Mengonfigurasi klien OpenVPN Connect 3.x untuk koneksi autentikasi sertifikat P2S - Windows

Artikel
10/17/2024

Jika gateway VPN titik-ke-situs (P2S) Anda dikonfigurasi untuk menggunakan OpenVPN dan autentikasi sertifikat, Anda dapat terhubung ke jaringan virtual Anda menggunakan Klien OpenVPN. Artikel ini memandu Anda melalui langkah-langkah untuk mengonfigurasi klien OpenVPN Connect 3.x dan menyambungkan ke jaringan virtual Anda. Ada beberapa perbedaan konfigurasi antara klien OpenVPN 2.x dan klien OpenVPN Connect 3.x. Artikel ini berfokus pada klien OpenVPN Connect 3.x.

Sebelum Anda mulai

Sebelum memulai langkah-langkah konfigurasi klien, verifikasi bahwa Anda berada di artikel konfigurasi klien VPN yang benar. Tabel berikut ini memperlihatkan artikel konfigurasi yang tersedia untuk klien VPN Gateway point-to-site VPN. Langkah-langkah berbeda, tergantung pada jenis autentikasi, jenis terowongan, dan OS klien.

Autentikasi	Jenis terowongan	OS Klien	Klien VPN
Sertifikat
	IKEv2, SSTP	Windows	Klien VPN asli
	IKEv2	macOS	Klien VPN asli
	IKEv2	Linux	strongSwan
	OpenVPN	Windows	Klien Azure VPN Klien OpenVPN versi 2.x Klien OpenVPN versi 3.x
	OpenVPN	macOS	Klien OpenVPN
	OpenVPN	iOS	Klien OpenVPN
	OpenVPN	Linux	Klien Azure VPN Klien OpenVPN
Microsoft Entra ID
	OpenVPN	Windows	Klien Azure VPN
	OpenVPN	macOS	Klien Azure VPN
	OpenVPN	Linux	Klien Azure VPN

Catatan

Klien OpenVPN dikelola secara independen dan tidak berada di bawah kontrol Microsoft. Ini berarti Microsoft tidak mengawasi aspek kode, build, peta jalan, atau hukumnya. Jika pelanggan mengalami bug atau masalah dengan klien OpenVPN, mereka harus langsung menghubungi dukungan OpenVPN Inc. Panduan dalam artikel ini disediakan 'apa adanya' dan belum divalidasi oleh OpenVPN Inc. Mereka dimaksudkan untuk membantu pelanggan yang sudah terbiasa dengan klien dan ingin menggunakannya untuk terhubung ke Azure VPN Gateway dalam penyiapan VPN Titik-ke-Situs.

Prasyarat

Artikel ini mengasumsikan bahwa Anda telah melakukan prasyarat berikut:

Anda membuat dan mengonfigurasi gateway VPN untuk autentikasi sertifikat titik-ke-situs dan jenis terowongan OpenVPN. Lihat Mengonfigurasi pengaturan server untuk koneksi VPN Gateway P2S - autentikasi sertifikat untuk langkah-langkahnya.
Anda membuat dan mengunduh file konfigurasi klien VPN. Lihat Membuat file konfigurasi profil klien VPN untuk langkah-langkahnya.
Anda dapat membuat sertifikat klien, atau memperoleh sertifikat klien yang sesuai yang diperlukan untuk autentikasi.

Persyaratan koneksi

Untuk menyambungkan ke Azure menggunakan klien OpenVPN Connect 3.x menggunakan autentikasi sertifikat, setiap komputer klien yang menghubungkan memerlukan item berikut:

Perangkat lunak klien OpenVPN Connect harus diinstal dan dikonfigurasi pada setiap komputer klien.
Komputer klien harus memiliki sertifikat klien yang diinstal secara lokal.
Jika rantai sertifikat Anda menyertakan sertifikat perantara, lihat bagian Sertifikat menengah terlebih dahulu untuk memverifikasi bahwa konfigurasi gateway VPN P2S Anda disiapkan untuk mendukung rantai sertifikat ini. Perilaku autentikasi sertifikat untuk klien 3.x berbeda dari versi sebelumnya, di mana Anda dapat menentukan sertifikat perantara di profil klien.

Alur kerja

Alur kerja untuk artikel ini adalah:

Buat dan instal sertifikat klien jika Anda belum melakukannya.
Lihat file konfigurasi profil klien VPN yang terkandung dalam paket konfigurasi profil klien VPN yang Anda buat.
Konfigurasikan klien OpenVPN Connect.
Sambungkan ke Azure.

Membuat dan menginstal sertifikat klien

Untuk autentikasi sertifikat, sertifikat klien harus diinstal pada setiap komputer klien. Sertifikat klien yang ingin Anda gunakan harus diekspor dengan kunci privat, dan harus berisi semua sertifikat di jalur sertifikasi. Selain itu, untuk beberapa konfigurasi, Anda juga perlu menginstal informasi sertifikat akar.

Dalam banyak kasus, Anda dapat menginstal sertifikat klien langsung di komputer klien dengan mengklik dua kali. Namun, untuk beberapa konfigurasi klien OpenVPN, Anda mungkin perlu mengekstrak informasi dari sertifikat klien untuk menyelesaikan konfigurasi.

Untuk informasi tentang bekerja dengan sertifikat, lihat Titik-ke-situs: Membuat sertifikat.
Untuk melihat sertifikat klien, buka Kelola Sertifikat Pengguna. Sertifikat klien dipasang di User\Personal\Certificates Saat Ini.

Menginstal sertifikat klien

Setiap komputer memerlukan sertifikat klien untuk mengautentikasi. Jika sertifikat klien belum diinstal di komputer lokal, Anda dapat menginstalnya menggunakan langkah-langkah berikut:

Temukan sertifikat klien. Untuk informasi selengkapnya tentang sertifikat klien, lihat Menginstal sertifikat klien.
Instal sertifikat klien. Biasanya, Anda dapat melakukan ini dengan mengklik dua kali file sertifikat dan menyediakan kata sandi (jika diperlukan).

Menampilkan file konfigurasi

Paket konfigurasi profil klien VPN berisi folder tertentu. File dalam folder berisi pengaturan yang diperlukan untuk mengonfigurasi profil klien VPN di komputer klien. File dan pengaturan yang dikandungnya khusus untuk gateway VPN dan jenis autentikasi dan terowongan gateway VPN Anda dikonfigurasi untuk digunakan.

Temukan dan buka zip paket konfigurasi profil klien VPN yang Anda buat. Untuk autentikasi sertifikat dan OpenVPN, Anda akan melihat folder OpenVPN . Jika Anda tidak melihat folder, verifikasi item berikut:

Verifikasi bahwa gateway VPN Anda dikonfigurasi untuk menggunakan jenis terowongan OpenVPN.
Jika Anda menggunakan autentikasi ID Microsoft Entra, Anda mungkin tidak memiliki folder OpenVPN. Lihat artikel konfigurasi ID Microsoft Entra sebagai gantinya.

Mengonfigurasi klien

Unduh dan instal klien OpenVPN versi 3.x dari situs web OpenVPN resmi.
Temukan paket konfigurasi profil klien VPN yang Anda buat dan unduh ke komputer Anda. Ekstrak paket. Buka folder OpenVPN dan buka file konfigurasi vpnconfig.ovpn menggunakan Notepad.
Selanjutnya, temukan sertifikat anak yang Anda buat. Jika Anda tidak memiliki sertifikat, gunakan salah satu tautan berikut untuk langkah-langkah mengekspor sertifikat. Anda akan menggunakan informasi sertifikat di langkah berikutnya.
- Instruksi VPN Gateway
- Instruksi Virtual WAN
Dari sertifikat anak, ekstrak kunci privat dan thumbprint base64 dari .pfx. Ada beberapa cara untuk melakukan ini. Menggunakan OpenSSL di komputer Anda adalah salah satu caranya. File profileinfo.txt terdiri atas kunci privat dan thumbprint untuk CA dan sertifikat Klien. Pastikan untuk menggunakan thumbprint sertifikat klien.
```
openssl pkcs12 -in "filename.pfx" -nodes -out "profileinfo.txt"
```
Beralih ke file vpnconfig.ovpn yang Anda buka di Notepad. Isi bagian antara <cert> dan </cert>, mendapatkan nilai untuk $CLIENT_CERTIFICATE, dan $ROOT_CERTIFICATE seperti yang ditunjukkan dalam contoh berikut.
```
   # P2S client certificate
   # please fill this field with a PEM formatted cert
   <cert>
   $CLIENT_CERTIFICATE
   $ROOT_CERTIFICATE
   </cert>
```
- Buka profileinfo.txt dari langkah sebelumnya di Notepad. Anda dapat mengidentifikasi setiap sertifikat dengan melihat baris subject=. Misalnya, jika sertifikat turunan Anda bernama P2SChildCert, sertifikat klien Anda akan mengikuti atribut subject=CN = P2SChildCert.
- Untuk setiap sertifikat dalam rantai, salin teks (termasuk dan di antara) "-----BEGIN CERTIFICATE-----" dan "-----END CERTIFICATE-----".
Buka profileinfo.txt di Notepad. Untuk mendapatkan kunci privat, pilih teks (termasuk dan antara) "-----BEGIN PRIVATE KEY-----" dan "-----END PRIVATE KEY-----" dan salin.
Kembali ke file vpnconfig.ovpn di Notepad dan temukan bagian ini. Tempelkan kunci pribadi yang menggantikan semua yang ada di antara <key> dan </key>.
```
# P2S client root certificate private key
# please fill this field with a PEM formatted key
<key>
$PRIVATEKEY
</key>
```
Komentari baris "log openvpn.log". Jika tidak dikomentari, klien OpenVPN melaporkan bahwa log tidak lagi menjadi opsi yang didukung. Lihat Contoh profil pengguna untuk contoh cara mengomentari baris log. Setelah mengomentari baris log, Anda masih dapat mengakses log melalui antarmuka klien OpenVPN. Untuk mengakses, klik ikon log di sudut kanan atas UI klien. Microsoft menyarankan agar pelanggan memeriksa dokumentasi OpenVPN connect untuk lokasi file log karena pengelogan dikontrol oleh klien OpenVPN.
Jangan ubah bidang lainnya. Gunakan konfigurasi terisi dalam input klien untuk menyambungkan ke VPN.
Impor file vpnconfig.ovpn di klien OpenVPN.
Klik kanan ikon OpenVPN di baki sistem dan klik Sambungkan.

Contoh profil pengguna

Contoh berikut menunjukkan file konfigurasi profil pengguna untuk klien OpenVPN Connect 3.x. Contoh ini menunjukkan file log yang dikomentari dan opsi "ping-restart 0" ditambahkan untuk mencegah koneksi ulang berkala karena tidak ada lalu lintas yang dikirim ke klien.

client
remote <vpnGatewayname>.ln.vpn.azure.com 443
verify-x509-name <IdGateway>.ln.vpn.azure.com name
remote-cert-tls server

dev tun
proto tcp
resolv-retry infinite
nobind

auth SHA256
cipher AES-256-GCM
persist-key
persist-tun

tls-timeout 30
tls-version-min 1.2
key-direction 1

#log openvpn.log
#inactive 0
ping-restart 0 
verb 3

# P2S CA root certificate
<ca>
-----BEGIN CERTIFICATE-----
……
……..
……..
……..

-----END CERTIFICATE-----
</ca>

# Pre Shared Key
<tls-auth>
-----BEGIN OpenVPN Static key V1-----
……..
……..
……..

-----END OpenVPN Static key V1-----
</tls-auth>

# P2S client certificate
# Please fill this field with a PEM formatted client certificate
# Alternatively, configure 'cert PATH_TO_CLIENT_CERT' to use input from a PEM certificate file.
<cert>
-----BEGIN CERTIFICATE-----
……..
……..
……..
-----END CERTIFICATE-----
</cert>

# P2S client certificate private key
# Please fill this field with a PEM formatted private key of the client certificate.
# Alternatively, configure 'key PATH_TO_CLIENT_KEY' to use input from a PEM key file.
<key>
-----BEGIN PRIVATE KEY-----
……..
……..
……..
-----END PRIVATE KEY-----
</key>

Sertifikat perantara

Jika rantai sertifikat Anda menyertakan sertifikat perantara, Anda harus mengunggah sertifikat perantara ke gateway AZURE VPN. Ini adalah metode yang disukai untuk digunakan, terlepas dari klien VPN yang Anda pilih untuk terhubung. Di versi sebelumnya, Anda dapat menentukan sertifikat perantara di profil pengguna. Ini tidak lagi didukung di klien OpenVPN Connect versi 3.x.

Saat Anda bekerja dengan sertifikat perantara, sertifikat perantara harus diunggah setelah sertifikat akar.

Menghubungkan

Jika Anda mengalami koneksi ulang berkala karena tidak ada lalu lintas yang dikirim ke klien, Anda dapat menambahkan opsi "ping-restart 0" ke profil untuk mencegah pemutusan sambungan menyebabkan koneksi kembali. Ini dijelaskan dalam dokumentasi OpenVPN Connect sebagai berikut: " --ping-restart n Mirip dengan --ping-exit, tetapi picu SIGUSR1 mulai ulang setelah n detik berlalu tanpa penerimaan ping atau paket lain dari jarak jauh."

Lihat Contoh profil pengguna untuk contoh cara menambahkan opsi ini.

Langkah berikutnya

Tindak lanjuti dengan pengaturan server atau koneksi tambahan. Lihat Langkah-langkah konfigurasi titik-ke-situs.

Bagikan melalui