設定適用於 P2S 憑證驗證連線的 OpenVPN 用戶端 - Windows

如果點對站 (P2S) VPN 閘道設定為使用 OpenVPN 和憑證驗證，您可以使用 OpenVPN 用戶端來連線到虛擬網路。 本文將逐步引導您完成設定 OpenVPN 用戶端並連線到虛擬網路的步驟。

開始之前

本文假設您已經執行下列的必要條件:

• 您已建立並設定 VPN 閘道，以進行點對站憑證驗證和 OpenVPN 通道類型。 如需相關步驟，請參閱設定 P2S VPN 閘道連線的伺服器設定 - 憑證驗證。
• 您已產生客戶端憑證，並下載 VPN 用戶端組態檔。 請參閱點對站 VPN 用戶端: 憑證驗證 - Windows

開始客戶端設定步驟之前，請先確認您參照的是正確的 VPN 用戶端設定文章。 下列資料表會顯示適用於 VPN 閘道點對站 VPN 用戶端的設定文章。 步驟會根據驗證類型、通道類型和用戶端 OS 而有所不同。

驗證	通道類型	產生設定檔	設定 VPN 用戶端
Azure 憑證	IKEv2、SSTP	Windows	原生 VPN 用戶端
Azure 憑證	OpenVPN	Windows	- OpenVPN 用戶端 - Azure VPN 用戶端
Azure 憑證	IKEv2、OpenVPN	macOS-iOS	macOS-iOS
Azure 憑證	IKEv2、OpenVPN	Linux	Linux
Microsoft Entra ID	OpenVPN (SSL)	Windows	Windows
Microsoft Entra ID	OpenVPN (SSL)	macOS	macOS
RADIUS - 憑證	-	發行項	發行項
RADIUS - 密碼	-	發行項	發行項
RADIUS - 其他方法	-	發行項	發行項

連線需求

若要連線到 Azure，每個連線的用戶端電腦都需要下列項目:

• Open VPN Client 軟體必須安裝在每部用戶端電腦上並加以設定。
• 用戶端電腦都必須在本機安裝用戶端憑證。

檢視設定檔

VPN 用戶端設定檔組態套件包含特定的資料夾。 資料夾內的檔案包含在用戶端電腦上設定 VPN 用戶端設定檔所需的設定。 這些檔案及其所包含的設定是專為 VPN 閘道和已設定 VPN 閘道使用的驗證和通道類型而設計。

找到您所產生的 VPN 用戶端設定檔組態套件並加以解壓縮。 若為憑證驗證和 OpenVPN，您應該會看到 OpenVPN 資料夾。 如果您沒有看到該資料夾，請驗證下列項目：

• 驗證您的 VPN 閘道是否設定為使用 OpenVPN 通道類型。
• 若使用 Microsoft Entra 驗證，可能就沒有 OpenVPN 資料夾。 請參閱 Microsoft Entra ID 設定文章。

設定用戶端

注意

尚不支援 OpenVPN 用戶端 2.6 版。

1. 從官方 OpenVPN 網站下載並安裝 OpenVPN 用戶端 (2.4 版或更新版本)。 尚未支援 2.6 版。

2. 找到您所產生並下載到電腦的 VPN 用戶端設定檔組態套件。 擷取套件。 前往 OpenVPN 資料夾，然後使用記事本開啟 vpnconfig.ovpn 組態檔。

3. 接下來，找出您建立的子憑證。 若無憑證，請使用下列其中一個連結來匯出憑證。 您會在下一個步驟中使用憑證資訊。

   • VPN 閘道指示
   • 虛擬 WAN 指示

4. 從子憑證中，擷取 .pfx 中的私密金鑰和 base64 指紋。 有多種方式可以執行這項操作。 其中一種方式是在電腦上使用 OpenSSL。 profileinfo.txt 檔案包含 CA 和用戶端憑證的私密金鑰和指紋。 請務必使用用戶端憑證的指紋。

   openssl pkcs12 -in "filename.pfx" -nodes -out "profileinfo.txt"
   

5. 切換至您在記事本開啟的 vpnconfig.ovpn 檔案。 填寫 <cert> 和 </cert> 之間的區段，取得 $CLIENT_CERTIFICATE、$INTERMEDIATE_CERTIFICATE 和 $ROOT_CERTIFICATE 的值，如下所示。

      # P2S client certificate
      # please fill this field with a PEM formatted cert
      <cert>
      $CLIENT_CERTIFICATE
      $INTERMEDIATE_CERTIFICATE (optional)
      $ROOT_CERTIFICATE
      </cert>
   

   • 在記事本中，開啟上一個步驟的 profileinfo.txt。 您可以透過查看 subject= 行來識別每個憑證。 例如，如果您的子憑證稱為 P2SChildCert，則用戶端憑證將會在 subject=CN = P2SChildCert 屬性之後。
   • 針對鏈結中的每個憑證，複製 "-----BEGIN CERTIFICATE-----" 和 "-----END CERTIFICATE-----" 以及介於兩者之間的文字。
   • 只有當您的 profileinfo.txt 檔案中有中繼憑證時，才包括 $INTERMEDIATE_CERTIFICATE 值。

6. 在記事本中開啟 profileinfo.txt。 若要取得私密金鑰，請選取 "-----BEGIN PRIVATE KEY-----" 和 "-----END PRIVATE KEY-----" 以及介於兩者之間的文字，並加以複製。

7. 返回記事本中的 vpnconfig.ovpn 檔案，並尋找此區段。 貼上私密金鑰，以取代 <key> 和 </key> 之間的所有內容。

   # P2S client root certificate private key
   # please fill this field with a PEM formatted key
   <key>
   $PRIVATEKEY
   </key>
   

8. 請勿變更任何其他欄位。 使用用戶端輸入中填入的設定來連線至 VPN。

9. 將 vpnconfig.ovpn 檔案複製到 C:\Program Files\OpenVPN\config 資料夾。

10. 以滑鼠右鍵按一下系統匣中的 OpenVPN 圖示，然後按一下 [連線]。

下一步

點對站設定步驟點對站 VPN 用戶端：憑證驗證 - Windows