Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Dit artikel helpt u verbinding te maken vanuit de Azure VPN-client voor Linux met uw virtuele Azure-netwerk (VNet) met behulp van VPN Gateway point-to-site (P2S) certificaatverificatie. Voor de Azure VPN-client voor Linux is het type OpenVPN-tunnel vereist.
Hoewel het mogelijk is dat de Azure VPN-client voor Linux kan werken in andere Linux-distributies en -releases, wordt de Azure VPN-client voor Linux alleen ondersteund in de volgende releases:
- Ubuntu 20.04
- Ubuntu 22.04
Voordat u begint
Controleer of u het juiste artikel hebt. De volgende tabel bevat de configuratieartikelen die beschikbaar zijn voor Azure VPN Gateway P2S VPN-clients. De stappen verschillen, afhankelijk van het verificatietype, het tunneltype en het client-besturingssysteem.
| Verificatiemethode | Tunneltype | Client besturingssysteem | VPN-client |
|---|---|---|---|
| Certificaat | |||
| IKEv2, SSTP | Windows | Systeemeigen VPN-client | |
| IKEv2 | macOS | Systeemeigen VPN-client | |
| IKEv2 | Linux | strongSwan | |
| OpenVPN | Windows |
Azure VPN-client OpenVPN-clientversie 2.x OpenVPN-clientversie 3.x |
|
| OpenVPN | macOS | OpenVPN-client | |
| OpenVPN | iOS | OpenVPN-client | |
| OpenVPN | Linux |
Azure VPN-client OpenVPN-client |
|
| Microsoft Entra ID | |||
| OpenVPN | Windows | Azure VPN-client | |
| OpenVPN | macOS | Azure VPN-client | |
| OpenVPN | Linux | Azure VPN-client |
Vereisten
In dit artikel wordt ervan uitgegaan dat u de volgende vereisten al hebt uitgevoerd:
- De VPN-gateway is geconfigureerd voor punt-naar-site-certificaatverificatie en het Type OpenVPN-tunnel. Zie Serverinstellingen configureren voor P2S VPN Gateway-verbindingen- certificaatverificatie voor stappen.
- Configuratiebestanden voor VPN-clientprofielen worden al gegenereerd en zijn beschikbaar. Zie Configuratiebestanden voor VPN-clientprofielen genereren voor stappen.
Connectiviteitsvereisten
Als u verbinding wilt maken met Azure met behulp van de Azure VPN-client en certificaatverificatie, heeft elke verbindingsclient de volgende items nodig:
- De Azure VPN-clientsoftware moet op elke client worden geïnstalleerd en geconfigureerd.
- De client moet de juiste certificaten lokaal hebben geïnstalleerd.
Workflow
De werkstroom voor dit artikel is:
- Clientcertificaten genereren en installeren.
- Zoek en bekijk de configuratiebestanden van het VPN-clientprofiel in het configuratiepakket voor het VPN-clientprofiel dat u hebt gegenereerd.
- Download en configureer de Azure VPN-client voor Linux.
- Verbinding maken met Azure.
Certificaten genereren
Voor certificaatverificatie moet een clientcertificaat op elke clientcomputer worden geïnstalleerd. Het clientcertificaat dat u wilt gebruiken, moet worden geëxporteerd met de persoonlijke sleutel en moet alle certificaten in het certificeringspad bevatten. Daarnaast moet u voor sommige configuraties ook informatie over het basiscertificaat installeren.
Genereer de openbare certificaatgegevens van de client en de persoonlijke sleutel in PEM-indeling met behulp van de volgende opdrachten. Als u de opdrachten wilt uitvoeren, moet u beschikken over het openbare basiscertificaat caCert.pem en de persoonlijke sleutel van het basiscertificaat caKey.pem. Zie Certificaten genereren en exporteren - Linux - OpenSSL voor meer informatie.
Notitie
Microsoft raadt u aan de veiligste verificatiestroom te gebruiken die beschikbaar is. De verificatiestroom die in deze procedure wordt beschreven, vereist een zeer hoge mate van vertrouwen in de toepassing en brengt risico's met zich mee die niet aanwezig zijn in andere stromen. U moet deze stroom alleen gebruiken wanneer andere veiligere stromen, zoals beheerde identiteiten, niet haalbaar zijn.
export PASSWORD="password"
export USERNAME=$(hostnamectl --static)
# Generate a private key
openssl genrsa -out "${USERNAME}Key.pem" 2048
# Generate a CSR
openssl req -new -key "${USERNAME}Key.pem" -out "${USERNAME}Req.pem" -subj "/CN=${USERNAME}"
# Sign the CSR using the CA certificate and key
openssl x509 -req -days 365 -in "${USERNAME}Req.pem" -CA caCert.pem -CAkey caKey.pem -CAcreateserial -out "${USERNAME}Cert.pem" -extfile <(echo -e "subjectAltName=DNS:${USERNAME}\nextendedKeyUsage=clientAuth")
Configuratiebestanden voor VPN-clientprofielen weergeven
Wanneer u een configuratiepakket voor een VPN-clientprofiel genereert en downloadt, bevinden alle benodigde configuratie-instellingen voor VPN-clients zich in een ZIP-bestand voor de configuratie van een VPN-clientprofiel. De configuratiebestanden voor het VPN-clientprofiel zijn specifiek voor de configuratie van de P2S VPN-gateway voor het virtuele netwerk. Als er wijzigingen zijn aangebracht in de P2S VPN-configuratie nadat u de bestanden hebt gegenereerd, zoals wijzigingen in het VPN-protocoltype of verificatietype, moet u nieuwe configuratiebestanden voor vpn-clientprofielen genereren en de nieuwe configuratie toepassen op alle VPN-clients die u wilt verbinden.
Zoek het configuratiepakket voor het VPN-clientprofiel dat u hebt gegenereerd en gedownload (vermeld in de vereisten) en pak het uit. Open de map AzureVPN . In deze map ziet u het azurevpnconfig_cert.xml-bestand of het azurevpnconfig.xml-bestand , afhankelijk van of uw P2S-configuratie meerdere verificatietypen bevat. Het bestand .xml bevat de instellingen die u gebruikt om het VPN-clientprofiel te configureren.
Als u geen bestand ziet of als u geen AzureVPN-map hebt, controleert u of uw VPN-gateway is geconfigureerd voor het gebruik van het OpenVPN-tunneltype en dat certificaatverificatie is geselecteerd.
De Azure VPN-client downloaden
Voeg de lijst met Microsoft-opslagplaatsen toe en installeer de Azure VPN-client voor Linux met behulp van de volgende opdrachten:
# install curl utility
sudo apt-get install curl
# Install Microsoft's public key
curl -sSl https://packages.microsoft.com/keys/microsoft.asc | sudo tee /etc/apt/trusted.gpg.d/microsoft.asc
# Install the production repo list for focal
# For Ubuntu 20.04
curl https://packages.microsoft.com/config/ubuntu/20.04/prod.list | sudo tee /etc/apt/sources.list.d/microsoft-ubuntu-focal-prod.list
# Install the production repo list for jammy
# For Ubuntu 22.04
curl https://packages.microsoft.com/config/ubuntu/22.04/prod.list | sudo tee /etc/apt/sources.list.d/microsoft-ubuntu-jammy-prod.list
sudo apt-get update
sudo apt-get install microsoft-azurevpnclient
Zie De Linux-softwareopslagplaats voor Microsoft-producten voor meer informatie over de opslagplaats.
Het Azure VPN-clientprofiel configureren
Open de Azure VPN-client.
Selecteer Importeren in de linkerbenedenhoek van de pagina van de Linux VPN-client.
Navigeer in het venster naar het azurevpnconfig.xml- of azurevpnconfig_cert.xml-bestand, selecteer het en selecteer vervolgens Openen.
Als u openbare clientcertificaatgegevens wilt toevoegen, gebruikt u de bestandskiezer en zoekt u de gerelateerde PEM-bestanden.
Als u de persoonlijke sleutel van het clientcertificaat wilt toevoegen, gebruikt u de kiezer en selecteert u het pad naar certificaatbestanden in de tekstvakken voor de persoonlijke sleutel, met de bestandsextensie .pem.
Nadat het importeren is gevalideerd (importeren zonder fouten), selecteert u Opslaan.
Zoek in het linkerdeelvenster het VPN-verbindingsprofiel dat u hebt gemaakt. Selecteer Verbinding maken.
Wanneer de client is verbonden, wordt de status weergegeven als Verbonden met een groen pictogram.
U kunt de samenvatting van de verbindingslogboeken bekijken in de statuslogboeken op het hoofdscherm van de VPN-client.
De Azure VPN-client verwijderen
Als u de Azure VPN-client wilt verwijderen, gebruikt u de volgende opdracht in de terminal:
sudo apt remove microsoft-azurevpnclient
Volgende stappen
Ga voor aanvullende stappen terug naar het artikel Een VPN Gateway P2S VPN-verbinding maken.