Configurar as definições do servidor para a autenticação do certificado do Gateway de VPN P2S

Este artigo ajuda você a definir as configurações necessárias do servidor ponto a site (P2S) do Gateway de VPN para permitir que você conecte com segurança clientes individuais que executam Windows, Linux ou macOS a uma VNet (rede virtual) do Azure. As conexões de VPN Ponto a Site (P2S) são úteis quando queremos nos conectar com a rede virtual em um local remoto, como quando fazemos telecomutação de casa ou de uma conferência. Você também pode usar o P2S em vez de uma VPN site a site (S2S), quando você tem apenas alguns poucos clientes que precisam se conectar a uma rede virtual.

As conexões P2S não exigem um dispositivo VPN ou um endereço IP voltado para o público. Há várias opções de configuração diferentes disponíveis para o P2S. Para obter mais informações sobre conexões VPN ponto a site, confira Sobre a VPN ponto a site.

As etapas neste artigo usam o portal do Azure para configurar seu gateway de VPN do Azure para autenticação de certificado ponto a site.

As conexões de autenticação de certificado do Azure P2S usam os seguintes itens:

• Um gateway de VPN baseado em rota (não baseado em política). Para saber mais informações sobre o tipo de VPN, confira Configurações de Gateway de VPN.
• A chave pública (arquivo .cer) para um certificado raiz, que é carregado no Azure. Depois que o certificado é carregado, ele é considerado um certificado confiável e é usado para autenticação.
• Um certificado do cliente que é gerado a partir do certificado raiz. O certificado do cliente instalado em cada computador cliente que se conectará à VNet. Esse certificado é usado para autenticação do cliente.
• Arquivos de configuração do cliente VPN. O cliente VPN é configurado com os arquivos de configuração do cliente VPN. Esses arquivos contêm as informações necessárias para o cliente se conectar à VNet. Cada cliente que se conecta deve ser configurado usando as configurações nos arquivos de configuração.

Pré-requisitos

Este artigo pressupõe os seguintes pré-requisitos:

• Uma rede virtual do Azure.
• Um gateway de VPN baseado em rota compatível com a configuração P2S que você deseja criar e os clientes VPN que se conectam. Para ajudar a determinar a configuração P2S de que você precisa, consulte a tabela do cliente de VPN. Se o gateway usar o SKU Básico, entenda que o SKU Básico tem limitações P2S e não dá suporte à autenticação IKEv2 ou RADIUS. Para obter mais informações, consulte Sobre SKUs de gateway.

Se você ainda não tiver um gateway de VPN funcional compatível com a configuração P2S que deseja criar, consulte Criar e gerenciar um gateway de VPN. Crie um gateway de VPN compatível e retorne a este artigo para definir as configurações de P2S.

Gerar certificados

Certificados são usados pelo Azure para autenticar clientes que se conectam a uma VNet por meio de conexão VPN Ponto a Site. Depois de obter um certificado raiz, você poderá carregar as informações de chave pública para o Azure. O certificado raiz é considerado 'confiável' pelo Azure para conexão sobre P2S com a rede virtual.

Você também gera certificados do cliente a partir do certificado raiz confiável e os instala em cada computador cliente. O certificado do cliente é usado para autenticar o cliente quando ele inicia uma conexão com a rede virtual.

O certificado raiz deve ser gerado e extraído antes de definir as configurações do gateway ponto a site.

Gerar um certificado raiz

Obtenha o arquivo .cer do certificado raiz. Você pode usar um certificado raiz que foi gerado com uma solução corporativa (recomendado) ou gerar um certificado autoassinado. Depois de criar o certificado raiz, exporte os dados de certificado público (não a chave privada) como o arquivo .cer X.509 codificado em Base64. Você carrega esse arquivo mais tarde no Azure.

• Certificado corporativo: Se você estiver usando uma solução empresarial, poderá usar a cadeia de certificados existente. Adquira o arquivo .cer do certificado raiz que você deseja usar.

• Certificado raiz autoassinado: Se você não estiver usando uma solução de certificado empresarial, precisará criar um certificado raiz autoassinado. Caso contrário, os certificados que você criar não serão compatíveis com suas conexões P2S e os clientes receberão um erro de conexão ao tentarem se conectar. Você pode usar o Azure PowerShell, MakeCert ou OpenSSL. As etapas nos artigos a seguir descrevem como gerar um certificado raiz autoassinado compatível:

  • Instruções do PowerShell para Windows 10 ou posterior: essas instruções exigem o PowerShell em um computador com Windows 10 ou posterior. Os certificados de cliente gerados a partir do certificado raiz podem ser instalados em qualquer cliente de P2S com suporte.
  • Instruções do MakeCert: utilize o MakeCert para gerar certificados se não tiver acesso a um computador com Windows 10 ou posterior. Embora o MakeCert tenha sido preterido, você ainda pode usá-lo para gerar certificados. Os certificados de cliente gerados usando o certificado raiz podem ser instalados em qualquer cliente de P2S com suporte.
  • Linux - Instruções OpenSSL
  • Linux - Instruções strongSwan

Gerar certificados de cliente

Cada computador cliente que você conectar a uma VNet com uma conexão ponto a site deve ter um certificado do cliente instalado. Você pode gerá-lo do certificado raiz e instalá-lo em cada computador cliente. Se você não instalar um certificado de cliente válido, a autenticação falhará quando o cliente tenta se conectar à VNet.

Você pode gerar um certificado exclusivo para cada cliente ou pode usar o mesmo certificado para vários clientes. A vantagem da geração de certificados de cliente exclusivos é a capacidade de revogar um único certificado. Caso contrário, se vários clientes usarem o mesmo certificado de cliente para autenticar e você o revogar, você precisará gerar e instalar novos certificados para cada cliente que usa esse certificado.

Você pode gerar certificados de cliente usando os seguintes métodos:

• Certificado corporativo:

  • Se você estiver usando uma solução de certificado empresarial, gere um certificado de cliente com o formato de valor de nome comum name@yourdomain.com. Use esse formato, em vez do formato nome do domínio\nomedeusuário.

  • Verifique se o certificado do cliente é baseado em um modelo de certificado de usuário que tenha Autenticação de Cliente listada como o primeiro item na lista de usuários. Verifique o certificado clicando duas vezes nele e exibindo Uso Avançado de Chave na guia Detalhes.

• Certificado raiz autoassinado: Siga as etapas em um dos seguintes artigos de certificado de P2S para que os certificados de cliente que você cria sejam compatíveis com as conexões P2S.

  Ao gerar um certificado do cliente de um certificado raiz autoassinado, ele é instalado automaticamente no computador que você usou para gerá-lo. Se você quiser instalar um certificado de cliente em outro computador cliente, exporte-o como arquivo .pfx e junto com toda a cadeia de certificados. Essa ação criará um arquivo .pfx que contém as informações do certificado raiz necessárias para o cliente autenticar.

  As etapas desses artigos geram um certificado de cliente compatível, que você poderá exportar e distribuir.

  • Instruções do PowerShell para o Windows 10 ou posterior: essas instruções exigem o Windows 10 ou posterior e o PowerShell para gerar certificados. Os certificados gerados podem ser instalados em qualquer cliente de P2S com suporte.

  • Instruções MakeCert: use MakeCert se você não tiver acesso a um computador com o Windows 10 ou posterior para gerar certificados. Embora o MakeCert tenha sido preterido, você ainda pode usá-lo para gerar certificados. Você pode instalar os certificados gerados em qualquer cliente de P2S com suporte.

  • Linux: consulte as instruções strongSwan ou OpenSSL.

Adicionar o pool de endereços do cliente VPN

O pool de endereços do cliente é um intervalo de endereços IP que você especificar. Os clientes que se conectam por VPN ponto a site recebem dinamicamente um endereço IP desse intervalo. Use um intervalo de endereços IP privado que não coincida com o local de onde você se conecta nem com a VNet à qual quer se conectar. Se você configurar vários protocolos e o SSTP for um deles, o pool de endereços configurado será dividido entre os protocolos configurados igualmente.

1. No portal do Azure, acesse seu gateway VPN.

2. Na página do gateway, no painel esquerdo, selecione Configuração ponto a site.

3. Clique em Configurar agora para abrir a página de configuração.

   

4. Na página de Configuração ponto a site, na caixa Pool de endereços, adicione o intervalo de endereços IP privado que deseja usar. Os clientes VPN recebem dinamicamente um endereço IP do intervalo que você especificar. A máscara de sub-rede mínima é de 29 bits para a configuração ativa/passiva e de 28 bits para configuração ativa/ativa.

5. Continue na próxima seção para definir mais configurações.

Especificar o túnel e o tipo de autenticação

Nesta seção, você especifica o tipo de túnel e o tipo de autenticação. Essas configurações podem se tornar complexas. Você pode selecionar opções que contêm vários tipos de túnel na lista suspensa, como IKEv2 e OpenVPN(SSL) ou IKEv2 e SSTP (SSL). Somente determinadas combinações de tipos de túnel e tipos de autenticação estão disponíveis.

O tipo de túnel e o tipo de autenticação devem corresponder ao software cliente VPN que você deseja usar para se conectar ao Azure. Como se pode perceber, o planejamento do tipo de túnel e do tipo de autenticação é importante quando se tem vários clientes VPN conectados em diferentes sistemas operacionais. A tabela a seguir mostra os tipos de túnel disponíveis e os tipos de autenticação relacionados ao software cliente VPN.

Tabela do cliente de VPN

Autenticação	Tipo de túnel	Sistema operacional cliente	Cliente VPN
Certificado
	IKEv2, SSTP	Windows	Cliente VPN nativo
	IKEv2	macOS	Cliente VPN nativo
	IKEv2	Linux	strongSwan
	OpenVPN	Windows	Cliente VPN do Azure Cliente OpenVPN versão 2.x Cliente OpenVPN versão 3.x
	OpenVPN	macOS	Cliente OpenVPN
	OpenVPN	iOS	Cliente OpenVPN
	OpenVPN	Linux	Cliente VPN do Azure Cliente OpenVPN
Microsoft Entra ID
	OpenVPN	Windows	Cliente VPN do Azure
	OpenVPN	macOS	Cliente VPN do Azure
	OpenVPN	Linux	Cliente VPN do Azure

Observação

Se você não vê o tipo de túnel ou o tipo de autenticação na página de Configuração de ponto-a-site, seu gateway está usando o SKU Básico. O SKU Básico não dá suporte à autenticação IKEv2 nem RADIUS. Se você quiser usar essas configurações, será necessário excluir e recriar o gateway usando outro SKU de gateway.

1. Em Tipo de túnel, selecione o tipo de túnel que você quer usar. Para este exercício, selecione IKEv2 e OpenVPN(SSL) do menu suspenso.

2. Como Tipo de autenticação, selecione o Certificado do Azure na lista suspensa.

   

Adicionar outro endereço IP público

Se você tiver um gateway de modo ativo-ativo, precisará especificar um terceiro endereço IP público para configurar ponto a site. No exemplo, criamos o terceiro endereço IP público usando o valor de exemplo VNet1GWpip3. Se o gateway não estiver no modo ativo-ativo, você não precisará adicionar outro endereço IP público.

Carregar informações de chave pública do certificado raiz

Nesta seção, você carrega os dados do certificado raiz público no Azure. Depois que os dados do certificado público são carregados, o Azure os usa para autenticar clientes de conexão. Os clientes de conexão têm um certificado de cliente instalado gerado a partir do certificado raiz confiável.

1. Verifique se você exportou o certificado raiz como um arquivo x.509 (.CER) codificado em Base 64 nas etapas anteriores. Você precisa exportar o certificado neste formato para poder abri-lo em um editor de texto. Você não precisa exportar a chave privada.

2. Abra o certificado com um editor de texto, como o Bloco de Notas. Ao copiar os dados do certificado, copie o texto como uma linha contínua:

   

3. Vá para a página Gateway de rede virtual -> Configuração de Ponto a Site na seção Certificado raiz. Esta seção só será visível se você tiver selecionado certificado do Azure no tipo de autenticação.

4. Na seção Certificado raiz, você pode adicionar até 20 certificados raiz confiáveis.

   • Cole os dados do certificado no campo Dados de certificado público.
   • Nomeie o certificado.

   

5. Rotas adicionais não são necessárias para este exercício. Para obter mais informações sobre o recurso de roteamento personalizado, consulte Anunciar rotas personalizadas.

6. Selecione Salvar na parte superior da página para salvar todas as configurações.

Gerar arquivos de configuração do perfil de cliente VPN

Todas as definições de configuração necessárias para os clientes VPN estão contidas em um arquivo zip de configuração de perfil de cliente VPN. Os arquivos de configuração do perfil do cliente VPN são específicos da configuração do gateway de VPN P2S para a rede virtual. Se houver alterações na configuração de VPN P2S depois de gerar os arquivos, como alterações no tipo de protocolo VPN ou no tipo de autenticação, você precisará gerar novos arquivos de configuração de perfil de cliente VPN, e aplicar a nova configuração a todos os clientes VPN que você deseja conectar. Para obter mais informações sobre conexões P2S, confira Sobre a VPN ponto a site.

É possível gerar arquivos de configuração de perfil de cliente usando o PowerShell ou usando o portal do Azure. Os exemplos a seguir mostram ambos os métodos. O método retorna o mesmo arquivo zip.

Portal do Azure

1. No portal do Azure, acesse o gateway da rede virtual à qual você deseja conectar.

2. Na página do gateway de rede virtual, selecione Configuração ponto a site para abrir a página Configuração ponto a site.

3. Na parte superior da página da configuração ponto a site, selecione Baixar cliente VPN. Isso não baixa o software cliente VPN, ele gera o pacote de configuração usado para configurar clientes VPN. Levará alguns minutos para o pacote de configuração do cliente ser gerado. Durante esse tempo, talvez você não veja nenhuma indicação até que o pacote tenha sido gerado.

   

4. Depois que o pacote de configuração tiver sido gerado, o navegador indicará que um arquivo zip de configuração do cliente está disponível. Ele terá o mesmo nome do seu gateway.

5. Descompacte o arquivo para exibir as pastas. Você usará alguns desses arquivos para configurar seu cliente VPN. Os arquivos gerados correspondem às configurações de tipo de autenticação e túnel que você configurou no servidor P2S.

Configurar clientes VPN e conectar-se ao Azure

Para obter etapas para configurar seus clientes VPN e conectar-se ao Azure, consulte a tabela do cliente de VPN na seção Especificar túnel e tipo de autenticação. A tabela contém links para artigos que fornecem etapas detalhadas para configurar o software cliente de VPN.

Adicionar ou remover certificados raiz confiáveis

Você pode adicionar e remover um certificado raiz do Azure. Quando você remove um certificado raiz, os clientes que têm um certificado gerado dessa raiz não podem se autenticar e, portanto, não podem se conectar. Se você deseja que um clientes faça autenticação e se conecte, você precisa instalar um novo certificado de cliente gerado a partir de um certificado confiável (carregado) no Azure.

Você pode adicionar até 20 arquivos .cer de certificado raiz ao Azure. Para obter instruções, consulte a seção Carregar um certificado raiz confiável.

Para remover um certificado raiz confiável:

1. Navegue até a página Configuração ponto a site do gateway de rede virtual.
2. Na seção Certificado raiz da página, encontre o certificado que você deseja remover.
3. Selecione botão de reticências ao lado do certificado e clique em Remover.

Revogar um certificado de cliente

É possível revogar certificados de cliente. A lista de certificados revogados permite negar seletivamente a conectividade P2S com base em certificados individuais de clientes. Isso é diferente da remoção de um certificado raiz confiável. Se você remover um arquivo .cer de certificado raiz confiável do Azure, ele revogará o acesso para todos os certificados de cliente gerados/assinados pelo certificado raiz revogado. Quando você revoga um certificado do cliente em vez do certificado raiz, permite que os outros certificados gerados com base no certificado raiz continuem a ser usados para autenticação.

A prática comum é usar o certificado raiz para gerenciar o acesso em níveis de equipe ou organização, enquanto estiver usando certificados de cliente revogados para controle de acesso refinado em usuários individuais.

Você pode revogar um certificado de cliente adicionando a impressão digital à lista de revogação.

1. Recupere a impressão digital do certificado de cliente. Para saber mais, confira Como recuperar a impressão digital de um certificado.
2. Copie as informações em um editor de texto e remova todos os espaços para que ele seja uma cadeia de caracteres contínua.
3. Navegue até a página Configuração ponto a site do gateway de rede virtual. É a mesma página que você usou para carregar um certificado raiz confiável.
4. Na seção Certificados revogados, insira um nome amigável para o certificado (não precisa ser o CN do certificado).
5. Copie e cole a cadeia de caracteres de impressão digital no campo Impressão digital.
6. A impressão digital é validada e adicionada automaticamente à lista de revogação. Uma mensagem aparece na tela informando que a lista está atualizando.
7. Após a conclusão da atualização, o certificado não poderá mais ser usado para se conectar. Os clientes que tentam se conectar usando este certificado recebem uma mensagem informando que o certificado não é mais válido.

Perguntas frequentes sobre ponto a site

Para perguntas frequentes, confira as Perguntas frequentes.

Próximas etapas

Quando sua conexão for concluída, você poderá adicionar máquinas virtuais às suas redes virtuais. Para saber mais, veja Máquinas virtuais. Para saber mais sobre redes e máquinas virtuais, consulte Visão geral de rede do Azure e VM Linux.

Para obter informações sobre solução de problemas de P2S, consulte Solução de problemas de conexões de ponto a site do Azure.