Configurar o cliente OpenVPN 2.x para conexões de autenticação de certificado P2S - Windows
Se o seu gateway VPN ponto a site (P2S) estiver configurado para usar OpenVPN e autenticação de certificado, você poderá se conectar à sua rede virtual usando o Cliente OpenVPN. Este artigo orienta você pelas etapas para configurar o cliente OpenVPN 2.4 e superior e conectar-se à sua rede virtual.
Antes de começar
Antes de iniciar as etapas de configuração do cliente, verifique se você está no artigo de configuração do cliente VPN correto. A tabela a seguir mostra os artigos de configuração disponíveis para clientes VPN ponto a site do Gateway VPN. As etapas são diferentes, dependendo do tipo de autenticação, do tipo de túnel e do sistema operacional cliente.
| Autenticação | Tipo de túnel | SO de Cliente | cliente de VPN |
|---|---|---|---|
| Certificado | |||
| IKEv2, SSTP | Windows | Cliente VPN nativo | |
| IKEv2 | macOS | Cliente VPN nativo | |
| IKEv2 | Linux | forteSwan | |
| OpenVPN | Windows | Cliente VPN do Azure Cliente OpenVPN versão 2.x Cliente OpenVPN versão 3.x |
|
| OpenVPN | macOS | Cliente OpenVPN | |
| OpenVPN | iOS | Cliente OpenVPN | |
| OpenVPN | Linux | Azure VPN Client Cliente OpenVPN |
|
| Microsoft Entra ID | |||
| OpenVPN | Windows | Cliente VPN do Azure | |
| OpenVPN | macOS | Azure VPN Client | |
| OpenVPN | Linux | Azure VPN Client |
Nota
O cliente OpenVPN é gerenciado de forma independente e não está sob o controle da Microsoft. Isso significa que a Microsoft não supervisiona seu código, compilações, roteiro ou aspetos legais. Caso os clientes encontrem algum bug ou problema com o cliente OpenVPN, eles devem entrar em contato diretamente com o suporte da OpenVPN Inc. As diretrizes neste artigo são fornecidas "como estão" e não foram validadas pela OpenVPN Inc. Eles destinam-se a ajudar os clientes que já estão familiarizados com o cliente e desejam usá-lo para se conectar ao Gateway de VPN do Azure em uma configuração de VPN Ponto a Site.
Pré-requisitos
Este artigo pressupõe que você já tenha executado os seguintes pré-requisitos:
- Você criou e configurou seu gateway VPN para autenticação de certificado ponto a site e o tipo de túnel OpenVPN. Consulte Definir configurações do servidor para conexões do Gateway VPN P2S - autenticação de certificado para obter as etapas.
- Você gerou e baixou os arquivos de configuração do cliente VPN. Consulte Gerar arquivos de configuração de perfil de cliente VPN para obter as etapas.
- Você pode gerar certificados de cliente ou adquirir os certificados de cliente apropriados necessários para autenticação.
Requisitos de conexão
Para se conectar ao Azure usando o cliente OpenVPN usando autenticação de certificado, cada computador cliente conectado requer os seguintes itens:
- O software Open VPN Client deve ser instalado e configurado em cada computador cliente.
- O computador cliente deve ter um certificado de cliente instalado localmente.
Fluxo de Trabalho
O fluxo de trabalho para este artigo é:
- Gere e instale certificados de cliente, caso ainda não o tenha feito.
- Exiba os arquivos de configuração de perfil de cliente VPN contidos no pacote de configuração de perfil de cliente VPN que você gerou.
- Configure o cliente OpenVPN.
- Conecte-se ao Azure.
Gerar e instalar certificados de cliente
Para autenticação de certificado, um certificado de cliente deve ser instalado em cada computador cliente. O certificado de cliente que você deseja usar deve ser exportado com a chave privada e deve conter todos os certificados no caminho de certificação. Além disso, para algumas configurações, você também precisará instalar as informações do certificado raiz.
Em muitos casos, você pode instalar o certificado do cliente diretamente no computador cliente clicando duas vezes. No entanto, para determinadas configurações de cliente OpenVPN, talvez seja necessário extrair informações do certificado do cliente para concluir a configuração.
- Para obter informações sobre como trabalhar com certificados, consulte Point-to-site: Generate certificates.
- Para exibir um certificado de cliente instalado, abra Gerenciar certificados de usuário. O certificado do cliente é instalado em Usuário Atual\Pessoal\Certificados.
Instalar o certificado de cliente
Cada computador precisa de um certificado de cliente para autenticar. Se o certificado do cliente ainda não estiver instalado no computador local, você poderá instalá-lo usando as seguintes etapas:
- Localize o certificado do cliente. Para obter mais informações sobre certificados de cliente, consulte Instalar certificados de cliente.
- Instale o certificado do cliente. Normalmente, você pode fazer isso clicando duas vezes no arquivo de certificado e fornecendo uma senha (se necessário).
Exibir arquivos de configuração
O pacote de configuração do perfil do cliente VPN contém pastas específicas. Os arquivos dentro das pastas contêm as configurações necessárias para configurar o perfil do cliente VPN no computador cliente. Os arquivos e as configurações que eles contêm são específicos para o gateway VPN e o tipo de autenticação e túnel que seu gateway VPN está configurado para usar.
Localize e descompacte o pacote de configuração do perfil do cliente VPN que você gerou. Para autenticação de certificado e OpenVPN, você deve ver a pasta OpenVPN . Se não vir a pasta, verifique os seguintes itens:
- Verifique se seu gateway VPN está configurado para usar o tipo de túnel OpenVPN.
- Se estiver a utilizar a autenticação do Microsoft Entra, poderá não ter uma pasta OpenVPN. Consulte o artigo de configuração do Microsoft Entra ID .
Configurar o cliente
Baixe e instale o cliente OpenVPN (versão 2.4 ou superior) do site oficial do OpenVPN.
Localize o pacote de configuração de perfil de cliente VPN que você gerou e baixou para o seu computador. Extraia a embalagem. Vá para a pasta OpenVPN e abra o arquivo de configuração vpnconfig.ovpn usando o Bloco de Notas.
Em seguida, localize o certificado filho que você criou. Se você não tiver o certificado, use um dos links a seguir para conhecer as etapas de exportação do certificado. Você usará as informações do certificado na próxima etapa.
- Instruções do Gateway VPN
- Instruções da WAN virtual
Do certificado filho, extraia a chave privada e a impressão digital base64 do .pfx. Existem várias formas de o fazer. Usar OpenSSL no seu computador é uma maneira. O arquivo profileinfo.txt contém a chave privada e a impressão digital para a autoridade de certificação e o certificado do cliente. Certifique-se de usar a impressão digital do certificado do cliente.
openssl pkcs12 -in "filename.pfx" -nodes -out "profileinfo.txt"Mude para o ficheiro vpnconfig.ovpn que abriu no Bloco de Notas. Preencha a seção entre
<cert>e</cert>, obtendo os valores para$CLIENT_CERTIFICATE,$INTERMEDIATE_CERTIFICATEe$ROOT_CERTIFICATEconforme mostrado no exemplo a seguir.# P2S client certificate # please fill this field with a PEM formatted cert <cert> $CLIENT_CERTIFICATE $INTERMEDIATE_CERTIFICATE (optional) $ROOT_CERTIFICATE </cert>- Abra profileinfo.txt da etapa anterior no Bloco de Notas. Você pode identificar cada certificado observando a
subject=linha. Por exemplo, se o certificado filho for chamado P2SChildCert, o certificado do cliente ficará atrás dosubject=CN = P2SChildCertatributo. - Para cada certificado na cadeia, copie o texto (incluindo e entre) "-----BEGIN CERTIFICATE-----" e "-----END CERTIFICATE-----".
- Inclua apenas um
$INTERMEDIATE_CERTIFICATEvalor se tiver um certificado intermédio no ficheiro profileinfo.txt .
- Abra profileinfo.txt da etapa anterior no Bloco de Notas. Você pode identificar cada certificado observando a
Abra o profileinfo.txt no Bloco de Notas. Para obter a chave privada, selecione o texto (incluindo e entre) "-----BEGIN PRIVATE KEY-----" e "-----END PRIVATE KEY-----" e copie-o.
Volte para o arquivo vpnconfig.ovpn no Bloco de Notas e encontre esta seção. Cole a chave privada substituindo tudo entre e
<key>e</key>.# P2S client root certificate private key # please fill this field with a PEM formatted key <key> $PRIVATEKEY </key>Se você estiver usando a versão 2.6 do cliente OpenVPN, adicione a opção "disable-dco" ao perfil. Esta opção não parece ser compatível com versões anteriores, por isso só deve ser adicionada à versão 2.6 do cliente OpenVPN.
Não altere nenhum outro campo. Utilize a configuração preenchida na entrada de cliente para ligar à VPN.
Copie o ficheiro vpnconfig.ovpn para a pasta C:\Program Files\OpenVPN\config.
Clique com o botão direito do mouse no ícone OpenVPN na bandeja do sistema e clique em Conectar.
Próximos passos
Acompanhe com qualquer servidor adicional ou configurações de conexão. Consulte Etapas de configuração ponto a site.