Configurar o cliente OpenVPN para conexões de autenticação de certificado P2S – Windows
Se o gateway de VPN P2S (ponto a site) estiver configurado para usar o OpenVPN e a autenticação de certificado, você poderá se conectar à rede virtual usando o Cliente OpenVPN. Este artigo explica as etapas para configurar o cliente OpenVPN e conectar-se à sua rede virtual.
Antes de começar
Antes de iniciar as etapas de configuração do cliente, verifique se você está no artigo de configuração do cliente VPN correto. A tabela a seguir mostra os artigos de configuração disponíveis para clientes VPN ponto a site do Gateway de VPN. As etapas diferem, dependendo do tipo de autenticação, do tipo de túnel e do sistema operacional do cliente.
| Autenticação | Tipo de túnel | Sistema operacional cliente | Cliente VPN |
|---|---|---|---|
| Certificado | |||
| IKEv2, SSTP | Windows | Cliente VPN nativo | |
| IKEv2 | macOS | Cliente VPN nativo | |
| IKEv2 | Linux | strongSwan | |
| OpenVPN | Windows | Cliente VPN do Azure Cliente OpenVPN |
|
| OpenVPN | macOS | Cliente OpenVPN | |
| OpenVPN | iOS | Cliente OpenVPN | |
| OpenVPN | Linux | Cliente VPN do Azure Cliente OpenVPN |
|
| Microsoft Entra ID | |||
| OpenVPN | Windows | Cliente VPN do Azure | |
| OpenVPN | macOS | Cliente VPN do Azure | |
| OpenVPN | Linux | Cliente VPN do Azure |
Pré-requisitos
Este artigo pressupõe que você tenha executado os seguintes pré-requisitos:
- Você criou e configurou seu gateway de VPN para autenticação de certificado ponto a site e um tipo de túnel OpenVPN. Confira Definir as configurações do servidor para conexões de Gateway de VPN P2S - autenticação de certificado para obter as etapas.
- Você gerou e baixou os arquivos de configuração do cliente VPN. Confira Gerar arquivos de configuração de perfil de cliente VPN para ver as etapas.
- Você pode gerar certificados de cliente ou adquirir os certificados de cliente necessários para a autenticação.
Requisitos de conexão
Para se conectar ao Azure usando o cliente OpenVPN usando a autenticação de certificado, cada computador cliente que estiver se conectando exigirá os seguintes itens:
- O software cliente OpenVPN deve ser instalado e configurado em cada computador cliente.
- O computador cliente deve ter um certificado de cliente instalado localmente.
Workflow
O fluxo de trabalho deste artigo é:
- Gerar e instalar certificados de cliente se você ainda não fez isso.
- Exibir os arquivos de configuração do perfil do cliente VPN contidos no pacote de configuração do perfil do cliente VPN gerado.
- Configurar o cliente OpenVPN.
- Conecte-se ao Azure.
Gerar e instalar certificados de cliente
Para autenticação de certificado, um certificado do cliente deve ser instalado em cada computador cliente. O certificado do cliente que você deseja deve ser exportado com a chave privada e deve conter todos os certificados no caminho de certificação. Além disso, para algumas configurações, você também precisa instalar informações de certificado raiz.
Em muitos casos, você pode instalar o certificado do cliente diretamente no computador cliente clicando duas vezes. No entanto, para determinadas configurações de cliente OpenVPN,é aconselhável extrair informações do certificado do cliente para concluir a configuração.
- Para obter informações sobre trabalho com certificados, consulte Ponto a site: gerar certificados.
- Para exibir o certificado do cliente instalado, abra Gerenciar Certificados de Usuário. O certificado do cliente está instalado em Usuário atual\Personal\Certificates.
Instalar um certificado cliente
Cada computador precisa de um certificado de cliente para ser autenticado. Se o certificado de cliente ainda não estiver instalado no computador local, você poderá instalá-lo seguindo essas etapas:
- Localize o certificado do cliente. Para obter mais informações sobre certificados de cliente, veja Instalar certificados de cliente.
- Instale o certificado do cliente. Normalmente, você pode fazer isso clicando duas vezes no arquivo de certificado e fornecendo uma senha (se necessário).
Exibir arquivos de configuração
O pacote de configuração do perfil de cliente VPN contém pastas específicas. Os arquivos nas pastas contêm as configurações necessárias para configurar o perfil do cliente VPN no computador cliente. Os arquivos e as configurações que eles contêm são específicos para o gateway de VPN e o tipo de autenticação e túnel que seu gateway de VPN está configurado para usar.
Localize e descompacte o pacote de configuração de perfil do cliente VPN gerado. Para autenticação de certificado e OpenVPN, você deve ver uma pasta OpenVPN. Se não encontrar a pasta, verifique o seguinte:
- Verifique se o gateway de VPN está configurado para usar o tipo de túnel OpenVPN.
- Se você estiver usando a autenticação do Microsoft Entra, talvez não tenha uma pasta OpenVPN. Em vez disso, consulte o artigo de configuração Microsoft Entra ID.
Configurar o cliente
Observação
O Cliente OpenVPN versão 2.6 ainda não tem suporte.
Baixe e instale o cliente OpenVPN (versão 2.4 ou superior) do site oficial do OpenVPN. A versão 2.6 ainda não tem suporte.
Localize o pacote de configuração do perfil de cliente VPN que você gerou e baixou no computador. Extraia o pacote. Acesse a pasta OpenVPN e abra o arquivo de configuração vpnconfig.ovpn usando o Bloco de notas.
Em seguida, localize o certificado filho que você criou. Se você não tiver o certificado, use um dos links a seguir para obter as etapas para exportar o certificado. Você usará as informações do certificado na próxima etapa.
- Instruções doGateway de VPN
- Instruções de WAN virtual
No certificado filho, extraia a chave privada e a impressão digital base64 do .pfx. Há várias maneiras de realizar isso. Usar OpenSSL no computador é uma maneira. O arquivo profileinfo.txt contém a chave privada e a impressão digital da CA e do certificado do Cliente. Certifique-se de usar a impressão digital do certificado do cliente.
openssl pkcs12 -in "filename.pfx" -nodes -out "profileinfo.txt"Alterne para o arquivo vpnconfig.ovpn que você abriu no Bloco de notas. Preencha a seção entre
<cert>e</cert>, recebendo os valores para , e conforme mostrado$CLIENT_CERTIFICATE,$INTERMEDIATE_CERTIFICATE, e$ROOT_CERTIFICATEabaixo.# P2S client certificate # please fill this field with a PEM formatted cert <cert> $CLIENT_CERTIFICATE $INTERMEDIATE_CERTIFICATE (optional) $ROOT_CERTIFICATE </cert>- Abra profileinfo.txt da etapa anterior no Bloco de notas. Você pode identificar cada certificado observando a linha
subject=. Por exemplo, se o certificado filho for chamado de P2SChildCert, o certificado do cliente será após o atributosubject=CN = P2SChildCert. - Para cada certificado na cadeia, copie o texto (incluindo e entre) "-----BEGIN CERTIFICATE-----" e "-----END CERTIFICATE-----".
- Inclua apenas um
$INTERMEDIATE_CERTIFICATEvalor se você tiver um certificado intermediário no arquivo profileinfo.txt.
- Abra profileinfo.txt da etapa anterior no Bloco de notas. Você pode identificar cada certificado observando a linha
Abra profileinfo.txt no Bloco de Notas. Para obter a chave privada, selecione o texto (incluindo e entre) "-----BEGIN PRIVATE KEY-----" e "-----END PRIVATE KEY-----" e faça uma cópia dele.
Retorne para o arquivo vpnconfig.ovpn no Bloco de Notas e localize esta seção. Cole a chave privada substituindo tudo entre
<key>e</key>.# P2S client root certificate private key # please fill this field with a PEM formatted key <key> $PRIVATEKEY </key>Não altere os outros campos. Use a configuração preenchida da entrada do cliente para se conectar à VPN.
Copie o arquivo vpnconfig.ovpn para a pasta C:\Arquivos de Programas\OpenVPN\config.
Clique com botão direito no ícone OpenVPN na bandeja do sistema e clique em Conectar.
Próximas etapas
Conferir qualquer configuração de conexão ou servidor adicional. Veja Etapas de configuração ponto a site.