Konfigurieren des OpenVPN-Clients für Verbindungen mit P2S-Zertifikatauthentifizierung – Linux
Dieser Artikel hilft Ihnen bei der Verbindung mit Ihrem virtuellen Azure-Netzwerk (VNet) mithilfe von VPN-Gateway-Point-to-Site (P2S) und Zertifikatauthentifizierung von Linux über einen OpenVPN-Client.
Voraussetzungen
Vergewissern Sie sich, dass Sie sich im richtigen Artikel befinden. In der folgenden Tabelle sind die Konfigurationsartikel aufgeführt, die für Azure VPN Gateway P2S-VPN-Clients verfügbar sind. Die Schritte unterscheiden sich je nach Authentifizierungstyp, Tunneltyp und Clientbetriebssystem.
Authentifizierung | Tunneltyp | Clientbetriebssystem | VPN-Client |
---|---|---|---|
Zertifikat | |||
IKEv2, SSTP | Windows | Nativer VPN-Client | |
IKEv2 | macOS | Nativer VPN-Client | |
IKEv2 | Linux | strongSwan | |
OpenVPN | Windows | Azure VPN Client OpenVPN-Clientversion 2.x OpenVPN-Clientversion 3.x |
|
OpenVPN | macOS | OpenVPN-Client | |
OpenVPN | iOS | OpenVPN-Client | |
OpenVPN | Linux | Azure VPN Client OpenVPN-Client |
|
Microsoft Entra ID | |||
OpenVPN | Windows | Azure VPN Client | |
OpenVPN | macOS | Azure VPN Client | |
OpenVPN | Linux | Azure VPN Client |
Voraussetzungen
In diesem Artikel wird davon ausgegangen, dass Sie bereits die folgenden Voraussetzungen erfüllt haben:
- Sie haben Ihr VPN-Gateway für die Point-to-Site-Zertifikatauthentifizierung und einen OpenVPN-Tunneltyp erstellt und konfiguriert. Die Schritte finden Sie unter Konfigurieren von Servereinstellungen für P2S-VPN-Gatewayverbindungen – Zertifikatauthentifizierung.
- Sie haben die VPN-Clientkonfigurationsdateien generiert und heruntergeladen. Unter Generieren von Profilkonfigurationsdateien für den VPN-Client finden Sie Informationen zu den Schritten.
- Sie können entweder Clientzertifikate generieren oder die entsprechenden Clientzertifikate erwerben, die für die Authentifizierung erforderlich sind.
Verbindungsanforderungen
Um eine Verbindung mit Azure mithilfe des OpenVPN-Clients mithilfe der Zertifikatauthentifizierung herzustellen, erfordert jeder verbindungsbasierte Client die folgenden Elemente:
- Die OpenVPN-Clientsoftware muss auf jedem Client installiert und konfiguriert werden.
- Der Client muss die richtigen Zertifikate lokal installiert haben.
Workflow
Der Workflow für diesen Artikel lautet:
- Installieren Sie den OpenVPN-Client.
- Zeigen Sie die Konfigurationsdateien des VPN-Clientprofils an, die im von Ihnen generierten VPN-Clientprofilkonfigurationspaket enthalten sind.
- Konfigurieren Sie den OpenVPN-Client.
- Herstellen einer Verbindung zu Azure.
Informationen zu Zertifikaten
Für die Zertifikatauthentifizierung muss auf jedem Clientcomputer ein Clientzertifikat installiert sein. Das zu verwendende Clientzertifikat muss mit dem privaten Schlüssel exportiert werden und alle Zertifikate im Zertifizierungspfad enthalten. Darüber hinaus müssen Sie für einige Konfigurationen auch Stammzertifikatinformationen installieren.
Der OpenVPN-Client in diesem Artikel verwendet Zertifikate, die im PFX-Format exportiert werden. Sie können ein Clientzertifikat in diesem Format anhand der Windows-Anweisungen ganz einfach exportieren. Siehe Exportieren eines Clientzertifikats: PFX. Wenn Sie keinen Windows-Computer haben, können Sie als Problemumgehung eine kleine Windows-VM verwenden, um Zertifikate im erforderlichen PFX-Format zu exportieren. Zurzeit kann mit den bereitgestellten Linux-Anweisungen für OpenSSL nur das PEM-Format exportiert werden.
Konfigurationsschritte
Dieser Abschnitt unterstützt Sie beim Konfigurieren von Linux-Clients für die Zertifikatauthentifizierung, die einen OpenVPN-Tunnel verwendet. Für die Verbindung mit Azure laden Sie den OpenVPN-Client herunter und konfigurieren das Verbindungsprofil.
Hinweis
OpenVPN-Client Version 2.6 wird noch nicht unterstützt.
Starten Sie eine neue Terminalsitzung. Sie können eine neue Sitzung öffnen, indem Sie STRG+ALT+T gleichzeitig drücken.
Geben Sie für die Installation der benötigten Komponenten den folgenden Befehl ein:
sudo apt-get install openvpn sudo apt-get -y install network-manager-openvpn sudo service network-manager restart
Wechseln Sie als Nächstes zum VPN-Clientprofilordner, und entzippen Sie die Dateien.
Exportieren Sie das P2S-Clientzertifikat, das Sie erstellt und in Ihre P2S-Konfiguration auf dem Gateway hochgeladen haben. Informationen zu den Schritten finden Sie im Abschnitt zu VPN-Gateways für Point-to-Site-Verbindungen.
Extrahieren Sie den privaten Schlüssel und den Base64-Fingerabdruck aus der PFX-Datei. Hierfür gibt es mehrere Möglichkeiten. Die Verwendung von OpenSSL auf Ihrem Computer ist eine Möglichkeit.
openssl pkcs12 -in "filename.pfx" -nodes -out "profileinfo.txt"
Die Datei profileinfo.txt enthält den privaten Schlüssel und den Fingerabdruck für die Zertifizierungsstelle sowie das Clientzertifikat. Verwenden Sie unbedingt den Fingerabdruck des Clientzertifikats.
Öffnen Sie die Datei profileinfo.txt in einem Text-Editor. Um den Fingerabdruck des Clientzertifikats (untergeordnetes Zertifikat) zu erhalten, markieren Sie den Text einschließlich und zwischen „-----BEGIN CERTIFICATE-----“ und „-----END CERTIFICATE-----“ für das untergeordnete Zertifikat, und kopieren Sie ihn. Das untergeordnete Zertifikat finden Sie in der Zeile „subject=/“.
Öffnen Sie die Datei vpnconfig.ovpn und suchen Sie den Abschnitt im folgenden Beispiel. Ersetzen Sie den gesamten Text zwischen „cert“ und „/cert“.
# P2S client certificate # please fill this field with a PEM formatted cert <cert> $CLIENTCERTIFICATE </cert>
Öffnen Sie die Datei „profileinfo.txt“ in einem Text-Editor. Um den privaten Schlüssel zu erhalten, markieren Sie den Text einschließlich und zwischen „-----BEGIN PRIVATE KEY-----“ und „-----END PRIVATE KEY-----“, und kopieren Sie ihn.
Öffnen Sie die Datei „vpnconfig.ovpn“ in einem Text-Editor, und suchen Sie nach diesem Abschnitt. Fügen Sie den privaten Schlüssel ein, indem Sie den gesamten Text zwischen „key“ und „/key“ ersetzen.
# P2S client root certificate private key # please fill this field with a PEM formatted key <key> $PRIVATEKEY </key>
Ändern Sie keine anderen Felder. Verwenden Sie die ausgefüllte Konfiguration in der Clienteingabe, um eine Verbindung mit dem VPN herzustellen.
Um über die Befehlszeile eine Verbindung herzustellen, geben Sie den folgenden Befehl ein:
sudo openvpn --config <name and path of your VPN profile file>&
Um eine Verbindung über die Befehlszeile zu trennen, geben Sie den folgenden Befehl ein:
sudo pkill openvpn
Um über die grafische Benutzeroberfläche eine Verbindung herzustellen, wechseln Sie zu „Systemeinstellungen“.
Wählen Sie + aus, um eine neue VPN-Verbindung hinzuzufügen.
Wählen Sie unter VPN hinzufügen den Befehl Aus Datei importieren... aus.
Navigieren Sie zur Profildatei, und doppelklicken Sie darauf, oder wählen Sie Öffnen aus.
Wählen Sie im Fenster VPN hinzufügen die Option Hinzufügen aus.
Sie können eine Verbindung herstellen, indem Sie auf der Seite Netzwerkeinstellungen oder unter dem Netzwerksymbol auf der Taskleiste das VPN auf EIN festlegen.
Nächste Schritte
Weitere Schritte finden Sie im Artikel zum P2S Azure-Portal.