P2S 証明書認証接続用に OpenVPN クライアントを構成する - Windows
ポイント対サイト (P2S) VPN ゲートウェイが OpenVPN と証明書認証を使うように構成されている場合は、OpenVPN クライアントを使って仮想ネットワークに接続できます。 この記事では、OpenVPN クライアントを構成し、仮想ネットワークに接続する手順について説明します。
開始する前に
この記事では、次の前提条件が既に実行されていることを前提としています。
- ポイント対サイト証明書認証と OpenVPN トンネルの種類用に VPN ゲートウェイを作成して構成しました。 手順については、「P2S VPN Gateway 接続用にサーバー設定を構成する - 証明書認証」を参照してください。
- クライアント証明書を生成し、VPN クライアント構成ファイルをダウンロードした。 「ポイント対サイト VPN クライアントの構成: 証明書認証 - Windows」を参照してください
クライアント構成の手順を開始する前に、VPN クライアント構成に関する記事を参照していることを確認します。 次の表は、VPN Gateway ポイント対サイト VPN クライアントで使用できる構成についての記事を示しています。 手順は、認証の種類、トンネルの種類、クライアント OS によって異なります。
| 認証 | トンネルの種類 | 構成ファイルを生成する | VPN クライアントを構成する |
|---|---|---|---|
| Azure 証明書 | IKEv2、SSTP | Windows | ネイティブ VPN クライアント |
| Azure 証明書 | OpenVPN | Windows | - OpenVPN クライアント - Azure VPN クライアント |
| Azure 証明書 | IKEv2、OpenVPN | macOS-iOS | macOS-iOS |
| Azure 証明書 | IKEv2、OpenVPN | Linux | Linux |
| Microsoft Entra ID | OpenVPN (SSL) | Windows | Windows |
| Microsoft Entra ID | OpenVPN (SSL) | macOS | macOS |
| RADIUS - 証明書 | - | 記事 | 記事 |
| RADIUS - パスワード | - | 記事 | 記事 |
| RADIUS - その他の方法 | - | 記事 | 記事 |
接続の要件
Azure に接続するには、接続する各クライアント コンピューターに次の項目が必要です。
- Open VPN クライアント ソフトウェアを各クライアント コンピューターにインストールして構成する必要があります。
- クライアント コンピューターには、ローカルにインストールされているクライアント証明書が必要です。
構成ファイルを表示する
VPN クライアント プロファイル構成パッケージには、特定のフォルダーが含まれています。 フォルダー内のファイルには、クライアント コンピューターで VPN クライアント プロファイルを構成するために必要な設定が含まれています。 このファイルとそれに含まれる設定は、VPN ゲートウェイと、VPN ゲートウェイで使用するように設定されている認証とトンネルの種類に固有のものです。
生成した VPN クライアント プロファイル構成パッケージを見つけて解凍します。 証明書認証と OpenVPN については、OpenVPN フォルダーが表示されます。 フォルダーが表示されない場合は、次の項目を確認します。
- OpenVPN トンネルの種類を使用するように VPN ゲートウェイが構成されていることを確認します。
- Microsoft Entra 認証を使用している場合は、OpenVPN フォルダーがない可能性があります。 代わりに、 Microsoft Entra ID の構成に関する記事を参照してください。
クライアントの構成
Note
OpenVPN クライアント バージョン 2.6 はまだサポートされていません。
公式の OpenVPN Web サイトから OpenVPN クライアント (バージョン 2.4 以降) をダウンロードしてインストールします。 バージョン 2.6 はまだサポートされていません。
ユーザーが生成してコンピューターにダウンロードした VPN クライアント プロファイル構成パッケージを見つけます。 パッケージを抽出します。 OpenVPN フォルダーに移動し、メモ帳を使用して vpnconfig.ovpn 構成ファイルを開きます。
次に、作成した子証明書を見つけます。 証明書がない場合は、次のいずれかのリンクを使用して証明書をエクスポートする手順を実行します。 この証明書情報は、次の手順で必要になります。
- VPN Gateway の手順
- Virtual WAN の手順
子証明書から、秘密キーと base64 のサムプリントを .pfx から抽出します。 これを行うには複数の方法があります。 1 つの方法として、コンピューター上で OpenSSL を使用します。 profileinfo.txt ファイルには、CA およびクライアント証明書の秘密キーとサムプリントが含まれています。 必ず、クライアント証明書のサムプリントを使用してください。
openssl pkcs12 -in "filename.pfx" -nodes -out "profileinfo.txt"メモ帳で開かれている vpnconfig.ovpn ファイルに切り替えます。 以下の例のように、
$CLIENT_CERTIFICATE、$INTERMEDIATE_CERTIFICATE、$ROOT_CERTIFICATEの値を取得して、<cert>から</cert>までのセクションを入力します。# P2S client certificate # please fill this field with a PEM formatted cert <cert> $CLIENT_CERTIFICATE $INTERMEDIATE_CERTIFICATE (optional) $ROOT_CERTIFICATE </cert>- 前の手順の profileinfo.txt をメモ帳で開きます。 それぞれの証明書は、
subject=行を見て識別できます。 たとえば、子の証明書が P2SChildCert という名称である場合、subject=CN = P2SChildCert属性の後にあるのがクライアント証明書です。 - チェーンの証明書ごとに、"-----BEGIN CERTIFICATE-----" から "-----END CERTIFICATE-----" までのテキスト (これらの文字列を含む) をコピーします。
$INTERMEDIATE_CERTIFICATE値を含めるのは、profileinfo.txt ファイルに中間証明書がある場合のみです。
- 前の手順の profileinfo.txt をメモ帳で開きます。 それぞれの証明書は、
メモ帳で profileinfo.txt を開きます。 秘密キーを取得するには、"-----BEGIN PRIVATE KEY-----" および "-----END PRIVATE KEY-----" (とその間の) テキストを選択してコピーします。
メモ帳の vpnconfig.ovpn ファイルに戻って、このセクションを見つけます。 秘密キーを貼り付けて、
<key>と</key>の間をすべて置き換えます。# P2S client root certificate private key # please fill this field with a PEM formatted key <key> $PRIVATEKEY </key>その他のフィールドは変更しないでください。 クライアント入力に入力された構成を使用して VPN に接続します。
vpnconfig.ovpn ファイルを C:\Program Files\OpenVPN\config フォルダーにコピーします。
システム トレイの OpenVPN アイコンを右クリックし、[接続] をクリックします。