, und installieren Sie ihn. Version 2.6 wird noch nicht unterstützt.
Suchen Sie das Konfigurationspaket für das VPN-Clientprofil, das Sie generiert und auf Ihren Computer heruntergeladen haben. Extrahieren Sie das Paket. Navigieren Sie zum Ordner „OpenVPN“, und öffnen Sie die Konfigurationsdatei vpnconfig.ovpn in Editor.
Suchen Sie als Nächstes nach dem untergeordneten Zertifikat, das Sie erstellt haben. Wenn Sie das Zertifikat nicht haben, finden Sie unter folgenden Links Schritte zum Exportieren des Zertifikats. Sie verwenden die Zertifikatinformationen im nächsten Schritt.
- Anweisungen zu VPN Gateway
- Anweisungen zu Virtual WAN
Extrahieren Sie aus dem untergeordneten Zertifikat den privaten Schlüssel und den Base64-Fingerabdruck aus der PFX-Datei. Hierfür gibt es mehrere Möglichkeiten. Die Verwendung von OpenSSL auf Ihrem Computer ist eine Möglichkeit. Die Datei profileinfo.txt enthält den privaten Schlüssel und den Fingerabdruck für die Zertifizierungsstelle sowie das Clientzertifikat. Verwenden Sie unbedingt den Fingerabdruck des Clientzertifikats.
openssl pkcs12 -in "filename.pfx" -nodes -out "profileinfo.txt"Wechseln Sie zur Datei vpnconfig.ovpn, die Sie in Editor geöffnet haben. Füllen Sie wie unten gezeigt den Abschnitt zwischen
<cert>und</cert>aus, sodass Sie die Werte für$CLIENT_CERTIFICATE,$INTERMEDIATE_CERTIFICATEund$ROOT_CERTIFICATEabrufen.# P2S client certificate # please fill this field with a PEM formatted cert <cert> $CLIENT_CERTIFICATE $INTERMEDIATE_CERTIFICATE (optional) $ROOT_CERTIFICATE </cert>- Öffnen Sie profileinfo.txt aus dem vorherigen Schritt in Editor. Sie können die Zertifikate jeweils per Blick auf die Zeile
subject=identifizieren. Wenn Ihr untergeordnetes Zertifikat z. B. P2SChildCert heißt, befindet sich das Clientzertifikat hinter dem Attributsubject=CN = P2SChildCert. - Kopieren Sie für jedes Zertifikat in der Kette den Text (einschließlich und zwischen) „-----BEGIN CERTIFICATE-----“ und „-----END CERTIFICATE-----“.
- Schließen Sie den Wert
$INTERMEDIATE_CERTIFICATEnur ein, wenn sich ein Zwischenzertifikat in Ihrer profileinfo.txt-Datei befindet.
- Öffnen Sie profileinfo.txt aus dem vorherigen Schritt in Editor. Sie können die Zertifikate jeweils per Blick auf die Zeile
Öffnen Sie die Datei profileinfo.txt in Editor. Um den privaten Schlüssel zu erhalten, markieren Sie den Text einschließlich und zwischen „-----BEGIN PRIVATE KEY-----“ und „-----END PRIVATE KEY-----“, und kopieren Sie ihn.
Kehren Sie zur Datei „vpnconfig.ovpn“ in Editor zurück, und suchen Sie nach diesem Abschnitt. Fügen Sie den privaten Schlüssel so ein, dass er alles zwischen
<key>und</key>ersetzt.# P2S client root certificate private key # please fill this field with a PEM formatted key <key> $PRIVATEKEY </key>Ändern Sie keine anderen Felder. Verwenden Sie die ausgefüllte Konfiguration in der Clienteingabe, um eine Verbindung mit dem VPN herzustellen.
Kopieren Sie die Datei „vpnconfig.ovpn“ in den Ordner „C:\Programme\OpenVPN\config“.
Klicken Sie auf der Taskleiste mit rechten Maustaste auf das Symbol „OpenVPN“, und klicken Sie auf Verbinden.
Nächste Schritte
Point-to-Site-KonfigurationsschritteKonfigurieren von Point-to-Site-VPN-Clients: Zertifikatauthentifizierung – Windows