P2S sertifika kimlik doğrulama bağlantıları için OpenVPN 2.x istemcisini yapılandırma - Windows

Makale
10/17/2024

Noktadan siteye (P2S) VPN ağ geçidiniz OpenVPN ve sertifika kimlik doğrulaması kullanacak şekilde yapılandırılmışsa, OpenVPN İstemcisi'ni kullanarak sanal ağınıza bağlanabilirsiniz. Bu makale, OpenVPN istemcisi 2.4 ve üzerini yapılandırma ve sanal ağınıza bağlanma adımlarında size yol gösterir.

Başlamadan önce

İstemci yapılandırma adımlarına başlamadan önce doğru VPN istemcisi yapılandırma makalesinde olduğunuzu doğrulayın. Aşağıdaki tabloda, VPN Gateway noktadan siteye VPN istemcileri için kullanılabilen yapılandırma makaleleri gösterilmektedir. Adımlar kimlik doğrulama türüne, tünel türüne ve istemci işletim sistemine bağlı olarak farklılık gösterir.

Kimlik Doğrulaması	Tünel türü	İstemci İşletim Sistemi	VPN istemcisi
Sertifika
	IKEv2, SSTP	Windows	Yerel VPN istemcisi
	IKEv2	macOS	Yerel VPN istemcisi
	IKEv2	Linux	strongSwan
	OpenVPN	Windows	Azure VPN istemcisi OpenVPN istemci sürümü 2.x OpenVPN istemci sürümü 3.x
	OpenVPN	macOS	OpenVPN istemcisi
	OpenVPN	iOS	OpenVPN istemcisi
	OpenVPN	Linux	Azure VPN İstemcisi OpenVPN istemcisi
Microsoft Entra Kimlik
	OpenVPN	Windows	Azure VPN istemcisi
	OpenVPN	macOS	Azure VPN İstemcisi
	OpenVPN	Linux	Azure VPN İstemcisi

Not

OpenVPN istemcisi bağımsız olarak yönetilir ve Microsoft'un denetimi altında değildir. Bu, Microsoft'un kodunu, derlemelerini, yol haritasını veya yasal yönlerini denetlemediği anlamına gelir. Müşteriler OpenVPN istemcisiyle ilgili herhangi bir hata veya sorunla karşılaşırsa doğrudan OpenVPN Inc. desteğine başvurmalıdır. Bu makaledeki yönergeler 'olduğu gibi' verilmiştir ve OpenVPN Inc. tarafından doğrulanmamıştır. İstemciyi zaten bilen ve Noktadan Siteye VPN kurulumunda Azure VPN Gateway'e bağlanmak için kullanmak isteyen müşterilere yardımcı olmak için tasarlanmıştır.

Önkoşullar

Bu makalede, aşağıdaki önkoşulları zaten gerçekleştirdiğiniz varsayılır:

VPN ağ geçidinizi noktadan siteye sertifika kimlik doğrulaması ve OpenVPN tünel türü için oluşturup yapılandırmışsınız. Adımlar için bkz . P2S VPN Gateway bağlantıları için sunucu ayarlarını yapılandırma - sertifika kimlik doğrulaması .
VPN istemcisi yapılandırma dosyalarını oluşturup indirdiyseniz. Adımlar için bkz . VPN istemci profili yapılandırma dosyaları oluşturma.
İstemci sertifikaları oluşturabilir veya kimlik doğrulaması için gerekli uygun istemci sertifikalarını alabilirsiniz.

Bağlantı gereksinimleri

Sertifika kimlik doğrulaması kullanarak OpenVPN istemcisini kullanarak Azure'a bağlanmak için, bağlanan her istemci bilgisayar aşağıdaki öğeleri gerektirir:

Açık VPN İstemcisi yazılımı her istemci bilgisayara yüklenip yapılandırılmalıdır.
İstemci bilgisayarda yerel olarak yüklenmiş bir istemci sertifikası olmalıdır.

İş Akışı

Bu makalenin iş akışı:

Henüz yapmadıysanız istemci sertifikaları oluşturun ve yükleyin.
Oluşturduğunuz VPN istemci profili yapılandırma paketinde bulunan VPN istemci profili yapılandırma dosyalarını görüntüleyin.
OpenVPN istemcisini yapılandırın.
Azure'a bağlanın.

İstemci sertifikaları oluşturma ve yükleme

Sertifika kimlik doğrulaması için, her istemci bilgisayara bir istemci sertifikası yüklenmelidir. Kullanmak istediğiniz istemci sertifikası özel anahtarla dışarı aktarılmalı ve sertifika yolundaki tüm sertifikaları içermelidir. Ayrıca, bazı yapılandırmalar için kök sertifika bilgilerini de yüklemeniz gerekir.

Çoğu durumda, çift tıklayarak istemci sertifikasını doğrudan istemci bilgisayara yükleyebilirsiniz. Ancak, bazı OpenVPN istemci yapılandırmaları için yapılandırmayı tamamlamak için istemci sertifikasından bilgi ayıklamanız gerekebilir.

Sertifikalarla çalışma hakkında bilgi için bkz . Noktadan siteye: Sertifika oluşturma.
Yüklü bir istemci sertifikasını görüntülemek için Kullanıcı Sertifikalarını Yönet'i açın. İstemci sertifikası Geçerli Kullanıcı\Kişisel\Sertifikalar'a yüklenir.

İstemci sertifikasını yükleme

Her bilgisayarın kimlik doğrulaması için bir istemci sertifikasına ihtiyacı vardır. İstemci sertifikası yerel bilgisayarda yüklü değilse, aşağıdaki adımları kullanarak yükleyebilirsiniz:

İstemci sertifikasını bulun. İstemci sertifikaları hakkında daha fazla bilgi için bkz . İstemci sertifikalarını yükleme.
İstemci sertifikasını yükleyin. Genellikle, sertifika dosyasına çift tıklayıp bir parola girerek (gerekirse) bunu yapabilirsiniz.

Yapılandırma dosyalarını görüntüleme

VPN istemci profili yapılandırma paketi belirli klasörler içerir. Klasörlerdeki dosyalar, istemci bilgisayarda VPN istemci profilini yapılandırmak için gereken ayarları içerir. Dosyalar ve içerdikleri ayarlar VPN ağ geçidine özgüdür ve VPN ağ geçidinizin kullanmak üzere yapılandırıldığı kimlik doğrulama ve tünel türüne özgüdür.

Oluşturduğunuz VPN istemci profili yapılandırma paketini bulun ve açın. Sertifika kimlik doğrulaması ve OpenVPN için OpenVPN klasörünü görmeniz gerekir. Klasörü görmüyorsanız aşağıdaki öğeleri doğrulayın:

VPN ağ geçidinizin OpenVPN tünel türünü kullanacak şekilde yapılandırıldığını doğrulayın.
Microsoft Entra kimlik doğrulaması kullanıyorsanız OpenVPN klasörünüz olmayabilir. Bunun yerine Microsoft Entra Id yapılandırma makalesine bakın.

İstemciyi yapılandırma

Resmi OpenVPN web sitesinden OpenVPN istemcisini (sürüm 2.4 veya üzeri) indirip yükleyin.
Oluşturduğunuz ve bilgisayarınıza indirdiğiniz VPN istemci profili yapılandırma paketini bulun. Paketi ayıklayın. OpenVPN klasörüne gidin ve Not Defteri'ni kullanarak vpnconfig.ovpn yapılandırma dosyasını açın.
Ardından, oluşturduğunuz alt sertifikayı bulun. Sertifikanız yoksa, sertifikayı dışarı aktarma adımları için aşağıdaki bağlantılardan birini kullanın. Sonraki adımda sertifika bilgilerini kullanacaksınız.
- VPN Gateway yönergeleri
- Sanal WAN yönergeleri
Alt sertifikadan özel anahtarı ve .pfx'ten base64 parmak izini ayıklayın. Bunu yapmanın birden çok yolu vardır. Bilgisayarınızda OpenSSL kullanmak bir yoldur. profileinfo.txt dosyası, CA ve İstemci sertifikası için özel anahtarı ve parmak izini içerir. İstemci sertifikasının parmak izini kullandığınızdan emin olun.
```
openssl pkcs12 -in "filename.pfx" -nodes -out "profileinfo.txt"
```
Not Defteri'nde açtığınız vpnconfig.ovpn dosyasına geçin. ve arasında <cert> </cert>bölümünü doldurun ve aşağıdaki örnekte gösterildiği gibi , $INTERMEDIATE_CERTIFICATEve $ROOT_CERTIFICATE değerlerini $CLIENT_CERTIFICATEalın.
```
   # P2S client certificate
   # please fill this field with a PEM formatted cert
   <cert>
   $CLIENT_CERTIFICATE
   $INTERMEDIATE_CERTIFICATE (optional)
   $ROOT_CERTIFICATE
   </cert>
```
- Önceki adımdaki profileinfo.txt Not Defteri'nde açın. Satıra bakarak her sertifikayı subject= tanımlayabilirsiniz. Örneğin, alt sertifikanıza P2SChildCert adı verilirse, istemci sertifikanız özniteliğinden subject=CN = P2SChildCert sonra olur.
- Zincirdeki her sertifika için "-----BEGIN CERTIFICATE-----" ve "-----END CERTIFICATE-----" metinlerini kopyalayın (dahil ve arasında).
- Yalnızca profileinfo.txt dosyanızda ara sertifikanız varsa bir değer ekleyin$INTERMEDIATE_CERTIFICATE.
profileinfo.txt Not Defteri'nde açın. Özel anahtarı almak için "-----BEGIN PRIVATE KEY-----" ve "-----END PRIVATE KEY-----" metinlerini seçin (ve arasında) seçin ve kopyalayın.
Not Defteri'ndeki vpnconfig.ovpn dosyasına geri dönün ve bu bölümü bulun. ve <key> </key>arasındaki her şeyin yerine özel anahtarı yapıştırın.
```
# P2S client root certificate private key
# please fill this field with a PEM formatted key
<key>
$PRIVATEKEY
</key>
```
OpenVPN istemcisinin 2.6 sürümünü kullanıyorsanız profile "disable-dco" seçeneğini ekleyin. Bu seçenek önceki sürümlerle geriye dönük olarak uyumlu görünmüyor, bu nedenle yalnızca OpenVPN istemci sürümü 2.6'ya eklenmelidir.
Başka hiçbir alanı değiştirmeyin. VPN’e bağlanmak için istemci girişinde doldurulmuş yapılandırmayı kullanın.
vpnconfig.ovpn dosyasını C:\Program Files\OpenVPN\config klasörüne kopyalayın.
Sistem tepsisindeki OpenVPN simgesine sağ tıklayın ve Bağlan'a tıklayın.

Sonraki adımlar

Ek sunucu veya bağlantı ayarlarıyla takip edin. Bkz . Noktadan siteye yapılandırma adımları.

Aracılığıyla paylaş