OpenVPN 2.x-ügyfél konfigurálása P2S-tanúsítványhitelesítési kapcsolatokhoz – Windows
Ha a pont–hely (P2S) VPN-átjáró OpenVPN- és tanúsítványhitelesítés használatára van konfigurálva, az OpenVPN-ügyféllel csatlakozhat a virtuális hálózathoz. Ez a cikk végigvezeti az OpenVPN-ügyfél 2.4-s és újabb verziójának konfigurálásához és a virtuális hálózathoz való csatlakozáshoz szükséges lépéseken.
Mielőtt elkezdené
Az ügyfélkonfiguráció lépéseinek megkezdése előtt ellenőrizze, hogy a megfelelő VPN-ügyfélkonfigurációs cikkben van-e. Az alábbi táblázat a VPN Gateway pont–hely VPN-ügyfelekhez elérhető konfigurációs cikkeket mutatja be. A lépések a hitelesítési típustól, az alagút típusától és az ügyfél operációs rendszerétől függően eltérőek.
| Hitelesítés | Alagúttípus | Ügyfél operációs rendszere | VPN-ügyfél |
|---|---|---|---|
| Tanúsítvány | |||
| IKEv2, SSTP | Windows | Natív VPN-ügyfél | |
| IKEv2 | macOS | Natív VPN-ügyfél | |
| IKEv2 | Linux | strongSwan | |
| OpenVPN | Windows | Azure VPN-ügyfél OpenVPN-ügyfél 2.x-es verziója OpenVPN-ügyfél 3.x-es verziója |
|
| OpenVPN | macOS | OpenVPN-ügyfél | |
| OpenVPN | iOS | OpenVPN-ügyfél | |
| OpenVPN | Linux | Azure VPN-ügyfél OpenVPN-ügyfél |
|
| Microsoft Entra ID | |||
| OpenVPN | Windows | Azure VPN-ügyfél | |
| OpenVPN | macOS | Azure VPN-ügyfél | |
| OpenVPN | Linux | Azure VPN-ügyfél |
Feljegyzés
Az OpenVPN-ügyfél független felügyelet alatt áll, és nem a Microsoft felügyelete alatt áll. Ez azt jelenti, hogy a Microsoft nem felügyeli a kód, a buildek, az ütemtervek vagy a jogi szempontokat. Ha az ügyfelek bármilyen hibát vagy problémát tapasztalnak az OpenVPN-ügyféllel kapcsolatban, közvetlenül kapcsolatba kell lépniük az OpenVPN Inc. ügyfélszolgálatával. Az ebben a cikkben szereplő irányelvek "az adott módon" vannak megadva, és az OpenVPN Inc. nem érvényesítette azokat. Célja, hogy segítse az ügyfeleket, akik már ismerik az ügyfelet, és szeretnék használni az Azure VPN Gatewayhez való csatlakozáshoz egy pont–hely VPN beállításban.
Előfeltételek
Ez a cikk feltételezi, hogy már teljesítette a következő előfeltételeket:
- Létrehozta és konfigurálta a VPN-átjárót a pont–hely tanúsítvány hitelesítéséhez és az OpenVPN-alagút típusához. A lépésekért tekintse meg a P2S VPN Gateway-kapcsolatok kiszolgálóbeállításainak konfigurálása – tanúsítványhitelesítés című témakört.
- Létrehozta és letöltötte a VPN-ügyfél konfigurációs fájljait. A lépésekért tekintse meg a VPN-ügyfélprofil konfigurációs fájljainak generálása című témakört.
- Létrehozhat ügyféltanúsítványokat, vagy beszerezheti a hitelesítéshez szükséges megfelelő ügyféltanúsítványokat.
Kapcsolati követelmények
Ahhoz, hogy az OpenVPN-ügyféllel tanúsítványhitelesítéssel csatlakozzon az Azure-hoz, minden csatlakozó ügyfélszámítógéphez a következő elemek szükségesek:
- A nyílt VPN-ügyfélszoftvert minden ügyfélszámítógépen telepíteni és konfigurálni kell.
- Az ügyfélszámítógépnek helyileg telepített ügyféltanúsítvánnyal kell rendelkeznie.
Munkafolyamat
A cikk munkafolyamata a következő:
- Ha még nem tette meg, hozzon létre és telepítsen ügyféltanúsítványokat.
- Tekintse meg a létrehozott VPN-ügyfélprofil konfigurációs csomagjában található VPN-ügyfélprofil konfigurációs fájljait.
- Konfigurálja az OpenVPN-ügyfelet.
- Csatlakozás az Azure-hoz.
Ügyféltanúsítványok létrehozása és telepítése
A tanúsítványhitelesítéshez minden ügyfélszámítógépen telepíteni kell egy ügyféltanúsítványt. A használni kívánt ügyféltanúsítványt titkos kulccsal kell exportálni, és a tanúsítvány elérési útjának minden tanúsítványát tartalmaznia kell. Emellett egyes konfigurációk esetében telepítenie kell a főtanúsítvány adatait is.
Az ügyféltanúsítványt sok esetben közvetlenül az ügyfélszámítógépre telepítheti, ha duplán kattint. Bizonyos OpenVPN-ügyfélkonfigurációk esetében azonban előfordulhat, hogy a konfiguráció befejezéséhez adatokat kell kinyernie az ügyféltanúsítványból.
- A tanúsítványok használatával kapcsolatos információkért lásd : Pont–hely: Tanúsítványok létrehozása.
- Telepített ügyféltanúsítvány megtekintéséhez nyissa meg a Felhasználói tanúsítványok kezelése lehetőséget. Az ügyféltanúsítvány telepítve van a Jelenlegi felhasználó\Személyes\Tanúsítványok mappában.
Az ügyféltanúsítvány telepítése
A hitelesítéshez minden számítógépnek szüksége van egy ügyféltanúsítványra. Ha az ügyféltanúsítvány még nincs telepítve a helyi számítógépen, az alábbi lépésekkel telepítheti:
- Keresse meg az ügyféltanúsítványt. További információ az ügyféltanúsítványokról: Ügyféltanúsítványok telepítése.
- Telepítse az ügyféltanúsítványt. Ezt általában úgy teheti meg, hogy duplán kattint a tanúsítványfájlra, és megad egy jelszót (ha szükséges).
Konfigurációs fájlok megtekintése
A VPN-ügyfélprofil konfigurációs csomagja adott mappákat tartalmaz. A mappákban lévő fájlok tartalmazzák a VPN-ügyfélprofil ügyfélszámítógépen való konfigurálásához szükséges beállításokat. Az általuk tárolt fájlok és beállítások a VPN-átjáróra vonatkoznak, és a VPN-átjáró hitelesítésének és alagútjának típusa a használatra van konfigurálva.
Keresse meg és bontsa ki a létrehozott VPN-ügyfélprofil konfigurációs csomagját. A tanúsítványhitelesítéshez és az OpenVPN-hez az OpenVPN mappát kell látnia. Ha nem látja a mappát, ellenőrizze a következő elemeket:
- Ellenőrizze, hogy a VPN-átjáró az OpenVPN-alagúttípus használatára van-e konfigurálva.
- Ha Microsoft Entra-hitelesítést használ, előfordulhat, hogy nem rendelkezik OpenVPN-mappával. Ehelyett tekintse meg a Microsoft Entra ID konfigurációs cikkét.
Az ügyfél konfigurálása
Töltse le és telepítse az OpenVPN-ügyfelet (2.4-es vagy újabb verzió) a hivatalos OpenVPN-webhelyről.
Keresse meg a létrehozott és a számítógépre letöltött VPN-ügyfélprofil konfigurációs csomagját. Bontsa ki a csomagot. Nyissa meg az OpenVPN mappát, és nyissa meg a vpnconfig.ovpn konfigurációs fájlt a Jegyzettömb használatával.
Ezután keresse meg a létrehozott gyermektanúsítványt. Ha nem rendelkezik a tanúsítvánnyal, a következő hivatkozások egyikével exportálhatja a tanúsítványt. A következő lépésben a tanúsítványinformációkat fogja használni.
- A VPN Gateway utasításai
- Virtual WAN-utasítások
A gyermektanúsítványból nyerje ki a titkos kulcsot és a base64 ujjlenyomatot a .pfx fájlból. Ennek több módja van. Az OpenSSL használata a számítógépen az egyik módszer. A profileinfo.txt fájl tartalmazza a hitelesítésszolgáltató és az ügyféltanúsítvány titkos kulcsát és ujjlenyomatát. Mindenképpen használja az ügyféltanúsítvány ujjlenyomatát.
openssl pkcs12 -in "filename.pfx" -nodes -out "profileinfo.txt"Váltson a Jegyzettömbben megnyitott vpnconfig.ovpn fájlra. Töltse ki a kettő közötti
<cert>szakaszt, és</cert>adja meg az értékeket$CLIENT_CERTIFICATE,$INTERMEDIATE_CERTIFICATEés$ROOT_CERTIFICATEaz alábbi példában látható módon.# P2S client certificate # please fill this field with a PEM formatted cert <cert> $CLIENT_CERTIFICATE $INTERMEDIATE_CERTIFICATE (optional) $ROOT_CERTIFICATE </cert>- Nyissa meg profileinfo.txt a Jegyzettömb előző lépéséből. Az egyes tanúsítványok azonosításához tekintse meg a
subject=sort. Ha például a gyermektanúsítvány neve P2SChildCert, az ügyféltanúsítvány azsubject=CN = P2SChildCertattribútum után lesz. - A lánc minden egyes tanúsítványához másolja a "-----BEGIN TANÚSÍTVÁNY-----" és a "-----END TANÚSÍTVÁNY-----" szöveget.
- Csak akkor adjon meg
$INTERMEDIATE_CERTIFICATEértéket, ha köztes tanúsítvánnyal rendelkezik a profileinfo.txt fájlban.
- Nyissa meg profileinfo.txt a Jegyzettömb előző lépéséből. Az egyes tanúsítványok azonosításához tekintse meg a
Nyissa meg a profileinfo.txt a Jegyzettömbben. A titkos kulcs lekéréséhez jelölje ki a "-----BEGIN TITKOS KULCS-----" és a "-----END PRIVATE KEY-----" szöveget, és másolja ki.
Lépjen vissza a jegyzettömb vpnconfig.ovpn fájljához, és keresse meg ezt a szakaszt. Illessze be a titkos kulcsot, amely minden között és
<key></key>között.# P2S client root certificate private key # please fill this field with a PEM formatted key <key> $PRIVATEKEY </key>Ha az OpenVPN-ügyfél 2.6-os verzióját használja, adja hozzá a "disable-dco" lehetőséget a profilhoz. Ez a beállítás nem kompatibilis a korábbi verziókkal, ezért csak az OpenVPN-ügyfél 2.6-os verziójához kell hozzáadni.
Ne módosítsa a többi mezőt. Az ügyfélbemenet kitöltött konfigurációjával csatlakozhat a VPN-hez.
Másolja a vpnconfig.ovpn fájlt a C:\Program Files\OpenVPN\config mappába.
Kattintson a jobb gombbal az OpenVPN ikonra a tálcán, és kattintson a Csatlakozás parancsra.
Következő lépések
Kövesse az esetleges további kiszolgáló- vagy kapcsolatbeállításokat. Lásd a pont–hely konfiguráció lépéseit.