Configurer le client OpenVPN pour les connexions d’authentification par certificat P2S - Windows
Si votre passerelle VPN point à site (P2S) est configurée pour utiliser OpenVPN et l’authentification par certificat, vous pouvez vous connecter à votre réseau virtuel en utilisant le client OpenVPN. Cet article vous guide tout au long des étapes de configuration du client OpenVPN et de connexion à votre réseau virtuel.
Avant de commencer
Cet article suppose que vous avez déjà effectué les étapes prérequises suivantes :
- Vous avez créé et configuré votre passerelle VPN pour l’authentification par certificat point à site et le type de tunnel OpenVPN. Pour connaître les étapes, consultez Configurer les paramètres du serveur pour les connexions de passerelle VPN P2S – Authentification par certificat.
- Vous avez généré des certificats clients et téléchargé les fichiers de configuration du client VPN. Consultez Clients VPN point à site : authentification par certificat – Windows
Avant de commencer les étapes de configuration du client, vérifiez que vous suivez l’article de configuration de client VPN approprié. Le tableau suivant présente les articles de configuration disponibles pour les clients VPN point à site de la passerelle VPN. Les étapes diffèrent selon le type d’authentification, le type de tunnel et le système d’exploitation client.
Authentification | Type de tunnel | Générer des fichiers config | Configurer le client VPN |
---|---|---|---|
Certificat Azure | IKEv2, SSTP | Windows | Client VPN natif |
Certificat Azure | OpenVPN | Windows | - Client OpenVPN - Client VPN Azure |
Certificat Azure | IKEv2, OpenVPN | macOS-iOS | macOS-iOS |
Certificat Azure | IKEv2, OpenVPN | Linux | Linux |
Microsoft Entra ID | OpenVPN (SSL) | Windows | Windows |
Microsoft Entra ID | OpenVPN (SSL) | macOS | macOS |
RADIUS - certificat | - | Article | Article |
RADIUS - mot de passe | - | Article | Article |
RADIUS - autres méthodes | - | Article | Article |
Exigences relatives aux connexions
Pour se connecter à Azure, chaque ordinateur client nécessite les éléments suivants :
- Le logiciel du client OpenVPN doit être installé et configuré sur chaque ordinateur client.
- L’ordinateur client doit disposer d’un certificat client installé localement.
Afficher les fichiers de configuration
Le package de configuration du profil du client VPN contient des dossiers spécifiques. Les fichiers dans les dossiers contiennent les paramètres nécessaires pour configurer le profil du client VPN sur l’ordinateur client. Les fichiers et les paramètres qu’ils contiennent sont spécifiques à la passerelle VPN et le type d’authentification et de tunnel de votre passerelle VPN est configuré pour l’utiliser.
Localisez et décompressez le package de configuration du profil du client VPN que vous avez généré. Pour l’authentification par certificat et OpenVPN, vous devez voir un dossier OpenVPN. Si vous ne voyez pas le dossier, vérifiez les éléments suivants :
- Vérifiez que votre passerelle VPN est configurée pour utiliser le type de tunnel OpenVPN.
- Si vous utilisez l’authentification Microsoft Entra, vous pouvez ne pas disposer de dossier OpenVPN. Consultez plutôt l’article sur la configuration de Microsoft Entra ID.
Configurer le client
Remarque
Le client OpenVPN version 2.6 n’est pas encore pris en charge.
Téléchargez et installez le client OpenVPN (version 2.4 ou plus) depuis le site web OpenVPN officiel. La version 2.6 n’est pas encore prise en charge.
Recherchez le package de configuration du profil client VPN que vous avez généré et téléchargé sur votre ordinateur. Extrayez le package. Utilisez ensuite le bloc-notes pour ouvrir le fichier de configuration vpnconfig.ovpn à partir du dossier OpenVPN.
Ensuite, recherchez le certificat enfant que vous avez créé. Si vous n’avez pas le certificat, utilisez l’un des liens suivants pour connaître les étapes d’exportation du certificat. Vous utiliserez les informations de certificat à l’étape suivante.
- Instructions sur la passerelle VPN
- Instructions sur Virtual WAN
À partir du certificat enfant, extrayez la clé privée et l’empreinte numérique base64 du fichier .pfx. Il y a plusieurs manières de procéder. Vous devez utiliser OpenSSL sur votre ordinateur. Le fichier profileinfo.txt contient la clé privée et l’empreinte numérique pour l’autorité de certification et le certificat client. Assurez-vous d’utiliser l’empreinte numérique du certificat client.
openssl pkcs12 -in "filename.pfx" -nodes -out "profileinfo.txt"
Basculez vers le fichier vpnconfig.ovpn que vous avez ouvert dans le Bloc-notes. Renseignez la section entre
<cert>
et</cert>
, en obtenant les valeurs pour$CLIENT_CERTIFICATE
,$INTERMEDIATE_CERTIFICATE
et$ROOT_CERTIFICATE
comme indiqué ci-dessous.# P2S client certificate # please fill this field with a PEM formatted cert <cert> $CLIENT_CERTIFICATE $INTERMEDIATE_CERTIFICATE (optional) $ROOT_CERTIFICATE </cert>
- Ouvrez le fichier profileinfo.txt de l’étape précédente dans le Bloc-notes. Vous pouvez identifier chaque certificat en examinant la ligne
subject=
. Par exemple, si votre certificat enfant se nomme P2SChildCert, votre certificat client sera après l’attributsubject=CN = P2SChildCert
. - Pour chaque certificat de la chaîne, copiez le texte (y compris et entre) « -----BEGIN CERTIFICATE-----" et "-----END CERTIFICATE----- ».
- N’incluez une valeur
$INTERMEDIATE_CERTIFICATE
que si vous avez un certificat intermédiaire dans votre fichier profileinfo.txt.
- Ouvrez le fichier profileinfo.txt de l’étape précédente dans le Bloc-notes. Vous pouvez identifier chaque certificat en examinant la ligne
Ouvrez profileinfo.txt dans le Bloc-notes. Pour obtenir la clé privée, sélectionnez le texte (y compris et entre) « ---BEGIN PRIVATE KEY--- » et « ---END PRIVATE KEY--- », puis copiez-le.
Revenez au fichier vpnconfig.ovpn dans le Bloc-notes et recherchez cette section. Collez la clé privée, en remplaçant tout le contenu compris entre
<key>
et</key>
.# P2S client root certificate private key # please fill this field with a PEM formatted key <key> $PRIVATEKEY </key>
Ne modifiez aucun autre champ. Utilisez la configuration complétée dans l’entrée client pour vous connecter au VPN.
Copiez le fichier vpnconfig.ovpn dans C:\Program Files\OpenVPN\config folder.
Cliquez avec le bouton droit de la souris sur l’icône OpenVPN de la barre d’état du système et cliquez sur l’option Connexion.
Étapes suivantes
Étapes de configuration point à siteClients VPN point à site : authentification par certificat – Windows