Configurar clientes P2S de VPN do Utilizador – autenticação de certificados – macOS e iOS

  • Artigo

Este artigo ajuda-o a ligar-se ao Azure WAN Virtual a partir de um sistema operativo macOS ou iOS através da P2S de VPN do Utilizador para configurações que utilizam a Autenticação de Certificados. Para ligar a partir de um sistema operativo iOS ou macOS através de um túnel OpenVPN, utilize um cliente OpenVPN. Para ligar a partir de um sistema operativo macOS através de um túnel IKEv2, utilize o cliente VPN que está instalado nativamente no seu Mac.

Antes de começar

  • Certifique-se de que concluiu os passos de configuração necessários no Tutorial: Criar uma ligação VPN de Utilizador P2S com o Azure WAN Virtual.

  • Gerar ficheiros de configuração de cliente VPN: Os ficheiros de configuração do cliente VPN que gera são específicos do perfil de VPN de Utilizador WAN Virtual que transferir. WAN Virtual tem dois tipos diferentes de perfis de configuração: ao nível da WAN (global) e ao nível do hub. Se existirem alterações à configuração da VPN P2S depois de gerar os ficheiros ou se alterar para um tipo de perfil diferente, terá de gerar novos ficheiros de configuração de cliente VPN e aplicar a nova configuração a todos os clientes VPN que pretende ligar. Veja Gerar ficheiros de configuração de cliente VPN do Utilizador.

  • Obter certificados: As secções abaixo requerem certificados. Certifique-se de que tem o certificado de cliente e as informações do certificado do servidor de raiz. Para obter mais informações, veja Gerar e exportar certificados para obter mais informações.

IKEv2 – cliente nativo – passos do macOS

Depois de gerar e transferir o pacote de configuração do cliente VPN, deszipe-o para ver as pastas. Quando configura clientes nativos do macOS, utiliza os ficheiros na pasta Genérico . A pasta Genérico está presente se o IKEv2 tiver sido configurado no gateway. Pode encontrar todas as informações necessárias para configurar o cliente VPN nativo na pasta Genérico . Se não vir a pasta Genérico, certifique-se de que o IKEv2 é um dos tipos de túnel e, em seguida, transfira novamente o pacote de configuração.

A pasta Generic contém os seguintes ficheiros.

  • VpnSettings.xml, que contém definições importantes, como o endereço do servidor e o tipo de túnel.
  • VpnServerRoot.cer, que contém o certificado de raiz necessário para validar o gateway de VPN do Azure durante a configuração da ligação P2S.

Utilize os seguintes passos para configurar o cliente VPN nativo no Mac para autenticação de certificados. Estes passos têm de ser concluídos em todos os Mac que pretende ligar ao Azure.

Instalar certificados

Certificado de raiz

  1. Copie para o ficheiro de certificado de raiz - VpnServerRoot.cer - para o seu Mac. Faça duplo clique no certificado. Dependendo do seu sistema operativo, o certificado será instalado automaticamente ou verá a página Adicionar Certificados .
  2. Se vir a página Adicionar Certificados , em Keychain: clique nas setas e selecione iniciar sessão no menu pendente.
  3. Clique em Adicionar para importar o ficheiro.

Certificado de cliente

O certificado de cliente é utilizado para autenticação e é necessário. Normalmente, basta clicar no certificado de cliente para instalar. Para obter mais informações sobre como instalar um certificado de cliente, veja Instalar um certificado de cliente.

Verificar a instalação do certificado

Verifique se o cliente e o certificado de raiz estão instalados.

  1. Abra o Acesso a Porta-chaves.
  2. Aceda ao separador Certificados .
  3. Verifique se o cliente e o certificado de raiz estão instalados.

Configurar o perfil de cliente VPN

  1. Aceda a Preferências do Sistema –> Rede. Na página Rede, clique em '+' para criar um novo perfil de ligação de cliente VPN para uma ligação P2S à rede virtual do Azure.

    Captura de ecrã a mostrar a janela Rede para clicar no sinal de adição.

  2. Na página Selecionar a interface , clique nas setas junto a Interface:. Na lista pendente, clique em VPN.

    Captura de ecrã a mostrar a janela Rede com a opção para selecionar uma interface, a VPN está selecionada.

  3. Para Tipo de VPN, na lista pendente, clique em IKEv2. No campo Nome do Serviço , especifique um nome amigável para o perfil e, em seguida, clique em Criar.

    Captura de ecrã a mostrar a janela Rede com a opção para selecionar uma interface, selecionar o tipo de VPN e introduzir um nome de serviço.

  4. Aceda ao perfil de cliente VPN que transferiu. Na pasta Genérico , abra o ficheiro VpnSettings.xml com um editor de texto. No exemplo, pode ver que este perfil de cliente VPN se liga a um perfil de VPN de Utilizador ao nível da WAN e que os VpnTypes são IKEv2 e OpenVPN. Apesar de existirem dois tipos de VPN listados, este cliente VPN ligar-se-á através de IKEv2. Copie o valor da etiqueta VpnServer .

    Captura de ecrã a mostrar o ficheiro VpnSettings.xml aberto com a etiqueta VpnServer realçada.

  5. Cole o valor da etiqueta VpnServer nos campos Endereço do Servidor e ID Remoto do perfil. Deixe o ID Local em branco. Em seguida, clique em Definições de Autenticação....

    Captura de ecrã a mostrar as informações do servidor coladas nos campos.

Configurar definições de autenticação

Big Sur e posterior

  1. Na página Definições de Autenticação , no campo Definições de autenticação, clique nas setas para selecionar Certificado.

    Captura de ecrã a mostrar as definições de autenticação com o certificado selecionado.

  2. Clique em Selecionar para abrir a página Escolher Uma Identidade .

    Captura de ecrã a clicar em Selecionar.

  3. A página Escolher Uma Identidade apresenta uma lista de certificados que pode escolher. Se não tiver a certeza de qual o certificado a utilizar, pode selecionar Mostrar Certificado para ver mais informações sobre cada certificado. Clique no certificado adequado e, em seguida, clique em Continuar.

    Captura de ecrã a mostrar as propriedades do certificado.

  4. Na página Definições de Autenticação , verifique se é apresentado o certificado correto e, em seguida, clique em OK.

    Captura de ecrã a mostrar a caixa de diálogo Escolher Uma Identidade, onde pode selecionar o certificado adequado.

Catalina

Se estiver a utilizar a Catalina, utilize estes passos de definições de autenticação:

  1. Para Definições de Autenticação , selecione Nenhuma.

  2. Clique em Certificado, clique em Selecionar e clique no certificado de cliente correto que instalou anteriormente. Em seguida, clique em OK.

Especificar certificado

  1. No campo ID Local , especifique o nome do certificado. Neste exemplo, é P2SChildCertMac.

    Captura de ecrã a mostrar o valor do ID local.

  2. Clique em Aplicar para guardar todas as alterações.

Ligar

  1. Clique em Ligar para iniciar a ligação P2S à rede virtual do Azure. Poderá ter de introduzir a sua palavra-passe de porta-chaves de "início de sessão".

    Captura de ecrã a mostrar o botão Ligar.

  2. Assim que a ligação for estabelecida, o estado é apresentado como Ligado e pode ver o endereço IP que foi extraído do conjunto de endereços de cliente VPN.

    Captura de ecrã a mostrar Ligado.

Cliente OpenVPN – passos do macOS

O exemplo seguinte utiliza TunnelBlick.

Importante

Apenas o MacOS 10.13 e posterior é suportado com o protocolo OpenVPN.

Nota

A versão 2.6 do Cliente OpenVPN ainda não é suportada.

  1. Transfira e instale um cliente OpenVPN, como TunnelBlick.

  2. Se ainda não o fez, transfira o pacote de perfil de cliente VPN a partir do portal do Azure.

  3. Deszipe o perfil. Abra o ficheiro de configuração vpnconfig.ovpn a partir da pasta OpenVPN num editor de texto.

  4. Preencha a secção de certificado de cliente P2S com a chave pública do certificado de cliente P2S em base64. Num certificado formatado PEM, pode abrir o ficheiro .cer e copiar através da chave base64 entre os cabeçalhos de certificado.

  5. Preencha a secção de chave privada com a chave privada do certificado cliente P2S em base64. Consulte Exportar a sua chave privada no site OpenVPN para obter informações sobre como extrair uma chave privada.

  6. Não altere outros campos. Utilize a configuração preenchida na entrada de cliente para ligar à VPN.

  7. Faça duplo clique no ficheiro de perfil para criar o perfil em Tunnelblick.

  8. Inicie o Tunnelblick a partir da pasta aplicações.

  9. Clique no ícone Tunnelblick no tabuleiro do sistema e selecione ligar.

Cliente OpenVPN – passos para iOS

O exemplo seguinte utiliza o OpenVPN Connect a partir da App Store.

Importante

Apenas o iOS 11.0 e posterior é suportado com o protocolo OpenVPN.

Nota

A versão 2.6 do Cliente OpenVPN ainda não é suportada.

  1. Instale o cliente OpenVPN (versão 2.4 ou superior) a partir da App Store. A versão 2.6 ainda não é suportada.

  2. Se ainda não o fez, transfira o pacote de perfil de cliente VPN a partir do portal do Azure.

  3. Deszipe o perfil. Abra o ficheiro de configuração vpnconfig.ovpn a partir da pasta OpenVPN num editor de texto.

  4. Preencha a secção de certificado de cliente P2S com a chave pública do certificado de cliente P2S em base64. Num certificado formatado PEM, pode abrir o ficheiro .cer e copiar através da chave base64 entre os cabeçalhos de certificado.

  5. Preencha a secção de chave privada com a chave privada do certificado cliente P2S em base64. Consulte Exportar a sua chave privada no site OpenVPN para obter informações sobre como extrair uma chave privada.

  6. Não altere outros campos.

  7. Envie por e-mail o ficheiro de perfil (.ovpn) para a sua conta de e-mail que está configurada na aplicação de correio no seu iPhone.

  8. Abra o e-mail na aplicação de correio no iPhone e toque no ficheiro anexado.

    Captura de ecrã a mostrar a mensagem pronta a ser enviada.

  9. Toque em Mais se não vir a opção Copiar para OpenVPN .

    Captura de ecrã a mostrar para tocar mais.

  10. Toque em Copiar para OpenVPN.

    Captura de ecrã a mostrar para copiar para OpenVPN.

  11. Toque em ADICIONAR na página Importar Perfil

    Captura de ecrã a mostrar o perfil Importar.

  12. Toque em ADICIONAR na página Perfil Importado

    Captura de ecrã a mostrar o Perfil Importado.

  13. Inicie a aplicação OpenVPN e deslize o comutador na página Perfil para ligar

    Captura de ecrã a mostrar o diapositivo a ligar.

Passos seguintes

Tutorial: Criar uma ligação VPN de Utilizador P2S com o Azure WAN Virtual.