Configurare il client VPN di Azure - Autenticazione del certificato OpenVPN - Linux (anteprima)
Questo articolo illustra come connettersi alla rete virtuale di Azure dal client VPN di Azure per Linux usando l'Autenticazione del certificato del Gateway VPN da punto a sito (P2S). Il client VPN di Azure per Linux richiede il tipo di tunnel OpenVPN.
Sebbene sia possibile che il client VPN di Azure per Linux funzioni in altre distribuzioni e versioni di Linux, il client VPN di Azure per Linux è supportato solo nelle versioni seguenti:
- Ubuntu 20.04
- Ubuntu 22.04
Operazioni preliminari
Verificare che questo sia l'articolo corretto. La tabella seguente illustra gli articoli di configurazione disponibili per i client VPN da punto a sito del Gateway VPN di Azure. I passaggi variano a seconda del tipo di autenticazione, del tipo di tunnel e del sistema operativo client.
| Autenticazione | Tipo di tunnel | Sistema operativo client | Client VPN |
|---|---|---|---|
| Certificate | |||
| IKEv2, SSTP | Finestre | Client VPN nativo | |
| IKEv2 | macOS | Client VPN nativo | |
| IKEv2 | Linux | strongSwan | |
| OpenVPN | Finestre | Client VPN di Azure Client OpenVPN versione 2.x Client OpenVPN versione 3.x |
|
| OpenVPN | macOS | Client OpenVPN | |
| OpenVPN | iOS | Client OpenVPN | |
| OpenVPN | Linux | Client VPN di Azure Client OpenVPN |
|
| Microsoft Entra ID | |||
| OpenVPN | Finestre | Client VPN di Azure | |
| OpenVPN | macOS | Client VPN di Azure | |
| OpenVPN | Linux | Client VPN di Azure |
Prerequisiti
Questo articolo presuppone che l'utente abbia già eseguito i prerequisiti seguenti:
- Il Gateway VPN è configurato per l'autenticazione del certificato da punto a sito e per il tipo di tunnel OpenVPN. Per la procedura, vedere Configurare le impostazioni del server per le connessioni del Gateway VPN da punto a sito - Autenticazione del certificato.
- I file di configurazione del profilo client VPN sono stati generati e sono disponibili. Per la procedura, vedere Generare file di configurazione del profilo client VPN.
Requisiti di connessione
Per connettersi ad Azure usando il client VPN di Azure e l'autenticazione del certificato, per ogni client che si connette sono necessari gli elementi seguenti:
- Il software del client VPN di Azure deve essere installato e configurato in ogni client.
- Il client deve avere i certificati corretti installati in locale.
Workflow
Il flusso di lavoro di base è il seguente:
- Generare e installare i certificati client.
- Individuare il pacchetto di configurazione del profilo client VPN generato nell'articolo Configurare le impostazioni del server per le connessioni gateway VPN da punto a sito - Autenticazione del certificato.
- Scaricare e configurare il client VPN di Azure per Linux.
- Connettersi ad Azure.
Generare i certificati
Per l'autenticazione del certificato è necessario installare un certificato client in ogni computer client. Il certificato client che si vuole usare deve essere esportato con la chiave privata e deve contenere tutti i certificati nel percorso di certificazione. Inoltre, per alcune configurazioni, è anche necessario installare le informazioni sul certificato radice.
Generare i dati del certificato pubblico e la chiave privata del client nel formato PEM usando i comandi seguenti. Per eseguire i comandi, è necessario avere il certificato radice pubblico caCert.pem e la chiave privata del certificato radice caKey.pem. Per altre informazioni, vedere Generare ed esportare certificati - Linux - OpenSSL.
export PASSWORD="password"
export USERNAME=$(hostnamectl --static)
# Generate a private key
openssl genrsa -out "${USERNAME}Key.pem" 2048
# Generate a CSR
openssl req -new -key "${USERNAME}Key.pem" -out "${USERNAME}Req.pem" -subj "/CN=${USERNAME}"
# Sign the CSR using the CA certificate and key
openssl x509 -req -days 365 -in "${USERNAME}Req.pem" -CA caCert.pem -CAkey caKey.pem -CAcreateserial -out "${USERNAME}Cert.pem" -extfile <(echo -e "subjectAltName=DNS:${USERNAME}\nextendedKeyUsage=clientAuth")
Visualizzare i file di configurazione del profilo client VPN
Quando si genera e si scarica un pacchetto di configurazione del profilo client VPN, tutte le impostazioni di configurazione necessarie per i client VPN sono contenute in un file ZIP di configurazione del profilo client VPN. I file di configurazione del profilo client VPN sono specifici della configurazione del gateway VPN da punto a sito per la rete virtuale. Se vengono apportate modifiche alla configurazione VPN da punto a sito dopo la generazione dei file, ad esempio modifiche al tipo di autenticazione o al tipo di protocollo VPN, è necessario generare nuovi file di configurazione del profilo client VPN e applicare la nuova configurazione a tutti i client VPN da connettere.
Individuare e decomprimere il pacchetto di configurazione del profilo client VPN generato e scaricato (elencato nei Prerequisiti). Aprire la cartella AzureVPN. In questa cartella verranno visualizzati il file azurevpnconfig_cert.xml o il file azurevpnconfig.xml, a seconda che la configurazione da punto a sito includa più tipi di autenticazione. Il file XML contiene le impostazioni da usare per configurare il profilo client VPN.
Se non viene visualizzato alcun file o non si dispone di una cartella AzureVPN, verificare che il gateway VPN sia configurato per usare il tipo di tunnel OpenVPN e che sia selezionata l'autenticazione del certificato.
Scaricare il client VPN di Azure
Aggiungere l'elenco di repository Microsoft e installare il client VPN di Azure per Linux usando i comandi seguenti:
# install curl utility
sudo apt-get install curl
# Install Microsoft's public key
curl -sSl https://packages.microsoft.com/keys/microsoft.asc | sudo tee /etc/apt/trusted.gpg.d/microsoft.asc
# Install the production repo list for focal
# For Ubuntu 20.04
curl https://packages.microsoft.com/config/ubuntu/20.04/prod.list | sudo tee /etc/apt/sources.list.d/microsoft-ubuntu-focal-prod.list
# Install the production repo list for jammy
# For Ubuntu 22.04
curl https://packages.microsoft.com/config/ubuntu/22.04/prod.list | sudo tee /etc/apt/sources.list.d/microsoft-ubuntu-jammy-prod.list
sudo apt-get update
sudo apt-get install microsoft-azurevpnclient
Per altre informazioni sul repository, vedere Repository software Linux per prodotti Microsoft.
Configurare il profilo del client VPN di Azure
Aprire il client VPN di Azure.
Nella parte inferiore sinistra della pagina del client VPN Linux selezionare Importa.
Nella finestra passare al file azurevpnconfig.xml o azurevpnconfig_cert.xml, selezionarlo e quindi selezionare Apri.
Per aggiungere i Dati pubblici del certificato client, usare la selezione file e individuare i file con estensione pem correlati.
Per aggiungere la Chiave privata del certificato client, usare la selezione file e selezionare il percorso dei file di certificato nelle caselle di testo per la chiave privata, con estensione di file pem.
Dopo la convalida dell'importazione (importazione senza errori), selezionare Salva.
Nel riquadro sinistro individuare il profilo di connessione VPN creato. Selezionare Connetti.
Quando il client è connesso correttamente, lo stato viene visualizzato come Connesso con un'icona verde.
È possibile visualizzare il riepilogo dei log di connessione nei Log di stato nella schermata principale del client VPN.
Disinstallare il client VPN di Azure
Se si vuole disinstallare il client VPN di Azure, usare il comando seguente nel terminale:
sudo apt remove microsoft-azurevpnclient
Passaggi successivi
Per altri passaggi, tornare all'articolo Da punto a sito nel portale di Azure.