Configurar clientes VPN ponto a site – autenticação de certificado – macOS e iOS

  • Artigo

Este artigo ajuda você a se conectar à VNet (rede virtual) do Azure usando o Gateway de VPN P2S (ponto a site) e a autenticação de certificado. Há vários conjuntos de etapas neste artigo, dependendo do tipo de túnel selecionado para sua configuração P2S, o sistema operacional e o cliente VPN que é usado para se conectar.

Observe o seguinte ao trabalhar com autenticação de certificado:

  • Para o tipo de túnel IKEv2, você pode se conectar usando o cliente VPN instalado nativamente no sistema macOS.

  • Para o tipo de túnel OpenVPN, você pode usar um cliente OpenVPN.

  • O Cliente VPN do Azure não está disponível para macOS e iOS ao usar a autenticação de certificado, mesmo que você tenha selecionado o tipo de túnel OpenVPN para sua configuração P2S.

Antes de começar

Antes de começar, verifique se você está no artigo correto. A tabela a seguir mostra os artigos de configuração disponíveis para clientes VPN P2S do Gateway de VPN do Azure. As etapas diferem, dependendo do tipo de autenticação, do tipo de túnel e do sistema operacional do cliente.

Autenticação Tipo de túnel Gerar arquivos de configuração Configurar o cliente VPN
Certificado do Azure IKEv2, SSTP Windows Cliente VPN nativo
Certificado do Azure OpenVPN Windows - Cliente OpenVPN
- Cliente VPN do Azure
Certificado do Azure IKEv2, OpenVPN macOS-iOS macOS-iOS
Certificado do Azure IKEv2, OpenVPN Linux Linux
ID do Microsoft Entra OpenVPN (SSL) Windows Windows
ID do Microsoft Entra OpenVPN (SSL) macOS macOS
RADIUS – certificado - Artigo Artigo
RADIUS – senha - Artigo Artigo
RADIUS – outros métodos - Artigo Artigo

Importante

Começando em 1 de julho de 2018, o suporte está sendo removido para TLS 1.0 e 1.1 do Gateway de VPN do Azure. O Gateway de VPN oferecerá suporte somente ao protocolo TLS 1.2. Somente conexões ponto a site são afetadas; conexões site a site não serão afetadas. Se você estiver usando TLS para VPNs ponto a site em clientes Windows 10 ou posterior, não precisará fazer nada. Se você estiver usando TLS para conexões ponto a site em clientes Windows 7 e Windows 8, consulte as Perguntas frequentes sobre o Gateway de VPN para obter instruções de atualização.

Gerar certificados

Para autenticação de certificado, um certificado do cliente deve ser instalado em cada computador cliente. O certificado do cliente que você deseja deve ser exportado com a chave privada e deve conter todos os certificados no caminho de certificação. Além disso, para algumas configurações, você também precisa instalar informações de certificado raiz.

Para obter informações sobre como trabalhar com certificados, consulte Ponto a site: gerar certificados – Linux.

Gerar os arquivos de configuração de cliente VPN

Todas as definições de configuração necessárias para os clientes VPN estão contidas em um arquivo zip de configuração de perfil de cliente VPN. É possível gerar arquivos de configuração de perfil de cliente usando o PowerShell ou usando o portal do Azure. O método retorna o mesmo arquivo zip.

Os arquivos de configuração do perfil do cliente VPN gerados são específicos para a configuração do gateway de VPN P2S para a rede virtual. Se houver alterações na configuração de VPN P2S depois de gerar os arquivos, como alterações no tipo de protocolo VPN ou no tipo de autenticação, você precisará gerar novos arquivos de configuração de perfil de cliente VPN, e aplicar a nova configuração a todos os clientes VPN que você deseja conectar. Para obter mais informações sobre conexões P2S, confira Sobre a VPN ponto a site.

Para gerar arquivos usando o portal do Azure:

  1. No portal do Azure, acesse o gateway da rede virtual à qual você deseja conectar.

  2. Na página do gateway de rede virtual, selecione Configuração ponto a site para abrir a página Configuração ponto a site.

  3. Na parte superior da página da configuração ponto a site, selecione Baixar cliente VPN. Isso não baixa o software cliente VPN, ele gera o pacote de configuração usado para configurar clientes VPN. Levará alguns minutos para o pacote de configuração do cliente ser gerado. Durante esse período, você poderá não ver nenhuma indicação até que o pacote seja gerado.

    Captura de tela da página da configuração ponto a site.

  4. Depois que o pacote de configuração for gerado, seu navegador indicará que um arquivo zip de configuração do cliente está disponível. Ele terá o mesmo nome do seu gateway.

  5. Descompacte o arquivo para exibir as pastas. Você usará alguns ou todos esses arquivos para configurar seu cliente VPN. Os arquivos gerados correspondem às configurações de autenticação e tipo de túnel configuradas no servidor P2S.

Próximo, configurar o cliente VPN. Selecione as seguintes instruções:

IKEv2: cliente VPN nativo – etapas macOS

As seções a seguir ajudam você a configurar o cliente VPN nativo que já está instalado como parte do macOS. Esse tipo de conexão funciona somente no IKEv2.

Exibir arquivos

Descompacte o arquivo para exibir as pastas. Ao configurar os clientes nativos do macOS, use os arquivos na pasta Genérico. A pasta Genérico existirá, se o IKEv2 tiver sido configurado no gateway. Você pode encontrar todas as informações necessárias para configurar o cliente VPN nativo na pasta Genérico. Se você não vir a pasta Genérica, verifique os itens a seguir e gere o arquivo zip novamente.

  • Verifique o tipo de túnel para sua configuração. É provável que IKEv2 não tenha sido selecionado como um tipo de túnel.
  • No gateway de VPN, verifique se a SKU não é Básica. Observe que o SKU Básico do Gateway de VPN não dá suporte a IKEv2. Em seguida, selecione IKEv2 e gere o arquivo zip novamente para recuperar a pasta Genérico.

A pasta Genérico contém os seguintes arquivos.

  • VpnSettings.xml, que contém configurações importantes, como o tipo de túnel e o endereço do servidor.
  • VpnServerRoot.cer, que contém o certificado raiz necessário para validar o gateway de VPN do Azure durante a instalação de conexão P2S.

Use as seguintes etapas para configurar o cliente VPN nativo do Mac para autenticação de certificado. Essas etapas devem ser concluídas em todos os Mac que você deseja conectar ao Azure.

Instalar certificados

Certificado raiz

  1. Copie para o arquivo de certificado raiz – VpnServerRoot.cer – ao seu Mac. Clique duas vezes no certificado. Dependendo do sistema operacional, o certificado será instalado automaticamente ou a página Adicionar Certificados será exibida.
  2. Se a página Adicionar Certificados for exibida, em Conjunto de Chaves: clique nas setas e selecione o logon na lista suspensa.
  3. Clique em Adicionar para importar o arquivo.

Certificado do cliente

O certificado do cliente é usado para autenticação e é necessário. Normalmente, basta clicar no certificado do cliente para instalar. Para obter mais informações sobre como instalar um certificado do cliente, confira Instalar um certificado do cliente.

Verificar a instalação do certificado

Verifique se o cliente e o certificado raiz estão instalados.

  1. Abra Acesso ao Conjunto de Chaves.
  2. Acesse a guia Certificados.
  3. Verifique se o cliente e o certificado raiz estão instalados.

Configurar o perfil de cliente VPN

  1. Acesse Preferências do Sistema -> Rede. Na página Rede, clique em '+' para criar um novo perfil de conexão do cliente VPN para uma conexão P2S com a rede virtual do Azure.

    A captura de tela mostra a janela Rede, para clicar em +.

  2. Na página Selecionar a interface, clique nas setas ao lado de Interface:. Na lista suspensa, clique em VPN.

    Captura de tela que mostra a janela de rede com a opção de selecionar uma interface, o VPN está selecionado.

  3. Em Tipo de VPN, na lista suspensa, clique em IKEv2. No campo Nome do Serviço, especifique um nome amigável para o perfil e clique em Criar.

    A captura de tela mostra a janela Rede, com a opção de selecionar uma interface, selecionar o tipo de VPN e inserir o nome do serviço.

  4. Acesse o perfil de cliente VPN que você baixou. Na pasta Genérico, abra o arquivo VpnSettings.xml usando um editor de texto. No exemplo, você pode ver informações sobre o tipo de túnel e o endereço do servidor. Embora haja dois tipos de VPN listados, esse cliente VPN se conectará pelo IKEv2. Copie o valor da marca VpnServer.

    A captura de tela mostra o arquivo VpnSettings.xml aberto com a marca VpnServer realçada.

  5. Cole o valor da marcação VpnServer nos campos Endereço do servidor e ID remoto do perfil. Deixe a ID Local em branco. Em seguida, clique em Configurações da Autenticação....

    A captura de tela mostra as informações do servidor coladas nos campos.

Defina as configurações de autenticação

Defina as configurações de autenticação. Há dois conjuntos de instruções. Escolha as instruções que correspondem à versão do sistema operacional.

Big Sur e posterior

  1. Na página Configurações de Autenticação, no campo Configurações de Autenticação, clique nas setas para selecionar Certificado.

    A captura de tela mostra as configurações de autenticação com certificado selecionado.

  2. Clique em Selecionar para abrir a página Escolher uma Identidade.

    Captura de tela da opção de clicar em Selecionar.

  3. A página Escolha uma identidade exibe uma lista de certificados de sua escolha. Se você não tiver certeza de qual certificado usar, selecioneMostrar Certificado para ver mais informações sobre cada certificado. Clique no certificado adequado e depois em Continuar.

    A captura de tela mostra as propriedades do certificado.

  4. Na página Configurações de Autenticação verifique se o certificado correto é mostrado e clique em OK.

    Captura de tela que mostra a caixa de diálogo Escolher uma Identidade, na qual você pode selecionar o certificado apropriado.

Catalina

Se você estiver usando o Catalina, use estas etapas de configurações de autenticação:

  1. Em Configurações de Autenticação, escolha Nenhuma.

  2. Clique em Certificado e depois em Selecionar e escolha o certificado do cliente correto instalado anteriormente. Depois, clique em OK.

Especificar certificado

  1. No campo ID local, especifique o nome do certificado. Neste exemplo, é P2SChildCertMac.

    A captura de tela mostra o valor da ID local.

  2. Clique em Aplicar, para salvar todas as alterações.

Connect

  1. Clique em Conectar, para iniciar a conexão P2S com a rede virtual do Azure. Pode ser necessário inserir a senha do conjunto de chaves de "logon".

    Captura de tela mostra o botão Conectar.

  2. Depois que a conexão tiver sido estabelecida, o status será exibido como Conectado e você poderá exibir o endereço IP que foi extraído do pool de endereços do cliente VPN.

    Captura de tela mostra Conectado.

OpenVPN: etapas macOS

O seguinte exemplo usa TunnelBlick.

Importante

Apenas o MacOS 10.13 e superior é compatível com o protocolo OpenVPN.

Observação

O Cliente OpenVPN versão 2.6 ainda não tem suporte.

  1. Baixe e instale um cliente OpenVPN, como TunnelBlick.

  2. Baixe o pacote de perfil do cliente VPN no portal do Azure, se você ainda não o fez.

  3. Descompacte o perfil. Abra o arquivo de configuração vpnconfig.ovpn na pasta OpenVPN em um editor de texto.

  4. Preencha a seção de certificado de cliente P2S com a chave pública do certificado de cliente P2S em base64. Em um certificado formatado em PEM, abra o arquivo .cer e copie a chave base64 entre os cabeçalhos de certificado.

  5. Preencha a seção de chave privada com a chave privada do certificado de cliente P2S em base64. Consulte Exportar sua chave privada para obter mais informações sobre como extrair uma chave privada.

  6. Não altere os outros campos. Use a configuração preenchida da entrada do cliente para se conectar à VPN.

  7. Clique duas vezes no arquivo de perfil para criar o perfil no Tunnelblick.

  8. Inicie o Tunnelblick na pasta de aplicativos.

  9. Clique no ícone do Tunnelblick na bandeja do sistema e escolha conectar.

OpenVPN: etapas iOS

O exemplo a seguir usa OpenVPN Connect na App Store.

Importante

Apenas o iOS 11.0 e superior é compatível com o protocolo OpenVPN.

Observação

O Cliente OpenVPN versão 2.6 ainda não tem suporte.

  1. Instale o cliente OpenVPN (versão 2.4 ou superior) na App store. A versão 2.6 ainda não tem suporte.

  2. Baixe o pacote de perfil do cliente VPN no portal do Azure, se você ainda não o fez.

  3. Descompacte o perfil. Abra o arquivo de configuração vpnconfig.ovpn na pasta OpenVPN em um editor de texto.

  4. Preencha a seção de certificado de cliente P2S com a chave pública do certificado de cliente P2S em base64. Em um certificado formatado em PEM, abra o arquivo .cer e copie a chave base64 entre os cabeçalhos de certificado.

  5. Preencha a seção de chave privada com a chave privada do certificado de cliente P2S em base64. Consulte Exportar sua chave privada para obter mais informações sobre como extrair uma chave privada.

  6. Não altere os outros campos.

  7. Envie por email o arquivo de perfil (. ovpn) para sua conta de email configurada no aplicativo de email em seu iPhone.

  8. Abra o email no aplicativo de email do iPhone e toque no arquivo anexado.

    Captura de tela que mostra a mensagem pronta para ser enviada.

  9. Toque em Mais se você não vir a opção Copiar para o OpenVPN.

    Captura de tela que mostra como tocar mais.

  10. Toque em Copiar para o OpenVPN.

    Captura de tela que mostra a cópia para o OpenVPN.

  11. Toque em Adicionar na página Importar perfil

    Captura de tela que mostra o perfil de importação.

  12. Toque em Adicionar na página Perfil importado

    Captura de tela que mostra o perfil importado.

  13. Inicie o aplicativo OpenVPN e deslize a opção na página Perfil diretamente para conectar

    Captura de tela que mostra o controle deslizante para conectar.

Próximas etapas

Para etapas adicionais, retorne ao artigo ponto a site original no qual você estava trabalhando.