Configuración de clientes VPN de punto a sitio: autenticación de certificados (macOS y iOS)

  • Artículo

Este artículo le ayuda a conectarse a la red virtual (VNet) de Azure mediante VPN Gateway de punto a sitio (P2S) y la autenticación de certificados. Hay varios conjuntos de pasos en este artículo, en función del tipo de túnel seleccionado para la configuración de P2S, el sistema operativo y el cliente VPN que se usa para conectarse.

Tenga en cuenta lo siguiente cuando trabaje con autenticación de certificados:

  • Para el tipo de túnel IKEv2, puede conectarse mediante el cliente VPN que se instala de forma nativa en el sistema macOS.

  • Para el tipo de túnel OpenVPN, puede usar un cliente OpenVPN.

  • El cliente VPN de Azure no está disponible para macOS e iOS al usar la autenticación de certificados, incluso si seleccionó el tipo de túnel OpenVPN para la configuración de P2S.

Antes de empezar

Antes de empezar, compruebe que está en el artículo correcto. En la tabla siguiente se muestran los artículos de configuración disponibles para los clientes VPN de punto a sitio de Azure VPN Gateway. Los pasos difieren en función del tipo de autenticación, el tipo de túnel y el sistema operativo del cliente.

Authentication Tipo de túnel Generación de archivos de configuración Configuración de cliente VPN
Certificado de Azure IKEv2, SSTP Windows Cliente VPN nativo
Certificado de Azure OpenVPN Windows - Cliente OpenVPN
- Cliente VPN de Azure
Certificado de Azure IKEv2, OpenVPN macOS-iOS macOS-iOS
Certificado de Azure IKEv2, OpenVPN Linux Linux
Microsoft Entra ID OpenVPN (SSL) Windows Windows
Microsoft Entra ID OpenVPN (SSL) macOS macOS
RADIUS: certificado - Artículo Artículo
RADIUS: contraseña - Artículo Artículo
RADIUS: otros métodos - Artículo Artículo

Importante

A partir del 1 de julio de 2018, se elimina la compatibilidad con TLS 1.0 y 1.1 de Azure VPN Gateway. VPN Gateway será solo compatible con TLS 1.2. Esto solo afecta a las conexiones de punto a sitio; las conexiones de sitio a sitio no se verán afectadas. Si usa TLS para las VPN de punto a sitio en clientes de Windows 10 o versiones posteriores, no necesita hacer nada. Si usa TLS para las conexiones de punto a sitio en clientes con Windows 7 y Windows 8, consulte Preguntas más frecuentes sobre VPN Gateway para conocer las instrucciones de actualización.

Generación de certificados

Para la autenticación de certificados, se debe instalar un certificado de cliente en cada equipo cliente. El certificado de cliente que quiere usar debe exportarse con la clave privada y contener todos los certificados de la ruta de acceso de certificación. Además, para algunas configuraciones, también tendrá que instalar la información del certificado raíz.

Para obtener información sobre el uso de certificados, vea Conexión de punto a sitio: generación de certificados (Linux).

Generación de archivos de configuración de cliente VPN

Todas las opciones de configuración necesarias para los clientes VPN se incluyen en un archivo ZIP de configuración de perfil del cliente VPN. Para generar archivos de configuración del perfil del cliente, puede usar PowerShell o Azure Portal. Cualquiera de los métodos devuelve el mismo archivo ZIP.

Los archivos de configuración de perfil del cliente VPN que genera son específicos de la configuración de puerta de enlace VPN de punto a sitio para la red virtual. Si se produce algún cambio en la configuración de VPN de punto a sitio después de generar los archivos (por ejemplo, cambios en el tipo de protocolo VPN o en el tipo de autenticación), debe generar archivos de configuración de perfil de cliente VPN nuevos y aplicar la nueva configuración a todos los clientes VPN que quiera conectar. Para obtener más información sobre las conexiones de punto a sitio, consulte Acerca de las conexiones VPN de punto a sitio.

Para generar archivos mediante Azure Portal:

  1. En Azure Portal, vaya a la puerta de enlace de red virtual correspondiente a la red virtual a la que quiere conectarse.

  2. En la página de la puerta de enlace de red virtual, seleccione Configuración de punto a sitio para abrir la página de configuración correspondiente.

  3. En la parte superior de la página Configuración de punto a sitio, haga clic en Descargar cliente VPN. Esta operación no descarga el software de cliente VPN, sino que genera el paquete de configuración que se usa para configurar los clientes VPN. La generación del paquete de configuración del cliente tarda unos minutos. Durante este tiempo, es posible que no vea ninguna indicación hasta que el paquete se genere.

    Captura de pantalla de la página de configuración de punto a sitio.

  4. Una vez generado el paquete de configuración, el explorador indica que hay disponible un archivo ZIP de configuración de cliente. Tiene el mismo nombre que su puerta de enlace.

  5. Descomprima el archivo para ver las carpetas. Usará algunos de estos archivos, o todos, para configurar el cliente VPN. Los archivos que se generan corresponden a las opciones de autenticación y tipo de túnel que configuró en el servidor P2S.

A continuación, configure el cliente VPN. Seleccione entre las instrucciones siguientes:

IKEv2: cliente VPN nativo: pasos para macOS

Las secciones siguientes le ayudarán a configurar el cliente VPN nativo que ya está instalado como parte de macOS. Este tipo de conexión solo funciona a través de IKEv2.

Ver archivos

Descomprima el archivo para ver las carpetas. Al configurar clientes nativos de macOS, se usan los archivos de la carpeta Generic . La carpeta Generic aparece si se ha configurado la opción IKEv2 en la puerta de enlace. Puede encontrar toda la información que necesita para configurar el cliente VPN nativo en la carpeta Generic. Si no aparece la carpeta Generic, compruebe los elementos siguientes y vuelva a generar el archivo ZIP.

  • Compruebe el tipo de túnel para la configuración. Es probable que IKEv2 no se haya seleccionado como tipo de túnel.
  • En la puerta de enlace de VPN, compruebe que la SKU no sea Básica. La SKU básica de VPN Gateway no admite IKEv2. Luego, seleccione IKEv2 y vuelva a generar el archivo ZIP para recuperar la carpeta Genérico.

La carpeta Generic contiene los archivos siguientes.

  • VpnSettings.xml, con configuración importante, como el tipo de túnel y la dirección del servidor.
  • VpnServerRoot.cer, que contiene el certificado raíz necesario para validar la puerta de enlace de VPN de Azure durante la configuración de la conexión de punto a sitio.

Siga los pasos siguientes para configurar el cliente de VPN nativo en equipos Mac para realizar una autenticación mediante certificado. Estos pasos deben completarse en todos los equipos Mac que quiera conectar a Azure.

Instalación de certificados

Certificado raíz

  1. Copie el archivo de certificado raíz VpnServerRoot.cer en su Mac. Haga doble clic en el certificado. En función de su sistema operativo, el certificado se instalará automáticamente o verá la página Agregar certificados.
  2. Si ve la página Agregar certificados, en Llaveros: haga clic en las flechas y seleccione login en la lista desplegable.
  3. Haga clic en Agregar para importar el archivo.

Certificado de cliente

Se necesita y se usa un certificado de cliente para la autenticación. Normalmente, puede hacer clic en el certificado de cliente que desea instalar. Para información acerca de cómo instalar un certificado de cliente, consulte Instalación de certificados de cliente.

Comprobación de la instalación del certificado

Compruebe que tanto el cliente como el certificado raíz están instalados.

  1. Abra Acceso a Llaveros.
  2. Vaya a la pestaña Certificados.
  3. Compruebe que tanto el cliente como el certificado raíz están instalados.

Configuración del perfil del cliente VPN

  1. Vaya a Preferencias del sistema -> Red. En la página Red, haga clic en '+' para crear un nuevo perfil de conexión de cliente VPN para una conexión de punto a sitio a la red virtual de Azure.

    Captura de pantalla que muestra la ventana Red en la que se debe hacer clic en +.

  2. En la página Seleccionar la interfaz, haga clic en las flechas situadas junto a Interfaz:. En la lista desplegable, haga clic en VPN.

    Captura de pantalla que muestra la ventana Red con la opción de seleccionar una interfaz y VPN seleccionada.

  3. Para Tipo de VPN, en el menú desplegable, haga clic en IKEv2. En Nombre de servicio, especifique un nombre descriptivo para el perfil y haga clic en Crear.

    Captura de pantalla que muestra la ventana Red con la opción para seleccionar una interfaz, seleccionar un tipo de VPN y escribir un nombre de servicio.

  4. Vaya al perfil de cliente VPN que descargó. En la carpeta Generic, abra el archivo VpnSettings.xml mediante un editor de texto. En el ejemplo, puede ver información sobre el tipo de túnel y la dirección del servidor. Aunque se enumeran dos tipos de VPN, este cliente VPN se conectará a través de IKEv2. Copie el valor de la etiqueta VpnServer.

    Captura de pantalla que muestra el archivo VpnSettings.xml abierto con la etiqueta VpnServer resaltada.

  5. Pegue el valor de la etiqueta VpnServer en los campos Dirección de servidor e Id. remoto del perfil. Deje el campo Id. local vacío. A continuación, haga clic en Configuración de autenticación...

    Captura de pantalla que muestra información del servidor pegada en los campos.

Configuración de los valores de autenticación

Configure los valores de autenticación. Hay dos conjuntos de instrucciones. Elija las instrucciones correspondientes a la versión del sistema operativo.

Big Sur y versiones posteriores

  1. En la página Configuración de autenticación, en el campo Configuración de autenticación, haga clic en las flechas para seleccionar Certificado.

    Captura de pantalla que muestra la configuración de autenticación con el certificado seleccionado.

  2. Haga clic en Seleccionar para abrir la página Choose An Identity (Elegir una identidad).

    Captura de pantalla del clic en Seleccionar.

  3. En la página Choose An Identity (Elegir una identidad) se muestra una lista de certificados para elegir. Si no está seguro de qué certificado usar, puede seleccionar Mostrar certificado para ver más información sobre cada certificado. Haga clic en el certificado adecuado y haga clic en Continuar.

    Captura de pantalla que muestra las propiedades del certificado.

  4. En la página Configuración de autenticación, compruebe que se muestra el certificado correcto y, a continuación, haga clic en Aceptar.

    Captura de pantalla que muestra el cuadro de diálogo Choose An Identity (Elegir una identidad), donde puede seleccionar el certificado adecuado.

Catalina

Si usa Catalina, siga estos pasos de configuración de autenticación:

  1. En Configuración de autenticación, seleccione Ninguna.

  2. Haga clic en Certificado, haga clic en Seleccionar y haga clic en el certificado de cliente correcto que instaló anteriormente. A continuación, haga clic en Aceptar.

Especificar certificado

  1. En el campo Id. local, especifique el nombre del certificado. En este ejemplo, es P2SChildCertMac.

    Captura de pantalla que muestra el valor de id. local.

  2. Haga clic en Aplicar para guardar los cambios.

Conectar

  1. Haga clic en Conectar para iniciar la conexión de punto a sitio a la red virtual de Azure. Puede que necesite introducir su contraseña del llavero para 'login'.

    Captura de pantalla que muestra el botón Conectar.

  2. Una vez establecida la conexión, el estado se muestra como Conectado y puede ver la dirección IP que se extrajo del grupo de direcciones del cliente VPN.

    Captura de pantalla que muestra Conectado.

OpenVPN: pasos para macOS

En el ejemplo siguiente se usa TunnelBlick.

Importante

Solo MacOS 10.13 y las versiones posteriores son compatibles con el protocolo OpenVPN.

Nota

La versión 2.6 del cliente OpenVPN aún no se admite.

  1. Descargue e instale un cliente OpenVPN, como TunnelBlick.

  2. Si aún no lo ha hecho, descargue el paquete de perfil de cliente VPN de Azure Portal.

  3. Descomprima el perfil. Abra el archivo de configuración vpnconfig.ovpn desde la carpeta OpenVPN en un editor de texto.

  4. Rellene la sección de certificado cliente de P2S con la clave pública del certificado cliente de P2S en Base64. En los certificados con formato PEM, puede abrir el archivo .cer y copiar la clave de base64 entre los encabezados de certificados.

  5. Rellene la sección de la clave privada con la clave privada del certificado cliente de P2S en Base64. Consulte Exportación de la clave privada en el sitio de OpenVPN para obtener información sobre cómo extraer una clave privada.

  6. No cambie los demás campos. Use los datos de la configuración de entrada del cliente para conectarse a la VPN.

  7. Haga doble clic en el archivo de perfil para crear el perfil en Tunnelblick.

  8. Inicie Tunnelblick desde la carpeta de aplicaciones.

  9. Haga clic en el icono de Tunneblick en la bandeja del sistema y seleccione Conectar.

OpenVPN: pasos para iOS

En el ejemplo siguiente se usa OpenVPN Connect desde App Store.

Importante

Solo iOS 11.0 y las versiones posteriores son compatibles con el protocolo OpenVPN.

Nota:

La versión 2.6 del cliente OpenVPN aún no se admite.

  1. Instale el cliente de OpenVPN (versión 2,4 o posterior) desde App Store. La versión 2.6 aún no se admite.

  2. Si aún no lo ha hecho, descargue el paquete de perfil de cliente VPN de Azure Portal.

  3. Descomprima el perfil. Abra el archivo de configuración vpnconfig.ovpn desde la carpeta OpenVPN en un editor de texto.

  4. Rellene la sección de certificado cliente de P2S con la clave pública del certificado cliente de P2S en Base64. En los certificados con formato PEM, puede abrir el archivo .cer y copiar la clave de base64 entre los encabezados de certificados.

  5. Rellene la sección de la clave privada con la clave privada del certificado cliente de P2S en Base64. Consulte Exportación de la clave privada en el sitio de OpenVPN para obtener información sobre cómo extraer una clave privada.

  6. No cambie los demás campos.

  7. Envíe por correo electrónico el archivo de perfil (.ovpn) a su cuenta de correo electrónico configurada en la aplicación de correo en su iPhone.

  8. Abra el correo electrónico en la aplicación de correo del iPhone y pulse en el archivo adjunto.

    La captura de pantalla muestra un mensaje listo para ser enviado.

  9. Pulse More (Más) si no ve la opción Copy to OpenVPN (Copiar a OpenVPN).

    Captura de pantalla que muestra que hay que tocar Más.

  10. Pulse Copy to OpenVPN (Copiar a OpenVPN).

    Captura de pantalla que muestra Copiar en OpenVPN.

  11. Pulse en ADD en la página Import Profile (Importar perfil).

    Captura de pantalla que muestra Importar perfil.

  12. Pulse en ADD en la página Imported Profile (Perfil importado).

    Captura de pantalla que muestra Perfil importado.

  13. Inicie la aplicación OpenVPN y deslice el conmutador de la página Profiles (Perfiles) a la derecha para conectar.

    Captura de pantalla que muestra Deslizar para conectar.

Pasos siguientes

Para conocer los pasos adicionales, vuelva al artículo original de punto a sitio desde el que estaba trabajando.