Konfigurowanie klienta OpenVPN dla połączeń uwierzytelniania certyfikatów P2S — Windows
Jeśli brama sieci VPN typu punkt-lokacja (P2S) jest skonfigurowana do korzystania z protokołu OpenVPN i uwierzytelniania certyfikatu, możesz nawiązać połączenie z siecią wirtualną przy użyciu klienta OpenVPN. W tym artykule opisano kroki konfigurowania klienta OpenVPN i nawiązywania połączenia z siecią wirtualną.
Zanim rozpoczniesz
W tym artykule założono, że zostały już spełnione następujące wymagania wstępne:
- Utworzono i skonfigurowano bramę sieci VPN na potrzeby uwierzytelniania certyfikatu typu punkt-lokacja oraz typu tunelu OpenVPN. Aby uzyskać instrukcje, zobacz Konfigurowanie ustawień serwera dla połączeń bramy sieci VPN typu punkt-lokacja — uwierzytelnianie certyfikatu.
- Wygenerowano certyfikaty klienta i pobrano pliki konfiguracji klienta sieci VPN. Zobacz Klienci sieci VPN typu punkt-lokacja: uwierzytelnianie certyfikatu — Windows
Przed rozpoczęciem kroków konfiguracji klienta sprawdź, czy znajdujesz się w odpowiednim artykule dotyczącym konfiguracji klienta sieci VPN. W poniższej tabeli przedstawiono artykuły konfiguracji dostępne dla klientów sieci VPN typu punkt-lokacja bramy sieci VPN. Kroki różnią się w zależności od typu uwierzytelniania, typu tunelu i systemu operacyjnego klienta.
Uwierzytelnianie | Typ tunelu | Generowanie plików konfiguracji | Konfigurowanie klienta sieci VPN |
---|---|---|---|
Certyfikat platformy Azure | IKEv2, SSTP | Windows | Natywny klient sieci VPN |
Certyfikat platformy Azure | OpenVPN | Windows | - Klient OpenVPN - Klient sieci VPN platformy Azure |
Certyfikat platformy Azure | IKEv2, OpenVPN | macOS-iOS | macOS-iOS |
Certyfikat platformy Azure | IKEv2, OpenVPN | Linux | Linux |
Microsoft Entra ID | OpenVPN (SSL) | Windows | Windows |
Microsoft Entra ID | OpenVPN (SSL) | macOS | macOS |
RADIUS — certyfikat | - | Artykuł | Artykuł |
RADIUS — hasło | - | Artykuł | Artykuł |
RADIUS — inne metody | - | Artykuł | Artykuł |
Wymagania dotyczące Połączenie ion
Aby nawiązać połączenie z platformą Azure, każde połączenie z komputerem klienckim wymaga następujących elementów:
- Oprogramowanie open VPN Client musi być zainstalowane i skonfigurowane na każdym komputerze klienckim.
- Komputer kliencki musi mieć zainstalowany lokalnie certyfikat klienta.
Wyświetlanie plików konfiguracji
Pakiet konfiguracji profilu klienta sieci VPN zawiera określone foldery. Pliki w folderach zawierają ustawienia wymagane do skonfigurowania profilu klienta sieci VPN na komputerze klienckim. Pliki i zawarte w nich ustawienia są specyficzne dla bramy sieci VPN, a typ uwierzytelniania i tunel bramy sieci VPN jest skonfigurowany do użycia.
Znajdź i rozpakuj wygenerowany pakiet konfiguracji profilu klienta sieci VPN. W przypadku uwierzytelniania certyfikatów i protokołu OpenVPN powinien zostać wyświetlony folder OpenVPN. Jeśli folder nie jest widoczny, sprawdź następujące elementy:
- Sprawdź, czy brama sieci VPN jest skonfigurowana do używania typu tunelu OpenVPN.
- Jeśli używasz uwierzytelniania microsoft Entra, być może nie masz folderu OpenVPN. Zamiast tego zapoznaj się z artykułem dotyczącym konfiguracji identyfikatora Entra firmy Microsoft.
Konfigurowanie klienta
Uwaga
Klient OpenVPN w wersji 2.6 nie jest jeszcze obsługiwany.
Pobierz i zainstaluj klienta OpenVPN (wersja 2.4 lub nowsza) z oficjalnej witryny internetowej OpenVPN. Wersja 2.6 nie jest jeszcze obsługiwana.
Znajdź wygenerowany i pobrany na komputer pakiet konfiguracji profilu klienta sieci VPN. Wyodrębnij pakiet. Przejdź do folderu OpenVPN i otwórz plik konfiguracji vpnconfig.ovpn przy użyciu Notatnik.
Następnie znajdź utworzony certyfikat podrzędny. Jeśli nie masz certyfikatu, użyj jednego z poniższych linków, aby wykonać kroki eksportowania certyfikatu. Informacje o certyfikacie będą używane w następnym kroku.
Z certyfikatu podrzędnego wyodrębnij klucz prywatny i odcisk palca base64 z pliku PFX. Istnieje wiele sposobów, aby to zrobić. Korzystanie z biblioteki OpenSSL na komputerze jest jednym ze sposobów. Plik profileinfo.txt zawiera klucz prywatny oraz odcisk palca urzędu certyfikacji i certyfikatu klienta. Pamiętaj, aby użyć odcisku palca certyfikatu klienta.
openssl pkcs12 -in "filename.pfx" -nodes -out "profileinfo.txt"
Przejdź do pliku vpnconfig.ovpn otwartego w Notatnik. Wypełnij sekcję między
<cert>
i</cert>
, uzyskując wartości dla$CLIENT_CERTIFICATE
,$INTERMEDIATE_CERTIFICATE
i, jak$ROOT_CERTIFICATE
pokazano poniżej.# P2S client certificate # please fill this field with a PEM formatted cert <cert> $CLIENT_CERTIFICATE $INTERMEDIATE_CERTIFICATE (optional) $ROOT_CERTIFICATE </cert>
- Otwórz profileinfo.txt z poprzedniego kroku w Notatnik. Każdy certyfikat można zidentyfikować, przeglądając
subject=
wiersz. Jeśli na przykład certyfikat podrzędny nosi nazwę P2SChildCert, certyfikat klienta będzie znajdować się po atrybuciesubject=CN = P2SChildCert
. - Dla każdego certyfikatu w łańcuchu skopiuj tekst (w tym między) "-----BEGIN CERTIFICATE-----" i "-----END CERTIFICATE-----".
- Uwzględnij
$INTERMEDIATE_CERTIFICATE
tylko wartość, jeśli masz certyfikat pośredni w pliku profileinfo.txt .
- Otwórz profileinfo.txt z poprzedniego kroku w Notatnik. Każdy certyfikat można zidentyfikować, przeglądając
Otwórz profileinfo.txt w Notatnik. Aby uzyskać klucz prywatny, zaznacz tekst (w tym między) "-----BEGIN PRIVATE KEY-----" i "-----END PRIVATE KEY-----" i skopiuj go.
Wróć do pliku vpnconfig.ovpn w Notatnik i znajdź tę sekcję. Wklej klucz prywatny, zastępując wszystko między elementami i i
<key>
</key>
.# P2S client root certificate private key # please fill this field with a PEM formatted key <key> $PRIVATEKEY </key>
Nie zmieniaj żadnych innych pól. Użyj konfiguracji wprowadzonej w danych wejściowych klienta, aby nawiązać połączenie z siecią VPN.
Skopiuj plik vpnconfig.ovpn do folderu C:\Program Files\OpenVPN\config.
Kliknij prawym przyciskiem myszy ikonę OpenVPN na pasku zadań systemowych i kliknij przycisk Połączenie.
Następne kroki
Krokikonfiguracji punkt-lokacja klientów sieci VPN typu punkt-lokacja: uwierzytelnianie certyfikatu — Windows