Konfigurieren des OpenVPN 2.x-Clients für Verbindungen mit der P2S-Zertifikatauthentifizierung – Windows

Wenn Ihr P2S-VPN-Gateway (Point-to-Site) für die Verwendung von OpenVPN und Zertifikatauthentifizierung konfiguriert ist, können Sie mithilfe des OpenVPN-Clients eine Verbindung mit Ihrem virtuellen Netzwerk herstellen. Dieser Artikel führt Sie durch die Schritte zum Konfigurieren des OpenVPN-Clients 2.4 und höher sowie zum Herstellen einer Verbindung mit Ihrem virtuellen Netzwerk.

Voraussetzungen

Vergewissern Sie sich vor Beginn der Clientkonfigurationsschritte, dass Sie sich im richtigen Artikel zur VPN-Clientkonfiguration befinden. In der folgenden Tabelle sind die Konfigurationsartikel aufgeführt, die für VPN Gateway-P2S-VPN-Clients verfügbar sind. Die Schritte unterscheiden sich je nach Authentifizierungstyp, Tunneltyp und Clientbetriebssystem.

Authentifizierung Tunneltyp Clientbetriebssystem VPN-Client
Zertifikat
IKEv2, SSTP Windows Nativer VPN-Client
IKEv2 macOS Nativer VPN-Client
IKEv2 Linux strongSwan
OpenVPN Windows Azure VPN Client
OpenVPN-Clientversion 2.x
OpenVPN-Clientversion 3.x
OpenVPN macOS OpenVPN-Client
OpenVPN iOS OpenVPN-Client
OpenVPN Linux Azure VPN Client
OpenVPN-Client
Microsoft Entra ID
OpenVPN Windows Azure VPN Client
OpenVPN macOS Azure VPN Client
OpenVPN Linux Azure VPN Client

Hinweis

Der OpenVPN-Client wird unabhängig verwaltet und unterliegt nicht der Kontrolle durch Microsoft. Dies bedeutet, dass Microsoft seinen Code, die Builds, die Roadmap oder die rechtlichen Aspekte nicht überwacht. Sollten Kunden auf Fehler oder Probleme mit dem OpenVPN-Client stoßen, sollten sie sich direkt an den Support von OpenVPN Inc. wenden. Die Anleitungen in diesem Artikel werden „wie gesehen“ bereitgestellt und wurden von OpenVPN Inc. nicht überprüft. Sie sollen Kunden unterstützen, die bereits mit dem Client vertraut sind und diesen verwenden möchten, um eine Verbindung mit dem Azure VPN Gateway in einem Point-to-Site-VPN-Setup herzustellen.

Voraussetzungen

In diesem Artikel wird davon ausgegangen, dass Sie bereits die folgenden Voraussetzungen erfüllt haben:

Verbindungsanforderungen

Um eine Verbindung mit Azure mithilfe des OpenVPN-Clients mithilfe der Zertifikatauthentifizierung herzustellen, erfordert jeder verbindende Clientcomputer die folgenden Elemente:

  • Die OpenVPN-Clientsoftware muss auf jedem Clientcomputer installiert und konfiguriert werden.
  • Der Clientcomputer muss über ein lokal installiertes Clientzertifikat verfügen.

Workflow

Der Workflow für diesen Artikel lautet:

  1. Generieren und installieren Sie Clientzertifikate, sofern dies noch nicht geschehen ist.
  2. Zeigen Sie die Konfigurationsdateien des VPN-Clientprofils an, die im von Ihnen generierten VPN-Clientprofilkonfigurationspaket enthalten sind.
  3. Konfigurieren Sie den OpenVPN-Client.
  4. Herstellen einer Verbindung zu Azure.

Generieren und Installieren von Clientzertifikaten

Für die Zertifikatauthentifizierung muss auf jedem Clientcomputer ein Clientzertifikat installiert sein. Das zu verwendende Clientzertifikat muss mit dem privaten Schlüssel exportiert werden und alle Zertifikate im Zertifizierungspfad enthalten. Darüber hinaus müssen Sie für einige Konfigurationen auch Stammzertifikatinformationen installieren.

In vielen Fällen können Sie das Clientzertifikat durch Doppelklicken direkt auf dem Clientcomputer installieren. Für bestimmte OpenVPN-Clientkonfigurationen müssen Sie jedoch möglicherweise Informationen aus dem Clientzertifikat extrahieren, um die Konfiguration abzuschließen.

Installieren des Clientzertifikats

Jeder Computer benötigt ein Clientzertifikat, um sich zu authentifizieren. Wenn das Clientzertifikat noch nicht auf dem lokalen Computer installiert ist, können Sie es mit den folgenden Schritten installieren:

  1. Suchen Sie das Clientzertifikat. Weitere Informationen zu Clientzertifikaten finden Sie unter Installieren von Clientzertifikaten.
  2. Installieren Sie das Clientzertifikat. In der Regel können Sie dazu auf die Zertifikatdatei doppelklicken und (bei Bedarf) ein Kennwort angeben.

Konfigurationsdateien ansehen

Das VPN-Clientprofilkonfigurationspaket enthält bestimmte Ordner. Die Dateien in den Ordnern enthalten die Einstellungen, die zum Konfigurieren des VPN-Clientprofils auf dem Clientcomputer erforderlich sind. Die Dateien und die darin enthaltenen Einstellungen sind spezifisch für das VPN-Gateway und den Typ der Authentifizierung und des Tunnels, der für die Verwendung für Ihr VPN-Gateway konfiguriert ist.

Suchen und entzippen Sie das von Ihnen generierte VPN-Clientprofilkonfigurationspaket. Für die Zertifikatauthentifizierung und OpenVPN sollten Sie sich den OpenVPN-Ordner ansehen. Wenn die Datei nicht angezeigt wird, überprüfen Sie die folgenden Elemente:

  • Stellen Sie sicher, dass Ihr VPN-Gateway für die Verwendung des OpenVPN-Tunneltyps konfiguriert ist.
  • Wenn Sie die Microsoft Entra-Authentifizierung verwenden, verfügen Sie möglicherweise nicht über einen OpenVPN-Ordner. Lesen Sie stattdessen den Artikel zur Microsoft Entra ID-Konfiguration.

Konfigurieren des Clients

  1. Laden Sie den OpenVPN-Client (mindestens Version 2.4) von der offiziellen OpenVPN-Website herunter, und installieren Sie ihn.

  2. Suchen Sie das Konfigurationspaket für das VPN-Clientprofil, das Sie generiert und auf Ihren Computer heruntergeladen haben. Extrahieren Sie das Paket. Navigieren Sie zum Ordner „OpenVPN“, und öffnen Sie die Konfigurationsdatei vpnconfig.ovpn in Editor.

  3. Suchen Sie als Nächstes nach dem untergeordneten Zertifikat, das Sie erstellt haben. Wenn Sie das Zertifikat nicht haben, finden Sie unter folgenden Links Schritte zum Exportieren des Zertifikats. Sie verwenden die Zertifikatinformationen im nächsten Schritt.

  4. Extrahieren Sie aus dem untergeordneten Zertifikat den privaten Schlüssel und den Base64-Fingerabdruck aus der PFX-Datei. Hierfür gibt es mehrere Möglichkeiten. Die Verwendung von OpenSSL auf Ihrem Computer ist eine Möglichkeit. Die Datei profileinfo.txt enthält den privaten Schlüssel und den Fingerabdruck für die Zertifizierungsstelle sowie das Clientzertifikat. Verwenden Sie unbedingt den Fingerabdruck des Clientzertifikats.

    openssl pkcs12 -in "filename.pfx" -nodes -out "profileinfo.txt"
    
  5. Wechseln Sie zur Datei vpnconfig.ovpn, die Sie in Editor geöffnet haben. Füllen Sie den Abschnitt zwischen <cert> und </cert> aus, sodass Sie die Werte für $CLIENT_CERTIFICATE, $INTERMEDIATE_CERTIFICATE und $ROOT_CERTIFICATE erhalten, wie im folgenden Beispiel gezeigt.

       # P2S client certificate
       # please fill this field with a PEM formatted cert
       <cert>
       $CLIENT_CERTIFICATE
       $INTERMEDIATE_CERTIFICATE (optional)
       $ROOT_CERTIFICATE
       </cert>
    
    • Öffnen Sie profileinfo.txt aus dem vorherigen Schritt in Editor. Sie können die Zertifikate jeweils per Blick auf die Zeile subject= identifizieren. Wenn Ihr untergeordnetes Zertifikat z. B. P2SChildCert heißt, befindet sich das Clientzertifikat hinter dem Attribut subject=CN = P2SChildCert.
    • Kopieren Sie für jedes Zertifikat in der Kette den Text (einschließlich und zwischen) „-----BEGIN CERTIFICATE-----“ und „-----END CERTIFICATE-----“.
    • Schließen Sie den Wert $INTERMEDIATE_CERTIFICATE nur ein, wenn sich ein Zwischenzertifikat in Ihrer profileinfo.txt-Datei befindet.
  6. Öffnen Sie die Datei profileinfo.txt in Editor. Um den privaten Schlüssel zu erhalten, markieren Sie den Text einschließlich und zwischen „-----BEGIN PRIVATE KEY-----“ und „-----END PRIVATE KEY-----“, und kopieren Sie ihn.

  7. Kehren Sie zur Datei „vpnconfig.ovpn“ in Editor zurück, und suchen Sie nach diesem Abschnitt. Fügen Sie den privaten Schlüssel so ein, dass er alles zwischen <key> und </key> ersetzt.

    # P2S client root certificate private key
    # please fill this field with a PEM formatted key
    <key>
    $PRIVATEKEY
    </key>
    
  8. Wenn Sie die 2.6-Version des OpenVPN-Clients verwenden, fügen Sie dem Profil die Option „disable-dco“ hinzu. Diese Option scheint nicht abwärtskompatibel mit früheren Versionen zu sein, daher sollte sie nur der OpenVPN-Clientversion 2.6 hinzugefügt werden.

  9. Ändern Sie keine anderen Felder. Verwenden Sie die ausgefüllte Konfiguration in der Clienteingabe, um eine Verbindung mit dem VPN herzustellen.

  10. Kopieren Sie die Datei „vpnconfig.ovpn“ in den Ordner „C:\Programme\OpenVPN\config“.

  11. Klicken Sie auf der Taskleiste mit rechten Maustaste auf das Symbol „OpenVPN“, und klicken Sie auf Verbinden.

Nächste Schritte

Stellen Sie dann alle zusätzlichen Server- oder Verbindungseinstellungen ein. Weitere Informationen unter Point-to-Site-Konfigurationsschritte.