Configurar as definições do servidor para a autenticação do certificado VPN P2S - PowerShell

Este artigo ajudará você a configurar uma VPN ponto a site (P2S) para conectar com segurança as pessoas que estiverem executando Windows, Linux ou macOS a uma rede virtual do Azure (VNet). As conexões VPN P2S são úteis quando você deseja se conectar à sua VNet a partir de um local remoto, como quando está trabalhando em casa ou em uma conferência.

Também é possível usar P2S em vez de uma VPN Site a Site, quando você tiver apenas alguns clientes que precisam se conectar a uma VNet. As conexões P2S não exigem um dispositivo VPN ou um endereço IP voltado para o público. A P2S cria a conexão VPN no SSTP (Secure Socket Tunneling Protocol) ou IKEv2.

Para obter mais informações sobre a VPN P2S, confira Sobre a VPN P2S. Para criar essa configuração usando o portal do Azure, confira Configurar uma VPN ponto a site usando o portal do Azure.

As conexões de autenticação de certificado do Azure P2S usam os itens a seguir, os quais são configurados neste exercício:

• Gateway de VPN RouteBased.
• A chave pública (arquivo .cer) para um certificado raiz, que é carregado no Azure. Depois que o certificado é carregado, ele é considerado um certificado confiável e é usado para autenticação.
• Um certificado do cliente que é gerado a partir do certificado raiz. O certificado do cliente instalado em cada computador cliente que se conectará à VNet. Esse certificado é usado para autenticação do cliente.
• Arquivos de configuração do cliente VPN. O cliente VPN é configurado com os arquivos de configuração do cliente VPN. Esses arquivos contêm as informações necessárias para o cliente se conectar à VNet. Cada cliente que se conecta deve ser configurado usando as configurações nos arquivos de configuração.

Pré-requisitos

Verifique se você tem uma assinatura do Azure. Se ainda não tiver uma assinatura do Azure, você poderá ativar os Benefícios do assinante do MSDN ou inscrever-se para obter uma conta gratuita.

PowerShell do Azure

Você pode utilizar o Azure Cloud Shell ou executar o PowerShell localmente. Para obter mais informações, confira Como instalar e configurar o Azure PowerShell.

• Muitas das etapas deste artigo podem usar o Azure Cloud Shell. No entanto, não é possível usar o Cloud Shell para gerar certificados. Além disso, para carregar a chave pública do certificado raiz, você deve usar o Azure PowerShell localmente ou o portal do Azure.

• Você pode ver avisos dizendo que "O tipo de objeto de saída deste cmdlet será modificado em uma versão futura". Esse comportamento é esperado e você pode ignorar esses avisos com segurança.

Entrar

Se você estiver usando o Azure Cloud Shell será direcionado automaticamente para entrar em sua conta depois de abrir o Cloud Shell. Você não precisa executar Connect-AzAccount. Depois de conectado, você ainda pode alterar as assinaturas, se necessário, usando Get-AzSubscription e Select-AzSubscription.

Se você estiver executando o PowerShell localmente, abra o console do PowerShell com privilégios elevados e conecte-se à sua conta do Azure. O cmdlet Connect-AzAccount lhe solicita credenciais. Depois de autenticar, ele baixa as configurações da conta para que estejam disponíveis para o Microsoft Azure PowerShell. Você pode alterar a assinatura usando Get-AzSubscription e Select-AzSubscription -SubscriptionName "Name of subscription".

Criar uma VNET

1. Crie um grupo de recursos usando New-AzResourceGroup.

   New-AzResourceGroup -Name "TestRG1" -Location "EastUS"
   

2. Crie a rede virtual utilizando New-AzVirtualNetwork.

   $vnet = New-AzVirtualNetwork `
   -ResourceGroupName "TestRG1" `
   -Location "EastUS" `
   -Name "VNet1" `
   -AddressPrefix 10.1.0.0/16
   

3. Crie sub-redes utilizando New-AzVirtualNetworkSubnetConfig com os seguintes nomes: Front-end e GatewaySubnet (uma sub-rede de gateway deve ter o nome GatewaySubnet).

   $subnetConfigFrontend = Add-AzVirtualNetworkSubnetConfig `
     -Name Frontend `
     -AddressPrefix 10.1.0.0/24 `
     -VirtualNetwork $vnet
   
   $subnetConfigGW = Add-AzVirtualNetworkSubnetConfig `
     -Name GatewaySubnet `
     -AddressPrefix 10.1.255.0/27 `
     -VirtualNetwork $vnet
   

4. Escreva as configurações de sub-rede na rede virtual com Set-AzVirtualNetwork, que cria as sub-redes na rede virtual:

   $vnet | Set-AzVirtualNetwork
   

Criar o gateway de VPN

Solicitar um endereço IP público

Um gateway de VPN deve ter um endereço IP público. Você primeiro solicita o recurso de endereço IP e, em seguida, faz referência a ele ao criar seu gateway de rede virtual. O endereço IP é atribuído estaticamente ao recurso quando o Gateway de VPN é criado. A única vez em que o endereço IP Público é alterado é quando o gateway é excluído e recriado. Isso não altera o redimensionamento, a redefinição ou outras manutenções/atualizações internas do seu gateway de VPN.

1. Solicite um endereço IP público para seu Gateway de VPN utilizando New-AzPublicIpAddress.

   $gwpip = New-AzPublicIpAddress -Name "GatewayIP" -ResourceGroupName "TestRG1" -Location "EastUS" -AllocationMethod Static -Sku Standard
   

2. Crie a configuração do endereço IP do gateway utilizando New-AzVirtualNetworkGatewayIpConfig. Essa configuração é referenciada quando você cria o Gateway de VPN.

   $vnet = Get-AzVirtualNetwork -Name "VNet1" -ResourceGroupName "TestRG1"
   $gwsubnet = Get-AzVirtualNetworkSubnetConfig -Name 'GatewaySubnet' -VirtualNetwork $vnet
   $gwipconfig = New-AzVirtualNetworkGatewayIpConfig -Name gwipconfig1 -SubnetId $gwsubnet.Id -PublicIpAddressId $gwpip.Id
   

Criar o gateway de VPN

Nesta etapa, você configura e cria o gateway de rede virtual para sua VNet. Para obter informações mais completas sobre autenticação e tipo de túnel, confira Especificar tipo de túnel e autenticação na versão portal do Azure deste artigo.

• O -GatewayType deve ser Vpn e o -VpnType deve ser RouteBased.
• O -VpnClientProtocols é usado para especificar os tipos de túneis que você deseja habilitar. As opções de túneis são OpenVPN, SSTP e IKEv2. Você pode optar por habilitar um deles ou qualquer combinação com suporte. Se quiser habilitar vários tipos, especifique os dois nomes separados por uma vírgula. O OpenVPN e o SSTP não podem ser habilitados juntos. O cliente strongSwan no Android e no Linux, e o cliente VPN IKEv2 nativo no iOS e no macOS usarão somente o túnel IKEv2 para se conectar. Os clientes Windows tentam o IKEv2 primeiro e, se isso gerar a conexão, retornarão ao SSTP. Você pode usar o cliente OpenVPN para se conectar ao tipo de túnel OpenVPN.
• O SKU "Básico" do gateway de rede virtual não dá suporte à autenticação IKEv2, OpenVPN ou RADIUS. Se você estiver planejando clientes Mac, se conecte à sua rede virtual, não use o SKU Básico.
• Um Gateway de VPN pode levar 45 minutos ou mais para ser criado, dependendo da SKU do gateway que você selecionar.

1. Crie o gateway de rede virtual com o tipo de gateway de "VPN" utilizando New-AzVirtualNetworkGateway.

   Neste exemplo, utilizamos a SKU VpnGw2, Geração 2. Se você observar erros de ValidateSet relacionados ao valor GatewaySKU e estiver executando esses comandos localmente, verifique se instalou a versão mais recente dos cmdlets do PowerShell. A versão mais recente contém os novos valores validados para as SKUs dos Gateways mais recentes.

   New-AzVirtualNetworkGateway -Name "VNet1GW" -ResourceGroupName "TestRG1" `
   -Location "EastUS" -IpConfigurations $gwipconfig -GatewayType Vpn `
   -VpnType RouteBased -EnableBgp $false -GatewaySku VpnGw2 -VpnGatewayGeneration "Generation2" -VpnClientProtocol IkeV2,OpenVPN
   

2. Depois que ele for criado, você poderá exibi-lo usando o exemplo a seguir.

   Get-AzVirtualNetworkGateway -Name VNet1GW -ResourceGroup TestRG1
   

Adicionar o pool de endereços do cliente VPN

Depois que o gateway de VPN é criado, você pode adicionar o pool de endereços do cliente VPN. O pool de endereços de cliente VPN é o intervalo do qual os clientes VPN recebem um endereço IP ao se conectar. Use um intervalo de endereço IP privado que não coincida com o local de onde você se conectará ou com a rede virtual à qual você desejará se conectar.

1. Declare as seguintes variáveis:

   $VNetName  = "VNet1"
   $VPNClientAddressPool = "172.16.201.0/24"
   $RG = "TestRG1"
   $Location = "EastUS"
   $GWName = "VNet1GW"
   

2. Adicionar o pool de endereços do cliente VPN:

   $Gateway = Get-AzVirtualNetworkGateway -ResourceGroupName $RG -Name $GWName
   Set-AzVirtualNetworkGateway -VirtualNetworkGateway $Gateway -VpnClientAddressPool $VPNClientAddressPool
   

Gerar certificados

Importante

Não é possível gerar certificados com o Azure Cloud Shell. Você deve usar um dos métodos descritos nesta seção. Se você quiser usar o PowerShell, deverá instalá-lo localmente.

Os certificados são utilizados pelo Azure para autenticar clientes VPN para VPNs P2S. Você pode carregar as informações da chave públicas do certificado raiz no Azure. A chave pública é considerada “trusted” (confiável). Os certificados de cliente devem ser gerados a partir do certificado raiz confiável e, em seguida, em cada computador cliente no repositório de certificados de usuário/pessoal de certificados atual. O certificado é usado para autenticar o cliente quando ele inicia uma conexão de rede virtual.

Se você usa certificados autoassinados, eles devem ser criados usando parâmetros específicos. É possível utilizar as instruções do PowerShell para criar um certificado autoassinado em computadores Windows com Windows 10 ou posterior. Se não estiver executando o Windows 10 ou posterior, utilize MakeCert.

É importante que você siga as etapas nas instruções ao gerar os certificados raiz autoassinados e os certificados de cliente. Caso contrário, os certificados gerados não serão compatíveis com conexões P2S e você receberá um erro de conexão.

Certificado raiz

1. Obtenha o arquivo .cer do certificado raiz. Você pode usar um certificado raiz que foi gerado com uma solução corporativa (recomendado) ou gerar um certificado autoassinado. Depois de criar o certificado raiz, exporte os dados de certificado público (não a chave privada) como o arquivo .cer X.509 codificado em Base64. Você carrega esse arquivo mais tarde no Azure.

   • Certificado corporativo: Se você estiver usando uma solução empresarial, poderá usar a cadeia de certificados existente. Adquira o arquivo .cer do certificado raiz que você deseja usar.

   • Certificado raiz autoassinado: Se você não estiver usando uma solução de certificado empresarial, precisará criar um certificado raiz autoassinado. Caso contrário, os certificados que você criar não serão compatíveis com suas conexões P2S e os clientes receberão um erro de conexão ao tentarem se conectar. Você pode usar o Azure PowerShell, MakeCert ou OpenSSL. As etapas nos artigos a seguir descrevem como gerar um certificado raiz autoassinado compatível:

     • Instruções do PowerShell para Windows 10 ou posterior: essas instruções exigem o PowerShell em um computador com Windows 10 ou posterior. Os certificados de cliente gerados a partir do certificado raiz podem ser instalados em qualquer cliente de P2S com suporte.
     • Instruções do MakeCert: utilize o MakeCert para gerar certificados se não tiver acesso a um computador com Windows 10 ou posterior. Embora o MakeCert tenha sido preterido, você ainda pode usá-lo para gerar certificados. Os certificados de cliente gerados usando o certificado raiz podem ser instalados em qualquer cliente de P2S com suporte.
     • Linux - Instruções OpenSSL
     • Linux - Instruções strongSwan

2. Depois de criar o certificado raiz, exporte os dados de certificado público (não a chave privada) como o arquivo .cer X.509 codificado em Base64.

Certificado do cliente

1. Cada computador cliente que você conectar a uma VNet com uma conexão ponto a site deve ter um certificado do cliente instalado. Você pode gerá-lo do certificado raiz e instalá-lo em cada computador cliente. Se você não instalar um certificado de cliente válido, a autenticação falhará quando o cliente tenta se conectar à VNet.

   Você pode gerar um certificado exclusivo para cada cliente ou pode usar o mesmo certificado para vários clientes. A vantagem da geração de certificados de cliente exclusivos é a capacidade de revogar um único certificado. Caso contrário, se vários clientes usarem o mesmo certificado de cliente para autenticar e você o revogar, você precisará gerar e instalar novos certificados para cada cliente que usa esse certificado.

   Você pode gerar certificados de cliente usando os seguintes métodos:

   • Certificado corporativo:

     • Se você estiver usando uma solução de certificado empresarial, gere um certificado de cliente com o formato de valor de nome comum name@yourdomain.com. Use esse formato, em vez do formato nome do domínio\nomedeusuário.

     • Verifique se o certificado do cliente é baseado em um modelo de certificado de usuário que tenha Autenticação de Cliente listada como o primeiro item na lista de usuários. Verifique o certificado clicando duas vezes nele e exibindo Uso Avançado de Chave na guia Detalhes.

   • Certificado raiz autoassinado: Siga as etapas em um dos seguintes artigos de certificado de P2S para que os certificados de cliente que você cria sejam compatíveis com as conexões P2S.

     Ao gerar um certificado do cliente de um certificado raiz autoassinado, ele é instalado automaticamente no computador que você usou para gerá-lo. Se você quiser instalar um certificado de cliente em outro computador cliente, exporte-o como arquivo .pfx e junto com toda a cadeia de certificados. Essa ação criará um arquivo .pfx que contém as informações do certificado raiz necessárias para o cliente autenticar.

     As etapas desses artigos geram um certificado de cliente compatível, que você poderá exportar e distribuir.

     • Instruções do PowerShell para o Windows 10 ou posterior: essas instruções exigem o Windows 10 ou posterior e o PowerShell para gerar certificados. Os certificados gerados podem ser instalados em qualquer cliente de P2S com suporte.

     • Instruções MakeCert: use MakeCert se você não tiver acesso a um computador com o Windows 10 ou posterior para gerar certificados. Embora o MakeCert tenha sido preterido, você ainda pode usá-lo para gerar certificados. Você pode instalar os certificados gerados em qualquer cliente de P2S com suporte.

     • Instruções do Linux.

2. Depois de criar o certificado do cliente, exporte-o. Cada computador cliente exige um certificado do cliente para se conectar e autenticar.

Carregar informações de chave pública do certificado raiz

Verifique se a criação do gateway de VPN foi concluída. Depois de concluído, você pode carregar o arquivo. cer (que contém as informações de chave pública) para um certificado raiz confiável do Azure. Uma vez carregado o arquivo .cer, o Azure pode usá-lo para autenticar clientes com um certificado de cliente instalado gerado a partir de um certificado raiz confiável. Você pode carregar arquivos de certificado raiz confiável adicionais - até um total de 20 - posteriormente, se necessário.

Observação

Não é possível carregar o arquivo .cer com o Azure Cloud Shell. Você pode usar o PowerShell localmente no seu computador ou seguir as etapas do portal do Azure.

1. Declare a variável para o nome do certificado, substituindo o valor pelo seu.

   $P2SRootCertName = "P2SRootCert.cer"
   

2. Substitua o caminho do arquivo pelo seu e execute os cmdlets.

   $filePathForCert = "C:\cert\P2SRootCert.cer"
   $cert = new-object System.Security.Cryptography.X509Certificates.X509Certificate2($filePathForCert)
   $CertBase64 = [system.convert]::ToBase64String($cert.RawData)
   

3. Carregue as informações de chave pública para o Azure. Depois que as informações do certificado são carregadas, o Azure o considera um certificado raiz confiável. Ao carregar, verifique se você está executando o PowerShell localmente no seu computador ou siga as Etapas do portal do Azure. Quando o upload for concluído, você verá um retorno do PowerShell mostrando PublicCertData. O processo de upload do certificado leva cerca de 10 minutos para ser concluído.

   Add-AzVpnClientRootCertificate -VpnClientRootCertificateName $P2SRootCertName -VirtualNetworkGatewayname "VNet1GW" -ResourceGroupName "TestRG1" -PublicCertData $CertBase64
   

Instalar um certificado do cliente exportado

As etapas a seguir ajudarão você a instalar em um cliente do Windows. Para clientes adicionais e mais informações, confira Instalar um certificado do cliente.

1. Depois que o certificado do cliente for exportado, localize e copie o arquivo .pfx para o computador cliente.
2. No computador cliente, clique duas vezes no arquivo .pfx para instalá-lo. Deixe o Local do Repositório como Usuário Atual e selecione Avançar.
3. Na página Arquivo a importar, não faça nenhuma alteração. Selecione Avançar.
4. Na página Proteção da chave privada, insira a senha do certificado ou verifique se a entidade de segurança está correta e selecione Avançar.
5. Na página Repositório de Certificados, deixe a localização padrão e selecione Avançar.
6. Selecione Concluir. No Aviso de Segurança da instalação do certificado, selecione Sim. Você pode selecionar 'Sim' confortavelmente para este aviso de segurança porque gerou o certificado.
7. O certificado foi importado com êxito.

Verifique se o certificado do cliente foi exportado como um .pfx juntamente com a cadeia de certificado inteira (que é o padrão). Caso contrário, as informações do certificado raiz não estão presentes no computador cliente e este não será capaz de fazer a autenticação corretamente.

Configurar clientes VPN e conectar-se ao Azure

Cada cliente VPN é configurado usando os arquivos em um pacote de configuração de perfil do cliente VPN que você gera e baixa. O pacote de configuração contém configurações específicas para o gateway de VPN que você criou. Se você fizer alterações no Gateway de VPN, como alterar um tipo de túnel, certificado ou tipo de autenticação, deverá gerar outro pacote de configuração de perfil de cliente VPN e instalá-lo em cada cliente. Caso contrário, seus clientes VPN podem não conseguir se conectar.

Para obter as etapas para gerar um pacote de configuração de perfil de cliente VPN, configurar seus clientes VPN e conectar-se ao Azure, consulte os seguintes artigos:

• Windows
• macOS-iOS
• Linux

Para verificar uma conexão

Essas instruções se aplicam a clientes do Windows.

1. Para verificar se a conexão VPN está ativa, abra um prompt de comandos com privilégios elevados e execute ipconfig/all.

2. Exiba os resultados. Observe que o endereço IP que você recebeu é um dos endereços dentro do Pool de Endereços de Cliente VPN P2S que você especificou em sua configuração. Os resultados são semelhantes a este exemplo:

   PPP adapter VNet1:
      Connection-specific DNS Suffix .:
      Description.....................: VNet1
      Physical Address................:
      DHCP Enabled....................: No
      Autoconfiguration Enabled.......: Yes
      IPv4 Address....................: 172.16.201.13(Preferred)
      Subnet Mask.....................: 255.255.255.255
      Default Gateway.................:
      NetBIOS over Tcpip..............: Enabled
   

Para conectar-se a uma máquina virtual

Essas instruções se aplicam a clientes do Windows.

É possível se conectar a uma VM implantada em sua rede virtual criando uma conexão de Área de Trabalho Remota com a VM. É a melhor maneira de verificar inicialmente se você pode se conectar à sua VM usando seu endereço IP privado, em vez do nome do computador. Dessa forma, você está testando para ver se pode conectar-se e não se a resolução de nomes está configurada corretamente.

1. Localize o endereço IP privado. É possível encontrar o endereço IP privado de uma VM observando as propriedades da VM no portal do Azure ou usando o PowerShell.

   • Portal do Azure: localize sua VM no portal do Azure. Exiba as propriedades para a VM. O endereço IP privado está listado.

   • PowerShell: use o exemplo para exibir uma lista de VMs e endereços de IP privados dos seus grupos de recursos. Você não precisa modificar esse exemplo antes de usá-lo.

     $VMs = Get-AzVM
     $Nics = Get-AzNetworkInterface | Where-Object VirtualMachine -ne $null
     
     foreach ($Nic in $Nics) {
     $VM = $VMs | Where-Object -Property Id -eq $Nic.VirtualMachine.Id
     $Prv = $Nic.IpConfigurations | Select-Object -ExpandProperty PrivateIpAddress
     $Alloc = $Nic.IpConfigurations | Select-Object -ExpandProperty PrivateIpAllocationMethod
     Write-Output "$($VM.Name): $Prv,$Alloc"
     }
     

2. Verifique se você está conectado à sua rede virtual.

3. Abra a Conexão de Área de Trabalho Remota, inserindo RDP ou Conexão de Área de Trabalho Remota na caixa de pesquisa na barra de tarefas. Em seguida, selecione Conexão de Área de Trabalho Remota. Você também pode abrir a Conexão de Área de Trabalho Remota usando o comando mstsc no PowerShell.

4. Na Conexão de Área de Trabalho Remota, insira o endereço IP privado da VM. É possível selecionar Mostrar Opções para ajustar outras configurações e depois se conectar.

Se você estiver com problemas para se conectar a uma VM por meio da conexão VPN, verifique o seguinte pontos:

• Verifique se a conexão VPN é estabelecida.
• Verifique se você está se conectando ao endereço IP privado da VM.
• Se você puder se conectar à VM usando o endereço IP privado, mas não o nome do computador, verifique se o DNS foi configurado corretamente. Para obter mais informações sobre como funciona a resolução de nomes para VMs, confira Resolução de nomes para VMs.

Para obter mais informações sobre conexões RDP, confira Solucionar problemas de conexões da Área de Trabalho Remota a uma VM.

• Verifique se o pacote de configuração de cliente VPN foi gerado depois que os endereços IP do servidor DNS foram especificados para a rede virtual. Se você atualizou os endereços IP do servidor DNS, gere e instale um novo pacote de configuração de cliente VPN.

• Use 'ipconfig' para verificar o endereço IPv4 atribuído ao adaptador Ethernet no computador do qual está se conectando. Se o endereço IP está dentro do intervalo de endereços da VNet a qual você está se conectando ou dentro do intervalo de endereços do VPNClientAddressPool, isso é chamado de espaço de endereço sobreposto. Quando o espaço de endereço se sobrepõe dessa forma, o tráfego de rede não alcança o Azure; ele permanece na rede local.

Para adicionar ou remover um certificado raiz

Você pode adicionar e remover um certificado raiz do Azure. Quando você remove um certificado raiz, os clientes que possuem um certificado gerado pelo certificado raiz não podem fazer a autenticação e, portanto, não conseguem se conectar. Se você deseja que um clientes faça autenticação e se conecte, você precisa instalar um novo certificado de cliente gerado a partir de um certificado confiável (carregado) no Azure. Estas etapas exigem cmdlets do Azure PowerShell instalados localmente em seu computador (não no Azure Cloud Shell). Você também pode usar o portal do Azure para adicionar certificados raiz.

Para adicionar:

Você pode adicionar até 20 arquivos .cer de certificado raiz ao Azure. As etapas a seguir ajudarão você a adicionar um certificado raiz.

1. Prepare o arquivo .cer para upload:

   $filePathForCert = "C:\cert\P2SRootCert3.cer"
   $cert = new-object System.Security.Cryptography.X509Certificates.X509Certificate2($filePathForCert)
   $CertBase64_3 = [system.convert]::ToBase64String($cert.RawData)
   

2. Carregue o arquivo. Você só pode carregar um arquivo por vez.

   Add-AzVpnClientRootCertificate -VpnClientRootCertificateName $P2SRootCertName -VirtualNetworkGatewayname "VNet1GW" -ResourceGroupName "TestRG1" -PublicCertData $CertBase64_3
   

3. Para verificar se o arquivo de certificado foi carregado:

   Get-AzVpnClientRootCertificate -ResourceGroupName "TestRG1" `
   -VirtualNetworkGatewayName "VNet1GW"
   

Para remover:

1. Declare as variáveis. Modifique as variáveis no exemplo para corresponder ao certificado que você deseja remover.

   $GWName = "Name_of_virtual_network_gateway"
   $RG = "Name_of_resource_group"
   $P2SRootCertName2 = "ARMP2SRootCert2.cer"
   $MyP2SCertPubKeyBase64_2 = "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"
   

2. Remova o certificado.

   Remove-AzVpnClientRootCertificate -VpnClientRootCertificateName $P2SRootCertName2 -VirtualNetworkGatewayName $GWName -ResourceGroupName $RG -PublicCertData $MyP2SCertPubKeyBase64_2
   

3. Use o exemplo a seguir para verificar se o certificado foi removido com êxito.

   Get-AzVpnClientRootCertificate -ResourceGroupName "TestRG1" `
   -VirtualNetworkGatewayName "VNet1GW"
   

Para revogar ou restabelecer um certificado do cliente

É possível revogar certificados de cliente. A lista de certificados revogados permite negar seletivamente a conectividade P2S com base em certificados individuais de clientes. Isso é diferente da remoção de um certificado raiz confiável. Se você remover um arquivo .cer de certificado raiz confiável do Azure, ele revogará o acesso para todos os certificados de cliente gerados/assinados pelo certificado raiz revogado. Revogar um certificado de cliente, em vez do certificado raiz, permite que os outros certificados gerados a partir do certificado raiz continuem a ser usados para autenticação.

A prática comum é usar o certificado raiz para gerenciar o acesso em níveis de equipe ou organização, enquanto estiver usando certificados de cliente revogados para controle de acesso refinado em usuários individuais.

Para revogar:

1. Recupere a impressão digital do certificado de cliente. Para saber mais, confira Como recuperar a impressão digital de um certificado.

2. Copie as informações em um editor de texto e remova todos os espaços para que ele seja uma cadeia de caracteres contínua. A cadeia de caracteres é declarada como uma variável na próxima etapa.

3. Declare as variáveis. Declare a impressão digital recuperada na etapa anterior.

   $RevokedClientCert1 = "NameofCertificate"
   $RevokedThumbprint1 = "‎51ab1edd8da4cfed77e20061c5eb6d2ef2f778c7"
   $GWName = "Name_of_virtual_network_gateway"
   $RG = "Name_of_resource_group"
   

4. Adicione a impressão digital à lista de certificados revogados. Você verá "Êxito" quando a impressão digital tiver sido adicionada.

   Add-AzVpnClientRevokedCertificate -VpnClientRevokedCertificateName $RevokedClientCert1 `
   -VirtualNetworkGatewayName $GWName -ResourceGroupName $RG `
   -Thumbprint $RevokedThumbprint1
   

5. Verifique se a impressão digital foi adicionada à lista de certificados revogados.

   Get-AzVpnClientRevokedCertificate -VirtualNetworkGatewayName $GWName -ResourceGroupName $RG
   

6. Após a adição da impressão digital, o certificado não poderá mais ser usado para se conectar. Os clientes que tentam se conectar usando este certificado recebem uma mensagem informando que o certificado não é mais válido.

Para restabelecer:

Você pode restabelecer um certificado de cliente removendo a impressão digital da lista de certificados de cliente revogados.

1. Declare as variáveis. Declare a impressão digital correta para o certificado que você deseja restabelecer.

   $RevokedClientCert1 = "NameofCertificate"
   $RevokedThumbprint1 = "‎51ab1edd8da4cfed77e20061c5eb6d2ef2f778c7"
   $GWName = "Name_of_virtual_network_gateway"
   $RG = "Name_of_resource_group"
   

2. Remova a impressão digital do certificado da lista de revogação de certificado.

   Remove-AzVpnClientRevokedCertificate -VpnClientRevokedCertificateName $RevokedClientCert1 `
   -VirtualNetworkGatewayName $GWName -ResourceGroupName $RG -Thumbprint $RevokedThumbprint1
   

3. Verifique se a impressão digital foi removida da lista revogada.

   Get-AzVpnClientRevokedCertificate -VirtualNetworkGatewayName $GWName -ResourceGroupName $RG
   

PERGUNTAS FREQUENTES SOBRE A P2S

Para obter mais informações sobre P2S, confira as Perguntas frequentes sobre o Gateway de VPN P2S

Próximas etapas

Quando sua conexão for concluída, você poderá adicionar máquinas virtuais às suas redes virtuais. Para saber mais, veja Máquinas virtuais. Para saber mais sobre redes e máquinas virtuais, consulte Visão geral de rede do Azure e VM Linux.

Para obter informações sobre como solucionar problemas de P2S, Solucionando problemas: Problemas de conexão P2S do Azure.