Configurar o cliente OpenVPN para conexões de autenticação de certificado P2S – Windows
Se o gateway de VPN P2S (ponto a site) estiver configurado para usar o OpenVPN e a autenticação de certificado, você poderá se conectar à rede virtual usando o Cliente OpenVPN. Este artigo explica as etapas para configurar o cliente OpenVPN e conectar-se à sua rede virtual.
Antes de começar
Este artigo pressupõe que você tenha executado os seguintes pré-requisitos:
- Você criou e configurou seu gateway de VPN para autenticação de certificado ponto a site e um tipo de túnel OpenVPN. Confira Definir as configurações do servidor para conexões de Gateway de VPN P2S - autenticação de certificado para obter as etapas.
- Você gerou certificados de cliente e baixou os arquivos de configuração do cliente VPN. Confira Clientes VPN ponto a site: autenticação de certificado – Windows
Antes de iniciar as etapas de configuração do cliente, verifique se você está no artigo de configuração do cliente VPN correto. A tabela a seguir mostra os artigos de configuração disponíveis para clientes VPN ponto a site do Gateway de VPN. As etapas diferem, dependendo do tipo de autenticação, do tipo de túnel e do sistema operacional do cliente.
| Autenticação | Tipo de túnel | Gerar arquivos de configuração | Configurar o cliente VPN |
|---|---|---|---|
| Certificado do Azure | IKEv2, SSTP | Windows | Cliente VPN nativo |
| Certificado do Azure | OpenVPN | Windows | - Cliente OpenVPN - Cliente VPN do Azure |
| Certificado do Azure | IKEv2, OpenVPN | macOS-iOS | macOS-iOS |
| Certificado do Azure | IKEv2, OpenVPN | Linux | Linux |
| ID do Microsoft Entra | OpenVPN (SSL) | Windows | Windows |
| ID do Microsoft Entra | OpenVPN (SSL) | macOS | macOS |
| RADIUS – certificado | - | Artigo | Artigo |
| RADIUS – senha | - | Artigo | Artigo |
| RADIUS – outros métodos | - | Artigo | Artigo |
Requisitos de conexão
Para se conectar ao Azure, cada computador cliente conectado precisa dos seguintes itens:
- O software cliente OpenVPN deve ser instalado e configurado em cada computador cliente.
- O computador cliente deve ter um certificado de cliente instalado localmente.
Exibir arquivos de configuração
O pacote de configuração do perfil de cliente VPN contém pastas específicas. Os arquivos nas pastas contêm as configurações necessárias para configurar o perfil do cliente VPN no computador cliente. Os arquivos e as configurações que eles contêm são específicos para o gateway de VPN e o tipo de autenticação e túnel que seu gateway de VPN está configurado para usar.
Localize e descompacte o pacote de configuração de perfil do cliente VPN gerado. Para autenticação de certificado e OpenVPN, você deve ver uma pasta OpenVPN. Se não encontrar a pasta, verifique o seguinte:
- Verifique se o gateway de VPN está configurado para usar o tipo de túnel OpenVPN.
- Se você estiver usando a autenticação do Microsoft Entra, talvez não tenha uma pasta OpenVPN. Em vez disso, consulte o artigo de configuração Microsoft Entra ID.
Configurar o cliente
Observação
O Cliente OpenVPN versão 2.6 ainda não tem suporte.
Baixe e instale o cliente OpenVPN (versão 2.4 ou superior) do site oficial do OpenVPN. A versão 2.6 ainda não tem suporte.
Localize o pacote de configuração do perfil de cliente VPN que você gerou e baixou no computador. Extraia o pacote. Acesse a pasta OpenVPN e abra o arquivo de configuração vpnconfig.ovpn usando o Bloco de notas.
Em seguida, localize o certificado filho que você criou. Se você não tiver o certificado, use um dos links a seguir para obter as etapas para exportar o certificado. Você usará as informações do certificado na próxima etapa.
- Instruções doGateway de VPN
- Instruções de WAN virtual
No certificado filho, extraia a chave privada e a impressão digital base64 do .pfx. Há várias maneiras de realizar isso. Usar OpenSSL no computador é uma maneira. O arquivo profileinfo.txt contém a chave privada e a impressão digital da CA e do certificado do Cliente. Certifique-se de usar a impressão digital do certificado do cliente.
openssl pkcs12 -in "filename.pfx" -nodes -out "profileinfo.txt"Alterne para o arquivo vpnconfig.ovpn que você abriu no Bloco de notas. Preencha a seção entre
<cert>e</cert>, recebendo os valores para , e conforme mostrado$CLIENT_CERTIFICATE,$INTERMEDIATE_CERTIFICATE, e$ROOT_CERTIFICATEabaixo.# P2S client certificate # please fill this field with a PEM formatted cert <cert> $CLIENT_CERTIFICATE $INTERMEDIATE_CERTIFICATE (optional) $ROOT_CERTIFICATE </cert>- Abra profileinfo.txt da etapa anterior no Bloco de notas. Você pode identificar cada certificado observando a linha
subject=. Por exemplo, se o certificado filho for chamado de P2SChildCert, o certificado do cliente será após o atributosubject=CN = P2SChildCert. - Para cada certificado na cadeia, copie o texto (incluindo e entre) "-----BEGIN CERTIFICATE-----" e "-----END CERTIFICATE-----".
- Inclua apenas um
$INTERMEDIATE_CERTIFICATEvalor se você tiver um certificado intermediário no arquivo profileinfo.txt.
- Abra profileinfo.txt da etapa anterior no Bloco de notas. Você pode identificar cada certificado observando a linha
Abra profileinfo.txt no Bloco de Notas. Para obter a chave privada, selecione o texto (incluindo e entre) "-----BEGIN PRIVATE KEY-----" e "-----END PRIVATE KEY-----" e faça uma cópia dele.
Retorne para o arquivo vpnconfig.ovpn no Bloco de Notas e localize esta seção. Cole a chave privada substituindo tudo entre
<key>e</key>.# P2S client root certificate private key # please fill this field with a PEM formatted key <key> $PRIVATEKEY </key>Não altere os outros campos. Use a configuração preenchida da entrada do cliente para se conectar à VPN.
Copie o arquivo vpnconfig.ovpn para a pasta C:\Arquivos de Programas\OpenVPN\config.
Clique com botão direito no ícone OpenVPN na bandeja do sistema e clique em Conectar.
Próximas etapas
Etapas de configuração ponto a siteClientes VPN ponto a site: autenticação de certificado – Windows