Bagikan melalui

Mengonfigurasi klien OpenVPN 2.x untuk koneksi autentikasi sertifikat P2S - Windows

  • Artikel

Jika gateway VPN titik-ke-situs (P2S) Anda dikonfigurasi untuk menggunakan OpenVPN dan autentikasi sertifikat, Anda dapat terhubung ke jaringan virtual Anda menggunakan Klien OpenVPN. Artikel ini memandu Anda melalui langkah-langkah untuk mengonfigurasi klien OpenVPN 2.4 dan yang lebih tinggi dan terhubung ke jaringan virtual Anda.

Sebelum Anda mulai

Sebelum memulai langkah-langkah konfigurasi klien, verifikasi bahwa Anda berada di artikel konfigurasi klien VPN yang benar. Tabel berikut ini memperlihatkan artikel konfigurasi yang tersedia untuk klien VPN Gateway point-to-site VPN. Langkah-langkah berbeda, tergantung pada jenis autentikasi, jenis terowongan, dan OS klien.

Autentikasi Jenis terowongan OS Klien Klien VPN
Sertifikat
IKEv2, SSTP Windows Klien VPN asli
IKEv2 macOS Klien VPN asli
IKEv2 Linux strongSwan
OpenVPN Windows Klien Azure VPN
Klien OpenVPN versi 2.x
Klien OpenVPN versi 3.x
OpenVPN macOS Klien OpenVPN
OpenVPN iOS Klien OpenVPN
OpenVPN Linux Klien Azure VPN
Klien OpenVPN
Microsoft Entra ID
OpenVPN Windows Klien Azure VPN
OpenVPN macOS Klien Azure VPN
OpenVPN Linux Klien Azure VPN

Catatan

Klien OpenVPN dikelola secara independen dan tidak berada di bawah kontrol Microsoft. Ini berarti Microsoft tidak mengawasi aspek kode, build, peta jalan, atau hukumnya. Jika pelanggan mengalami bug atau masalah dengan klien OpenVPN, mereka harus langsung menghubungi dukungan OpenVPN Inc. Panduan dalam artikel ini disediakan 'apa adanya' dan belum divalidasi oleh OpenVPN Inc. Mereka dimaksudkan untuk membantu pelanggan yang sudah terbiasa dengan klien dan ingin menggunakannya untuk terhubung ke Azure VPN Gateway dalam penyiapan VPN Titik-ke-Situs.

Prasyarat

Artikel ini mengasumsikan bahwa Anda telah melakukan prasyarat berikut:

  • Anda membuat dan mengonfigurasi gateway VPN untuk autentikasi sertifikat titik-ke-situs dan jenis terowongan OpenVPN. Lihat Mengonfigurasi pengaturan server untuk koneksi VPN Gateway P2S - autentikasi sertifikat untuk langkah-langkahnya.
  • Anda membuat dan mengunduh file konfigurasi klien VPN. Lihat Membuat file konfigurasi profil klien VPN untuk langkah-langkahnya.
  • Anda dapat membuat sertifikat klien, atau memperoleh sertifikat klien yang sesuai yang diperlukan untuk autentikasi.

Persyaratan koneksi

Untuk menyambungkan ke Azure menggunakan klien OpenVPN menggunakan autentikasi sertifikat, setiap komputer klien yang menyambungkan memerlukan item berikut:

  • Perangkat lunak Open VPN Client harus diinstal dan dikonfigurasi pada setiap komputer klien.
  • Komputer klien harus memiliki sertifikat klien yang diinstal secara lokal.

Alur kerja

Alur kerja untuk artikel ini adalah:

  1. Buat dan instal sertifikat klien jika Anda belum melakukannya.
  2. Lihat file konfigurasi profil klien VPN yang terkandung dalam paket konfigurasi profil klien VPN yang Anda buat.
  3. Konfigurasikan klien OpenVPN.
  4. Sambungkan ke Azure.

Membuat dan menginstal sertifikat klien

Untuk autentikasi sertifikat, sertifikat klien harus diinstal pada setiap komputer klien. Sertifikat klien yang ingin Anda gunakan harus diekspor dengan kunci privat, dan harus berisi semua sertifikat di jalur sertifikasi. Selain itu, untuk beberapa konfigurasi, Anda juga perlu menginstal informasi sertifikat akar.

Dalam banyak kasus, Anda dapat menginstal sertifikat klien langsung di komputer klien dengan mengklik dua kali. Namun, untuk konfigurasi klien OpenVPN tertentu, Anda mungkin perlu mengekstrak informasi dari sertifikat klien untuk menyelesaikan konfigurasi.

  • Untuk informasi tentang bekerja dengan sertifikat, lihat Titik-ke-situs: Membuat sertifikat.
  • Untuk melihat sertifikat klien, buka Kelola Sertifikat Pengguna. Sertifikat klien dipasang di User\Personal\Certificates Saat Ini.

Menginstal sertifikat klien

Setiap komputer memerlukan sertifikat klien untuk mengautentikasi. Jika sertifikat klien belum diinstal di komputer lokal, Anda dapat menginstalnya menggunakan langkah-langkah berikut:

  1. Temukan sertifikat klien. Untuk informasi selengkapnya tentang sertifikat klien, lihat Menginstal sertifikat klien.
  2. Instal sertifikat klien. Biasanya, Anda dapat melakukan ini dengan mengklik dua kali file sertifikat dan menyediakan kata sandi (jika diperlukan).

Menampilkan file konfigurasi

Paket konfigurasi profil klien VPN berisi folder tertentu. File dalam folder berisi pengaturan yang diperlukan untuk mengonfigurasi profil klien VPN di komputer klien. File dan pengaturan yang dikandungnya khusus untuk gateway VPN dan jenis autentikasi dan terowongan gateway VPN Anda dikonfigurasi untuk digunakan.

Temukan dan buka zip paket konfigurasi profil klien VPN yang Anda buat. Untuk autentikasi sertifikat dan OpenVPN, Anda akan melihat folder OpenVPN . Jika Anda tidak melihat folder, verifikasi item berikut:

  • Verifikasi bahwa gateway VPN Anda dikonfigurasi untuk menggunakan jenis terowongan OpenVPN.
  • Jika Anda menggunakan autentikasi Microsoft Entra, Anda mungkin tidak memiliki folder OpenVPN. Lihat artikel konfigurasi ID Microsoft Entra sebagai gantinya.

Mengonfigurasi klien

  1. Unduh dan instal klien OpenVPN (versi 2.4 atau lebih tinggi) dari stus webi OpenVPN resmi.

  2. Temukan paket konfigurasi profil klien VPN yang Anda buat dan unduh ke komputer Anda. Ekstrak paket. Buka folder OpenVPN dan buka file konfigurasi vpnconfig.ovpn menggunakan Notepad.

  3. Selanjutnya, temukan sertifikat anak yang Anda buat. Jika Anda tidak memiliki sertifikat, gunakan salah satu tautan berikut untuk langkah-langkah mengekspor sertifikat. Anda akan menggunakan informasi sertifikat di langkah berikutnya.

  4. Dari sertifikat anak, ekstrak kunci privat dan thumbprint base64 dari .pfx. Ada beberapa cara untuk melakukan ini. Menggunakan OpenSSL di komputer Anda adalah salah satu caranya. File profileinfo.txt terdiri atas kunci privat dan thumbprint untuk CA dan sertifikat Klien. Pastikan untuk menggunakan thumbprint sertifikat klien.

    openssl pkcs12 -in "filename.pfx" -nodes -out "profileinfo.txt"

  5. Beralih ke file vpnconfig.ovpn yang Anda buka di Notepad. Isi bagian antara <cert> dan </cert>, mendapatkan nilai untuk $CLIENT_CERTIFICATE, , $INTERMEDIATE_CERTIFICATEdan $ROOT_CERTIFICATE seperti yang ditunjukkan dalam contoh berikut.

       # P2S client certificate
   # please fill this field with a PEM formatted cert
   <cert>
   $CLIENT_CERTIFICATE
   $INTERMEDIATE_CERTIFICATE (optional)
   $ROOT_CERTIFICATE
   </cert>
    • Buka profileinfo.txt dari langkah sebelumnya di Notepad. Anda dapat mengidentifikasi setiap sertifikat dengan melihat baris subject=. Misalnya, jika sertifikat turunan Anda bernama P2SChildCert, sertifikat klien Anda akan mengikuti atribut subject=CN = P2SChildCert.
    • Untuk setiap sertifikat dalam rantai, salin teks (termasuk dan di antara) "-----BEGIN CERTIFICATE-----" dan "-----END CERTIFICATE-----".
    • Hanya sertakan nilai $INTERMEDIATE_CERTIFICATE jika Anda memiliki sertifikat perantara di file profileinfo.txt.

  6. Buka profileinfo.txt di Notepad. Untuk mendapatkan kunci privat, pilih teks (termasuk dan antara) "-----BEGIN PRIVATE KEY-----" dan "-----END PRIVATE KEY-----" dan salin.

  7. Kembali ke file vpnconfig.ovpn di Notepad dan temukan bagian ini. Tempelkan kunci pribadi yang menggantikan semua yang ada di antara <key> dan </key>.

    # P2S client root certificate private key
# please fill this field with a PEM formatted key
<key>
$PRIVATEKEY
</key>

  8. Jika Anda menggunakan versi 2.6 dari klien OpenVPN, tambahkan opsi "disable-dco" ke profil. Opsi ini tampaknya tidak kompatibel mundur dengan versi sebelumnya, sehingga hanya boleh ditambahkan ke klien OpenVPN versi 2.6.

  9. Jangan ubah bidang lainnya. Gunakan konfigurasi terisi dalam input klien untuk menyambungkan ke VPN.

  10. Salin file vpnconfig.ovpn ke folder C:\Program Files\OpenVPN\config.

  11. Klik kanan ikon OpenVPN di baki sistem dan klik Sambungkan.

Langkah berikutnya

Tindak lanjuti dengan pengaturan server atau koneksi tambahan. Lihat Langkah-langkah konfigurasi titik-ke-situs.