Azure VPN-client configureren – Certificaatverificatie OpenVPN – Linux (preview)
Dit artikel helpt u verbinding te maken met uw virtuele Azure-netwerk (VNet) vanuit de Azure VPN-client voor Linux met behulp van P2S-certificaatverificatie (point-to-site) van VPN Gateway. Voor de Azure VPN-client voor Linux is het type OpenVPN-tunnel vereist.
Hoewel het mogelijk is dat de Azure VPN-client voor Linux kan werken in andere Linux-distributies en -releases, wordt de Azure VPN-client voor Linux alleen ondersteund in de volgende releases:
- Ubuntu 20.04
- Ubuntu 22.04
Voordat u begint
Controleer of u het juiste artikel hebt. De volgende tabel bevat de configuratieartikelen die beschikbaar zijn voor Azure VPN Gateway P2S VPN-clients. De stappen verschillen, afhankelijk van het verificatietype, het tunneltype en het client-besturingssysteem.
| Verificatie | Tunneltype | Clientbesturingssysteem | VPN-client |
|---|---|---|---|
| Certificaat | |||
| IKEv2, SSTP | Windows | Systeemeigen VPN-client | |
| IKEv2 | macOS | Systeemeigen VPN-client | |
| IKEv2 | Linux | strongSwan | |
| OpenVPN | Windows | Azure VPN-client OpenVPN-clientversie 2.x OpenVPN-clientversie 3.x |
|
| OpenVPN | macOS | OpenVPN-client | |
| OpenVPN | iOS | OpenVPN-client | |
| OpenVPN | Linux | Azure VPN-client OpenVPN-client |
|
| Microsoft Entra ID | |||
| OpenVPN | Windows | Azure VPN-client | |
| OpenVPN | macOS | Azure VPN-client | |
| OpenVPN | Linux | Azure VPN-client |
Vereisten
In dit artikel wordt ervan uitgegaan dat u de volgende vereisten al hebt uitgevoerd:
- De VPN-gateway is geconfigureerd voor punt-naar-site-certificaatverificatie en het Type OpenVPN-tunnel. Zie Serverinstellingen configureren voor P2S VPN Gateway-verbindingen- certificaatverificatie voor stappen.
- Configuratiebestanden voor VPN-clientprofielen zijn gegenereerd en zijn beschikbaar. Zie Configuratiebestanden voor VPN-clientprofielen genereren voor stappen.
Verbindingsvereisten
Als u verbinding wilt maken met Azure met behulp van de Azure VPN-client en certificaatverificatie, heeft elke verbindingsclient de volgende items nodig:
- De Azure VPN-clientsoftware moet op elke client worden geïnstalleerd en geconfigureerd.
- De client moet de juiste certificaten lokaal hebben geïnstalleerd.
Workflow
De basiswerkstroom is als volgt:
- Clientcertificaten genereren en installeren.
- Zoek het configuratiepakket voor het VPN-clientprofiel dat u hebt gegenereerd in de serverinstellingen configureren voor P2S VPN Gateway-verbindingen- certificaatverificatieartikel .
- Download en configureer de Azure VPN-client voor Linux.
- Verbinding maken met Azure.
Certificaten genereren
Voor certificaatverificatie moet een clientcertificaat op elke clientcomputer worden geïnstalleerd. Het clientcertificaat dat u wilt gebruiken, moet worden geëxporteerd met de persoonlijke sleutel en moet alle certificaten in het certificeringspad bevatten. Daarnaast moet u voor sommige configuraties ook informatie over het basiscertificaat installeren.
Genereer de openbare certificaatgegevens van de client en de persoonlijke sleutel in PEM-indeling met behulp van de volgende opdrachten. Als u de opdrachten wilt uitvoeren, moet u beschikken over het openbare basiscertificaat caCert.pem en de persoonlijke sleutel van het basiscertificaat caKey.pem. Zie Certificaten genereren en exporteren - Linux - OpenSSL voor meer informatie.
export PASSWORD="password"
export USERNAME=$(hostnamectl --static)
# Generate a private key
openssl genrsa -out "${USERNAME}Key.pem" 2048
# Generate a CSR
openssl req -new -key "${USERNAME}Key.pem" -out "${USERNAME}Req.pem" -subj "/CN=${USERNAME}"
# Sign the CSR using the CA certificate and key
openssl x509 -req -days 365 -in "${USERNAME}Req.pem" -CA caCert.pem -CAkey caKey.pem -CAcreateserial -out "${USERNAME}Cert.pem" -extfile <(echo -e "subjectAltName=DNS:${USERNAME}\nextendedKeyUsage=clientAuth")
Configuratiebestanden voor VPN-clientprofielen weergeven
Wanneer u een configuratiepakket voor een VPN-clientprofiel genereert en downloadt, bevinden alle benodigde configuratie-instellingen voor VPN-clients zich in een ZIP-bestand voor de configuratie van een VPN-clientprofiel. De configuratiebestanden voor het VPN-clientprofiel zijn specifiek voor de configuratie van de P2S VPN-gateway voor het virtuele netwerk. Als er wijzigingen zijn aangebracht in de P2S VPN-configuratie nadat u de bestanden hebt gegenereerd, zoals wijzigingen in het VPN-protocoltype of verificatietype, moet u nieuwe configuratiebestanden voor vpn-clientprofielen genereren en de nieuwe configuratie toepassen op alle VPN-clients die u wilt verbinden.
Zoek het configuratiepakket voor het VPN-clientprofiel dat u hebt gegenereerd en gedownload (vermeld in de prequisites) en pak het uit. Open de map AzureVPN . In deze map ziet u het azurevpnconfig_cert.xml-bestand of het azurevpnconfig.xml-bestand , afhankelijk van of uw P2S-configuratie meerdere verificatietypen bevat. Het bestand .xml bevat de instellingen die u gebruikt om het VPN-clientprofiel te configureren.
Als u geen bestand ziet of als u geen AzureVPN-map hebt, controleert u of uw VPN-gateway is geconfigureerd voor het gebruik van het OpenVPN-tunneltype en dat certificaatverificatie is geselecteerd.
De Azure VPN-client downloaden
Voeg de lijst met Microsoft-opslagplaatsen toe en installeer de Azure VPN-client voor Linux met behulp van de volgende opdrachten:
# install curl utility
sudo apt-get install curl
# Install Microsoft's public key
curl -sSl https://packages.microsoft.com/keys/microsoft.asc | sudo tee /etc/apt/trusted.gpg.d/microsoft.asc
# Install the production repo list for focal
# For Ubuntu 20.04
curl https://packages.microsoft.com/config/ubuntu/20.04/prod.list | sudo tee /etc/apt/sources.list.d/microsoft-ubuntu-focal-prod.list
# Install the production repo list for jammy
# For Ubuntu 22.04
curl https://packages.microsoft.com/config/ubuntu/22.04/prod.list | sudo tee /etc/apt/sources.list.d/microsoft-ubuntu-jammy-prod.list
sudo apt-get update
sudo apt-get install microsoft-azurevpnclient
Zie De Linux-softwareopslagplaats voor Microsoft-producten voor meer informatie over de opslagplaats.
Het Azure VPN-clientprofiel configureren
Open de Azure VPN-client.
Selecteer Importeren in de linkerbenedenhoek van de pagina van de Linux VPN-client.
Navigeer in het venster naar het azurevpnconfig.xml- of azurevpnconfig_cert.xml-bestand, selecteer het en selecteer vervolgens Openen.
Als u openbare clientcertificaatgegevens wilt toevoegen, gebruikt u de bestandskiezer en zoekt u de gerelateerde PEM-bestanden.
Als u de persoonlijke sleutel van het clientcertificaat wilt toevoegen, gebruikt u de kiezer en selecteert u het pad naar certificaatbestanden in de tekstvakken voor de persoonlijke sleutel, met de bestandsextensie .pem.
Nadat het importeren is gevalideerd (importeren zonder fouten), selecteert u Opslaan.
Zoek in het linkerdeelvenster het VPN-verbindingsprofiel dat u hebt gemaakt. Selecteer Verbinding maken.
Wanneer de client is verbonden, wordt de status weergegeven als Verbonden met een groen pictogram.
U kunt de samenvatting van de verbindingslogboeken bekijken in de statuslogboeken op het hoofdscherm van de VPN-client.
De Azure VPN-client verwijderen
Als u de Azure VPN-client wilt verwijderen, gebruikt u de volgende opdracht in de terminal:
sudo apt remove microsoft-azurevpnclient
Volgende stappen
Ga terug naar het artikel P2S Azure Portal voor aanvullende stappen.