Konfigurera OpenVPN 2.x-klienten för P2S-certifikatautentiseringsanslutningar – Windows

Artikel
10/17/2024

Om din punkt-till-plats-VPN-gateway (P2S) har konfigurerats för att använda OpenVPN och certifikatautentisering kan du ansluta till ditt virtuella nätverk med hjälp av OpenVPN-klienten. Den här artikeln beskriver hur du konfigurerar OpenVPN-klienten 2.4 och senare och ansluter till ditt virtuella nätverk.

Innan du börjar

Innan du påbörjar klientkonfigurationsstegen kontrollerar du att du har rätt konfigurationsartikel för VPN-klienten. Följande tabell visar de konfigurationsartiklar som är tillgängliga för VPN Gateway punkt-till-plats VPN-klienter. Stegen skiljer sig åt beroende på autentiseringstyp, tunneltyp och klientoperativsystem.

Autentisering	Tunneltyp	Klientens operativsystem	VPN-klient
Certifikat
	IKEv2, SSTP	Windows	Intern VPN-klient
	IKEv2	macOS	Intern VPN-klient
	IKEv2	Linux	strongSwan
	OpenVPN	Windows	Azure VPN-klient OpenVPN-klientversion 2.x OpenVPN-klientversion 3.x
	OpenVPN	macOS	OpenVPN-klient
	OpenVPN	iOS	OpenVPN-klient
	OpenVPN	Linux	Azure VPN-klient OpenVPN-klient
Microsoft Entra ID
	OpenVPN	Windows	Azure VPN-klient
	OpenVPN	macOS	Azure VPN-klient
	OpenVPN	Linux	Azure VPN-klient

Kommentar

OpenVPN-klienten hanteras oberoende av varandra och inte under Microsofts kontroll. Det innebär att Microsoft inte övervakar sina kod-, bygg-, översikts- eller juridiska aspekter. Om kunder stöter på buggar eller problem med OpenVPN-klienten bör de kontakta OpenVPN Inc.-supporten direkt. Riktlinjerna i den här artikeln tillhandahålls som de är och har inte verifierats av OpenVPN Inc. De är avsedda att hjälpa kunder som redan är bekanta med klienten och vill använda den för att ansluta till Azure VPN Gateway i en punkt-till-plats-VPN-konfiguration.

Förutsättningar

Den här artikeln förutsätter att du redan har utfört följande krav:

Du skapade och konfigurerade vpn-gatewayen för punkt-till-plats-certifikatautentisering och OpenVPN-tunneltypen. Se Konfigurera serverinställningar för P2S VPN Gateway-anslutningar – certifikatautentisering för steg.
Du genererade och laddade ned VPN-klientkonfigurationsfilerna. Se Generera konfigurationsfiler för VPN-klientprofil för steg.
Du kan antingen generera klientcertifikat eller hämta lämpliga klientcertifikat som krävs för autentisering.

Anslutningskrav

För att ansluta till Azure med hjälp av OpenVPN-klienten med certifikatautentisering kräver varje anslutande klientdator följande:

Programvaran Open VPN Client måste vara installerad och konfigurerad på varje klientdator.
Klientdatorn måste ha ett klientcertifikat som är installerat lokalt.

Arbetsflöde

Arbetsflödet för den här artikeln är:

Generera och installera klientcertifikat om du inte redan har gjort det.
Visa konfigurationsfilerna för VPN-klientprofilen som finns i konfigurationspaketet för VPN-klientprofilen som du genererade.
Konfigurera OpenVPN-klienten.
Anslut till Azure.

Generera och installera klientcertifikat

För certifikatautentisering måste ett klientcertifikat installeras på varje klientdator. Det klientcertifikat som du vill använda måste exporteras med den privata nyckeln och måste innehålla alla certifikat i certifieringssökvägen. För vissa konfigurationer måste du också installera rotcertifikatinformation.

I många fall kan du installera klientcertifikatet direkt på klientdatorn genom att dubbelklicka. För vissa OpenVPN-klientkonfigurationer kan du dock behöva extrahera information från klientcertifikatet för att slutföra konfigurationen.

Information om hur du arbetar med certifikat finns i Punkt-till-plats: Generera certifikat.
Om du vill visa ett installerat klientcertifikat öppnar du Hantera användarcertifikat. Klientcertifikatet är installerat i Aktuell användare\Personliga\Certifikat.

Installera klientcertifikatet

Varje dator behöver ett klientcertifikat för att kunna autentiseras. Om klientcertifikatet inte redan är installerat på den lokala datorn kan du installera det med hjälp av följande steg:

Leta upp klientcertifikatet. Mer information om klientcertifikat finns i Installera klientcertifikat.
Installera klientcertifikatet. Vanligtvis kan du göra detta genom att dubbelklicka på certifikatfilen och ange ett lösenord (om det behövs).

Visa konfigurationsfiler

Konfigurationspaketet för VPN-klientprofilen innehåller specifika mappar. Filerna i mapparna innehåller de inställningar som krävs för att konfigurera VPN-klientprofilen på klientdatorn. Filerna och inställningarna som de innehåller är specifika för VPN-gatewayen och typen av autentisering och tunnel som vpn-gatewayen är konfigurerad att använda.

Leta upp och packa upp konfigurationspaketet för VPN-klientprofilen som du genererade. För certifikatautentisering och OpenVPN bör du se mappen OpenVPN . Om du inte ser mappen kontrollerar du följande:

Kontrollera att VPN-gatewayen har konfigurerats för att använda tunneltypen OpenVPN.
Om du använder Microsoft Entra-autentisering kanske du inte har någon OpenVPN-mapp. Se konfigurationsartikeln för Microsoft Entra-ID i stället.

Konfigurera klienten

Ladda ned och installera OpenVPN-klienten (version 2.4 eller senare) från den officiella OpenVPN-webbplatsen.
Leta upp konfigurationspaketet för VPN-klientprofilen som du genererade och laddade ned till datorn. Extrahera paketet. Gå till mappen OpenVPN och öppna konfigurationsfilen vpnconfig.ovpn med anteckningar.
Leta sedan upp det underordnade certifikatet som du skapade. Om du inte har certifikatet använder du någon av följande länkar för steg för att exportera certifikatet. Du använder certifikatinformationen i nästa steg.
- VPN Gateway-instruktioner
- Virtual WAN-instruktioner
Extrahera den privata nyckeln och base64-tumavtrycket från .pfx från det underordnade certifikatet. Det finns flera olika sätt att göra detta på. Att använda OpenSSL på datorn är ett sätt. Filen profileinfo.txt innehåller den privata nyckeln och tumavtrycket för certifikatutfärdare och klientcertifikat. Se till att använda tumavtrycket för klientcertifikatet.
```
openssl pkcs12 -in "filename.pfx" -nodes -out "profileinfo.txt"
```
Växla till filen vpnconfig.ovpn som du öppnade i Anteckningar. Fyll i avsnittet mellan <cert> och </cert>, hämta värdena för $CLIENT_CERTIFICATE, $INTERMEDIATE_CERTIFICATEoch $ROOT_CERTIFICATE som du ser i följande exempel.
```
   # P2S client certificate
   # please fill this field with a PEM formatted cert
   <cert>
   $CLIENT_CERTIFICATE
   $INTERMEDIATE_CERTIFICATE (optional)
   $ROOT_CERTIFICATE
   </cert>
```
- Öppna profileinfo.txt från föregående steg i Anteckningar. Du kan identifiera varje certifikat genom att titta på subject= raden. Om ditt underordnade certifikat till exempel kallas P2SChildCert kommer klientcertifikatet att vara efter subject=CN = P2SChildCert attributet.
- För varje certifikat i kedjan kopierar du texten (inklusive och mellan) "-----BEGIN CERTIFICATE-----" och "-----END CERTIFICATE-----".
- Inkludera endast ett $INTERMEDIATE_CERTIFICATE värde om du har ett mellanliggande certifikat i din profileinfo.txt-fil .
Öppna profileinfo.txt i Anteckningar. Om du vill hämta den privata nyckeln väljer du texten (inklusive och mellan) "-----BEGIN PRIVATE KEY-----" och "-----END PRIVATE KEY-----" och kopierar den.
Gå tillbaka till filen vpnconfig.ovpn i Anteckningar och leta reda på det här avsnittet. Klistra in den privata nyckeln som ersätter allt mellan och <key> </key>.
```
# P2S client root certificate private key
# please fill this field with a PEM formatted key
<key>
$PRIVATEKEY
</key>
```
Om du använder 2.6-versionen av OpenVPN-klienten lägger du till alternativet "disable-dco" i profilen. Det här alternativet verkar inte vara bakåtkompatibelt med tidigare versioner, så det bör bara läggas till i OpenVPN-klientversion 2.6.
Ändra inga andra fält. Använd den ifyllda konfigurationen i klientindata för att ansluta till VPN.
Kopiera filen vpnconfig.ovpn till mappen C:\Program Files\OpenVPN\config.
Högerklicka på OpenVPN-ikonen i systemfältet och klicka på Anslut.

Nästa steg

Följ upp med eventuella ytterligare server- eller anslutningsinställningar. Se Konfigurationssteg för punkt-till-plats.

Dela via