Freigeben über


Konfigurieren des OpenVPN-Clients für Verbindungen mit P2S-Zertifikatauthentifizierung – Linux

Dieser Artikel hilft Ihnen bei der Verbindung mit Ihrem virtuellen Azure-Netzwerk (VNet) mithilfe von VPN-Gateway-Point-to-Site (P2S) und Zertifikatauthentifizierung von Linux über einen OpenVPN-Client.

Voraussetzungen

Vergewissern Sie sich, dass Sie sich im richtigen Artikel befinden. In der folgenden Tabelle sind die Konfigurationsartikel aufgeführt, die für Azure VPN Gateway P2S-VPN-Clients verfügbar sind. Die Schritte unterscheiden sich je nach Authentifizierungstyp, Tunneltyp und Clientbetriebssystem.

Authentifizierung Tunneltyp Clientbetriebssystem VPN-Client
Zertifikat
IKEv2, SSTP Windows Nativer VPN-Client
IKEv2 macOS Nativer VPN-Client
IKEv2 Linux strongSwan
OpenVPN Windows Azure VPN Client
OpenVPN-Clientversion 2.x
OpenVPN-Clientversion 3.x
OpenVPN macOS OpenVPN-Client
OpenVPN iOS OpenVPN-Client
OpenVPN Linux Azure VPN Client
OpenVPN-Client
Microsoft Entra ID
OpenVPN Windows Azure VPN Client
OpenVPN macOS Azure VPN Client
OpenVPN Linux Azure VPN Client

Voraussetzungen

In diesem Artikel wird davon ausgegangen, dass Sie bereits die folgenden Voraussetzungen erfüllt haben:

Verbindungsanforderungen

Um eine Verbindung mit Azure mithilfe des OpenVPN-Clients mithilfe der Zertifikatauthentifizierung herzustellen, erfordert jeder verbindungsbasierte Client die folgenden Elemente:

  • Die OpenVPN-Clientsoftware muss auf jedem Client installiert und konfiguriert werden.
  • Der Client muss die richtigen Zertifikate lokal installiert haben.

Workflow

Der Workflow für diesen Artikel lautet:

  1. Installieren Sie den OpenVPN-Client.
  2. Zeigen Sie die Konfigurationsdateien des VPN-Clientprofils an, die im von Ihnen generierten VPN-Clientprofilkonfigurationspaket enthalten sind.
  3. Konfigurieren Sie den OpenVPN-Client.
  4. Herstellen einer Verbindung zu Azure.

Informationen zu Zertifikaten

Für die Zertifikatauthentifizierung muss auf jedem Clientcomputer ein Clientzertifikat installiert sein. Das zu verwendende Clientzertifikat muss mit dem privaten Schlüssel exportiert werden und alle Zertifikate im Zertifizierungspfad enthalten. Darüber hinaus müssen Sie für einige Konfigurationen auch Stammzertifikatinformationen installieren.

Der OpenVPN-Client in diesem Artikel verwendet Zertifikate, die im PFX-Format exportiert werden. Sie können ein Clientzertifikat in diesem Format anhand der Windows-Anweisungen ganz einfach exportieren. Siehe Exportieren eines Clientzertifikats: PFX. Wenn Sie keinen Windows-Computer haben, können Sie als Problemumgehung eine kleine Windows-VM verwenden, um Zertifikate im erforderlichen PFX-Format zu exportieren. Zurzeit kann mit den bereitgestellten Linux-Anweisungen für OpenSSL nur das PEM-Format exportiert werden.

Konfigurationsschritte

Dieser Abschnitt unterstützt Sie beim Konfigurieren von Linux-Clients für die Zertifikatauthentifizierung, die einen OpenVPN-Tunnel verwendet. Für die Verbindung mit Azure laden Sie den OpenVPN-Client herunter und konfigurieren das Verbindungsprofil.

Hinweis

OpenVPN-Client Version 2.6 wird noch nicht unterstützt.

  1. Starten Sie eine neue Terminalsitzung. Sie können eine neue Sitzung öffnen, indem Sie STRG+ALT+T gleichzeitig drücken.

  2. Geben Sie für die Installation der benötigten Komponenten den folgenden Befehl ein:

    sudo apt-get install openvpn
    sudo apt-get -y install network-manager-openvpn
    sudo service network-manager restart
    
  3. Wechseln Sie als Nächstes zum VPN-Clientprofilordner, und entzippen Sie die Dateien.

  4. Exportieren Sie das P2S-Clientzertifikat, das Sie erstellt und in Ihre P2S-Konfiguration auf dem Gateway hochgeladen haben. Informationen zu den Schritten finden Sie im Abschnitt zu VPN-Gateways für Point-to-Site-Verbindungen.

  5. Extrahieren Sie den privaten Schlüssel und den Base64-Fingerabdruck aus der PFX-Datei. Hierfür gibt es mehrere Möglichkeiten. Die Verwendung von OpenSSL auf Ihrem Computer ist eine Möglichkeit.

    openssl pkcs12 -in "filename.pfx" -nodes -out "profileinfo.txt"
    

    Die Datei profileinfo.txt enthält den privaten Schlüssel und den Fingerabdruck für die Zertifizierungsstelle sowie das Clientzertifikat. Verwenden Sie unbedingt den Fingerabdruck des Clientzertifikats.

  6. Öffnen Sie die Datei profileinfo.txt in einem Text-Editor. Um den Fingerabdruck des Clientzertifikats (untergeordnetes Zertifikat) zu erhalten, markieren Sie den Text einschließlich und zwischen „-----BEGIN CERTIFICATE-----“ und „-----END CERTIFICATE-----“ für das untergeordnete Zertifikat, und kopieren Sie ihn. Das untergeordnete Zertifikat finden Sie in der Zeile „subject=/“.

  7. Öffnen Sie die Datei vpnconfig.ovpn und suchen Sie den Abschnitt im folgenden Beispiel. Ersetzen Sie den gesamten Text zwischen „cert“ und „/cert“.

    # P2S client certificate
    # please fill this field with a PEM formatted cert
    <cert>
    $CLIENTCERTIFICATE
    </cert>
    
  8. Öffnen Sie die Datei „profileinfo.txt“ in einem Text-Editor. Um den privaten Schlüssel zu erhalten, markieren Sie den Text einschließlich und zwischen „-----BEGIN PRIVATE KEY-----“ und „-----END PRIVATE KEY-----“, und kopieren Sie ihn.

  9. Öffnen Sie die Datei „vpnconfig.ovpn“ in einem Text-Editor, und suchen Sie nach diesem Abschnitt. Fügen Sie den privaten Schlüssel ein, indem Sie den gesamten Text zwischen „key“ und „/key“ ersetzen.

    # P2S client root certificate private key
    # please fill this field with a PEM formatted key
    <key>
    $PRIVATEKEY
    </key>
    
  10. Ändern Sie keine anderen Felder. Verwenden Sie die ausgefüllte Konfiguration in der Clienteingabe, um eine Verbindung mit dem VPN herzustellen.

    • Um über die Befehlszeile eine Verbindung herzustellen, geben Sie den folgenden Befehl ein:

      sudo openvpn --config <name and path of your VPN profile file>&
      
    • Um eine Verbindung über die Befehlszeile zu trennen, geben Sie den folgenden Befehl ein:

      sudo pkill openvpn
      
    • Um über die grafische Benutzeroberfläche eine Verbindung herzustellen, wechseln Sie zu „Systemeinstellungen“.

  11. Wählen Sie + aus, um eine neue VPN-Verbindung hinzuzufügen.

  12. Wählen Sie unter VPN hinzufügen den Befehl Aus Datei importieren... aus.

  13. Navigieren Sie zur Profildatei, und doppelklicken Sie darauf, oder wählen Sie Öffnen aus.

  14. Wählen Sie im Fenster VPN hinzufügen die Option Hinzufügen aus.

    Screenshot: „Aus Datei importieren“ auf der Seite „VPN hinzufügen“.

  15. Sie können eine Verbindung herstellen, indem Sie auf der Seite Netzwerkeinstellungen oder unter dem Netzwerksymbol auf der Taskleiste das VPN auf EIN festlegen.

Nächste Schritte

Weitere Schritte finden Sie im Artikel zum P2S Azure-Portal.