Configurar o cliente OpenVPN para conexões de autenticação de certificado P2S - Linux

Artigo
06/25/2024

Este artigo ajuda você a se conectar à sua rede virtual do Azure (VNet) usando o Gateway VPN ponto a site (P2S) e a autenticação de certificado do Linux usando um cliente OpenVPN.

Antes de começar

Verifique se você está no artigo correto. A tabela a seguir mostra os artigos de configuração disponíveis para clientes VPN P2S do Gateway de VPN do Azure. As etapas são diferentes, dependendo do tipo de autenticação, do tipo de túnel e do sistema operacional cliente.

Autenticação	Tipo de túnel	SO de Cliente	cliente de VPN
Certificado
	IKEv2, SSTP	Windows	Cliente VPN nativo
	IKEv2	macOS	Cliente VPN nativo
	IKEv2	Linux	forteSwan
	OpenVPN	Windows	Cliente VPN do Azure Cliente OpenVPN versão 2.x Cliente OpenVPN versão 3.x
	OpenVPN	macOS	Cliente OpenVPN
	OpenVPN	iOS	Cliente OpenVPN
	OpenVPN	Linux	Azure VPN Client Cliente OpenVPN
Microsoft Entra ID
	OpenVPN	Windows	Cliente VPN do Azure
	OpenVPN	macOS	Azure VPN Client
	OpenVPN	Linux	Azure VPN Client

Pré-requisitos

Este artigo pressupõe que você já tenha executado os seguintes pré-requisitos:

Você criou e configurou seu gateway VPN para autenticação de certificado ponto a site e o tipo de túnel OpenVPN. Consulte Definir configurações do servidor para conexões do Gateway VPN P2S - autenticação de certificado para obter as etapas.
Você gerou e baixou os arquivos de configuração do cliente VPN. Consulte Gerar arquivos de configuração de perfil de cliente VPN para obter as etapas.
Você pode gerar certificados de cliente ou adquirir os certificados de cliente apropriados necessários para autenticação.

Requisitos de conexão

Para se conectar ao Azure usando o cliente OpenVPN usando autenticação de certificado, cada cliente de conexão requer os seguintes itens:

O software Open VPN Client deve ser instalado e configurado em cada cliente.
O cliente deve ter os certificados corretos instalados localmente.

Fluxo de Trabalho

O fluxo de trabalho para este artigo é:

Instale o cliente OpenVPN.
Exiba os arquivos de configuração de perfil de cliente VPN contidos no pacote de configuração de perfil de cliente VPN que você gerou.
Configure o cliente OpenVPN.
Conecte-se ao Azure.

Acerca de certificados

Para autenticação de certificado, um certificado de cliente deve ser instalado em cada computador cliente. O certificado de cliente que você deseja usar deve ser exportado com a chave privada e deve conter todos os certificados no caminho de certificação. Além disso, para algumas configurações, você também precisará instalar as informações do certificado raiz.

O cliente OpenVPN neste artigo usa certificados exportados com um formato .pfx . Você pode exportar um certificado de cliente facilmente para esse formato usando as instruções do Windows. Consulte Exportar um certificado de cliente - pfx. Se você não tiver um computador Windows, como solução alternativa, poderá usar uma pequena VM do Windows para exportar certificados para o formato .pfx necessário. Neste momento, as instruções OpenSSL Linux que fornecemos resultam apenas no formato .pem.

Passos de configuração

Esta seção ajuda você a configurar clientes Linux para autenticação de certificado que usa o tipo de túnel OpenVPN. Para se conectar ao Azure, baixe o cliente OpenVPN e configure o perfil de conexão.

Nota

A versão 2.6 do OpenVPN Client ainda não é suportada.

Abra uma nova sessão do Terminal. Você pode abrir uma nova sessão pressionando 'Ctrl + Alt + t' ao mesmo tempo.

Digite o seguinte comando para instalar os componentes necessários:

sudo apt-get install openvpn
sudo apt-get -y install network-manager-openvpn
sudo service network-manager restart

Em seguida, vá para a pasta de perfil do cliente VPN e descompacte para visualizar os arquivos.
Exporte o certificado de cliente P2S que você criou e carregou para sua configuração P2S no gateway. Para conhecer as etapas, consulte Gateway de VPN ponto a site.
Extraia a chave privada e a impressão digital base64 do .pfx. Existem várias formas de o fazer. Usar OpenSSL no seu computador é uma maneira.
```
openssl pkcs12 -in "filename.pfx" -nodes -out "profileinfo.txt"
```
O arquivo profileinfo.txt contém a chave privada e a impressão digital da autoridade de certificação e o certificado do cliente. Certifique-se de usar a impressão digital do certificado do cliente.
Abra profileinfo.txt em um editor de texto. Para obter a impressão digital do certificado do cliente (filho), selecione o texto incluindo e entre "-----BEGIN CERTIFICATE-----" e "-----END CERTIFICATE-----" para o certificado filho e copie-o. Você pode identificar o certificado de criança observando a linha subject=/.

Abra o arquivo vpnconfig.ovpn e localize a seção no exemplo a seguir. Substitua tudo entre "cert" e "/cert".

# P2S client certificate
# please fill this field with a PEM formatted cert
<cert>
$CLIENTCERTIFICATE
</cert>

Abra o profileinfo.txt em um editor de texto. Para obter a chave privada, selecione o texto incluindo e entre "-----BEGIN PRIVATE KEY-----" e "-----END PRIVATE KEY-----" e copie-o.
Abra o arquivo vpnconfig.ovpn em um editor de texto e localize esta seção. Cole a chave privada substituindo tudo entre "key" e "/key".
```
# P2S client root certificate private key
# please fill this field with a PEM formatted key
<key>
$PRIVATEKEY
</key>
```
Não altere nenhum outro campo. Utilize a configuração preenchida na entrada de cliente para ligar à VPN.
- Para se conectar usando a linha de comando, digite o seguinte comando:
```
sudo openvpn --config <name and path of your VPN profile file>&
```
- Para desconectar usando a linha de comando, digite o seguinte comando:
```
sudo pkill openvpn
```
- Para se conectar usando a GUI, vá para as configurações do sistema.
Selecione + para adicionar uma nova conexão VPN.
Em Adicionar VPN, selecione Importar do arquivo....
Navegue até o arquivo de perfil e clique duas vezes ou selecione Abrir.
Selecione Adicionar na janela Adicionar VPN .
Você pode se conectar ativando a VPN na página Configurações de Rede ou sob o ícone de rede na bandeja do sistema.

Próximos passos

Para obter etapas adicionais, retorne ao artigo do portal do Azure P2S.

Partilhar via