Configurar clientes VPN ponto a site: autenticação de certificado - Linux
Este artigo ajuda você a se conectar à sua rede virtual do Azure (VNet) usando o Gateway VPN ponto a site (P2S) e a autenticação de certificado de um cliente Linux. Há vários conjuntos de etapas neste artigo, dependendo do tipo de túnel selecionado para sua configuração P2S, do sistema operacional e do cliente VPN usado para se conectar.
Antes de começar
Antes de começar, verifique se você está no artigo correto. A tabela a seguir mostra os artigos de configuração disponíveis para clientes VPN P2S do Gateway de VPN do Azure. As etapas são diferentes, dependendo do tipo de autenticação, do tipo de túnel e do sistema operacional cliente.
Autenticação | Tipo de túnel | Gerar arquivos de configuração | Configurar cliente VPN |
---|---|---|---|
Certificado do Azure | IKEv2, SSTP | Windows | Cliente VPN nativo |
Certificado do Azure | OpenVPN | Windows | - Cliente OpenVPN - Cliente VPN do Azure |
Certificado do Azure | IKEv2, OpenVPN | macOS-iOS | macOS-iOS |
Certificado do Azure | IKEv2, OpenVPN | Linux | Linux |
Microsoft Entra ID | OpenVPN (SSL) | Windows | Windows |
Microsoft Entra ID | OpenVPN (SSL) | macOS | macOS |
RADIUS - certificado | - | Artigo | Artigo |
RADIUS - palavra-passe | - | Artigo | Artigo |
RADIUS - outros métodos | - | Artigo | Artigo |
Importante
A partir de 1 de julho de 2018, o suporte será removido para o TLS 1.0 e 1.1 do Gateway de VPN do Azure. O Gateway de VPN irá suportar apenas o TLS 1.2. Apenas as conexões ponto-a-site são afetadas; As conexões site a site não serão afetadas. Se você estiver usando TLS para VPNs ponto a site em clientes Windows 10 ou posteriores, não precisará tomar nenhuma ação. Se você estiver usando TLS para conexões ponto a site em clientes Windows 7 e Windows 8, consulte as Perguntas frequentes sobre o Gateway VPN para obter instruções de atualização.
Gerar certificados
Para autenticação de certificado, um certificado de cliente deve ser instalado em cada computador cliente. O certificado de cliente que você deseja usar deve ser exportado com a chave privada e deve conter todos os certificados no caminho de certificação. Além disso, para algumas configurações, você também precisará instalar as informações do certificado raiz.
Para obter informações sobre como trabalhar com certificados, consulte Point-to-site: Generate certificates.
Gerar arquivos de configuração do cliente VPN
Todas as definições de configuração necessárias para os clientes VPN estão contidas em um arquivo zip de configuração de perfil de cliente VPN. Os arquivos de configuração de perfil de cliente VPN que você gera são específicos para a configuração do gateway VPN P2S para a rede virtual. Se houver alguma alteração na configuração da VPN P2S depois de gerar os arquivos, como alterações no tipo de protocolo VPN ou no tipo de autenticação, você precisará gerar novos arquivos de configuração de perfil de cliente VPN e aplicar a nova configuração a todos os clientes VPN que deseja conectar. Para obter mais informações sobre conexões P2S, consulte Sobre VPN ponto a site.
Para gerar arquivos de configuração usando o portal do Azure:
No portal do Azure, vá para o gateway de rede virtual da rede virtual à qual você deseja se conectar.
Na página de gateway de rede virtual, selecione Configuração ponto a site para abrir a página Configuração ponto a site.
Na parte superior da página de configuração Ponto a Site, selecione Baixar cliente VPN. Isso não baixa o software do cliente VPN, ele gera o pacote de configuração usado para configurar clientes VPN. Leva alguns minutos para o pacote de configuração do cliente gerar. Durante esse tempo, você pode não ver nenhuma indicação até que o pacote gere.
Depois que o pacote de configuração é gerado, seu navegador indica que um arquivo zip de configuração do cliente está disponível. Tem o mesmo nome que o seu gateway.
Descompacte o arquivo para visualizar as pastas. Você usará alguns ou todos esses arquivos para configurar seu cliente VPN. Os arquivos gerados correspondem às configurações de autenticação e tipo de túnel que você configurou no servidor P2S.
Em seguida, configure o cliente VPN. Selecione uma das seguintes instruções:
- Passos do tipo túnel IKEv2 para strongSwan
- Etapas do tipo de túnel OpenVPN para o cliente OpenVPN
IKEv2 - passos fortesSwan
Instale strongSwan
A seguinte configuração foi usada ao especificar comandos:
- Computador: Ubuntu Server 18.04
- Dependências: strongSwan
Use os seguintes comandos para instalar a configuração strongSwan necessária:
sudo apt-get update
sudo apt-get upgrade
sudo apt install strongswan
sudo apt install strongswan-pki
sudo apt install libstrongswan-extra-plugins
sudo apt install libtss2-tcti-tabrmd0
Instalar certificados
Um certificado de cliente é necessário para autenticação ao usar o tipo de autenticação de certificado do Azure. Um certificado de cliente deve ser instalado em cada computador cliente. O certificado de cliente exportado deve ser exportado com a chave privada e deve conter todos os certificados no caminho de certificação. Certifique-se de que o computador cliente tem o certificado de cliente apropriado instalado antes de prosseguir para a próxima seção.
Para obter informações sobre certificados de cliente, consulte Gerar certificados - Linux.
Visualizar arquivos de perfil de cliente VPN
Vá para os arquivos de configuração do perfil do cliente VPN baixados. Você pode encontrar todas as informações necessárias para a configuração na pasta Genérico . O Azure não fornece um arquivo mobileconfig para essa configuração.
Se você não vir a pasta Genérico, verifique os seguintes itens e gere o arquivo zip novamente.
- Verifique o tipo de túnel para a sua configuração. É provável que o IKEv2 não tenha sido selecionado como um tipo de túnel.
- No gateway VPN, verifique se a SKU não é Básica. O VPN Gateway Basic SKU não suporta IKEv2. Em seguida, selecione IKEv2 e gere o arquivo zip novamente para recuperar a pasta Genérico.
A pasta Generic contém os seguintes ficheiros:
- VpnSettings.xml, que contém configurações importantes, como endereço do servidor e tipo de túnel.
- VpnServerRoot.cer, que contém o certificado raiz necessário para validar o gateway de VPN do Azure durante a configuração da conexão P2S.
Depois de visualizar os ficheiros, continue com os passos que pretende utilizar:
passos de GUI strongSwan
Esta seção orienta você pela configuração usando a GUI strongSwan. As seguintes instruções foram criadas no Ubuntu 18.0.4. Ubuntu 16.0.10 não suporta strongSwan GUI. Se você quiser usar o Ubuntu 16.0.10, você terá que usar a linha de comando. Os exemplos a seguir podem não corresponder às telas que você vê, dependendo da sua versão do Linux e strongSwan.
Abra o Terminal para instalar strongSwan e seu Network Manager executando o comando no exemplo.
sudo apt install network-manager-strongswan
Selecione Configurações e, em seguida, selecione Rede. Selecione o + botão para criar uma nova conexão.
Selecione IPsec/IKEv2 (strongSwan) no menu e clique duas vezes.
Na página Adicionar VPN, adicione um nome para sua conexão VPN.
Abra o arquivo VpnSettings.xml da pasta Generic contida nos arquivos de configuração do perfil do cliente VPN baixados. Encontre a tag chamada VpnServer e copie o nome, começando com 'azuregateway' e terminando com '.cloudapp.net'.
Cole o nome no campo Endereço da sua nova conexão VPN na seção Gateway . Em seguida, selecione o ícone de pasta no final do campo Certificado , navegue até a pasta Genérico e selecione o arquivo VpnServerRoot .
Na seção Cliente da conexão, para Autenticação, selecione Certificado/chave privada. Em Certificado e Chave privada, escolha o certificado e a chave privada criados anteriormente. Em Opções, selecione Solicitar um endereço IP interno. Em seguida, selecione Adicionar.
Ligue a ligação.
passos strongSwan CLI
Esta seção orienta você pela configuração usando a CLI strongSwan.
Na pasta Generic dos arquivos de configuração do perfil do cliente VPN, copie ou mova o VpnServerRoot.cer para /etc/ipsec.d/cacerts.
Copie ou mova os arquivos gerados para /etc/ipsec.d/certs e /etc/ipsec.d/private/ respectivamente. Esses arquivos são o certificado do cliente e a chave privada, eles precisam estar localizados em seus diretórios correspondentes. Use os seguintes comandos:
sudo cp ${USERNAME}Cert.pem /etc/ipsec.d/certs/ sudo cp ${USERNAME}Key.pem /etc/ipsec.d/private/ sudo chmod -R go-rwx /etc/ipsec.d/private /etc/ipsec.d/certs
Execute o seguinte comando para anotar seu nome de host. Você usará esse valor na próxima etapa.
hostnamectl --static
Abra o arquivo VpnSettings.xml e copie o
<VpnServer>
valor. Você usará esse valor na próxima etapa.Ajuste os valores no exemplo a seguir e adicione o exemplo à configuração /etc/ipsec.conf .
conn azure keyexchange=ikev2 type=tunnel leftfirewall=yes left=%any # Replace ${USERNAME}Cert.pem with the key filename inside /etc/ipsec.d/certs directory. leftcert=${USERNAME}Cert.pem leftauth=pubkey leftid=%client # use the hostname of your machine with % character prepended. Example: %client right= #Azure VPN gateway address. Example: azuregateway-xxx-xxx.vpn.azure.com rightid=% #Azure VPN gateway FQDN with % character prepended. Example: %azuregateway-xxx-xxx.vpn.azure.com rightsubnet=0.0.0.0/0 leftsourceip=%config auto=add esp=aes256gcm16
Adicione os valores secretos a /etc/ipsec.secrets.
O nome do arquivo PEM deve corresponder ao que você usou anteriormente como seu arquivo de chave de cliente.
: RSA ${USERNAME}Key.pem # Replace ${USERNAME}Key.pem with the key filename inside /etc/ipsec.d/private directory.
Finalmente, execute os seguintes comandos:
sudo ipsec restart sudo ipsec up azure
Etapas do OpenVPN
Esta seção ajuda você a configurar clientes Linux para autenticação de certificado que usa o tipo de túnel OpenVPN. Para se conectar ao Azure, baixe o cliente OpenVPN e configure o perfil de conexão.
Nota
A versão 2.6 do OpenVPN Client ainda não é suportada.
Abra uma nova sessão do Terminal. Você pode abrir uma nova sessão pressionando 'Ctrl + Alt + t' ao mesmo tempo.
Digite o seguinte comando para instalar os componentes necessários:
sudo apt-get install openvpn sudo apt-get -y install network-manager-openvpn sudo service network-manager restart
Em seguida, vá para a pasta de perfil do cliente VPN e descompacte para visualizar os arquivos.
Exporte o certificado de cliente P2S que você criou e carregou para sua configuração P2S no gateway. Para conhecer as etapas, consulte Gateway de VPN ponto a site.
Extraia a chave privada e a impressão digital base64 do .pfx. Existem várias formas de o fazer. Usar OpenSSL no seu computador é uma maneira.
openssl pkcs12 -in "filename.pfx" -nodes -out "profileinfo.txt"
O arquivo profileinfo.txt conterá a chave privada e a impressão digital da autoridade de certificação e o certificado do cliente. Certifique-se de usar a impressão digital do certificado do cliente.
Abra profileinfo.txt em um editor de texto. Para obter a impressão digital do certificado do cliente (filho), selecione o texto incluindo e entre "-----BEGIN CERTIFICATE-----" e "-----END CERTIFICATE-----" para o certificado filho e copie-o. Você pode identificar o certificado de criança observando a linha subject=/.
Abra o arquivo vpnconfig.ovpn e encontre a seção mostrada abaixo. Substitua tudo entre "cert" e "/cert".
# P2S client certificate # please fill this field with a PEM formatted cert <cert> $CLIENTCERTIFICATE </cert>
Abra o profileinfo.txt em um editor de texto. Para obter a chave privada, selecione o texto incluindo e entre "-----BEGIN PRIVATE KEY-----" e "-----END PRIVATE KEY-----" e copie-o.
Abra o arquivo vpnconfig.ovpn em um editor de texto e localize esta seção. Cole a chave privada substituindo tudo entre "key" e "/key".
# P2S client root certificate private key # please fill this field with a PEM formatted key <key> $PRIVATEKEY </key>
Não altere nenhum outro campo. Utilize a configuração preenchida na entrada de cliente para ligar à VPN.
Para se conectar usando a linha de comando, digite o seguinte comando:
sudo openvpn --config <name and path of your VPN profile file>&
Para desconectar usando a linha de comando, digite o seguinte comando:
sudo pkill openvpn
Para se conectar usando a GUI, vá para as configurações do sistema.
Selecione + para adicionar uma nova conexão VPN.
Em Adicionar VPN, selecione Importar do arquivo....
Navegue até o arquivo de perfil e clique duas vezes ou selecione Abrir.
Selecione Adicionar na janela Adicionar VPN .
Você pode se conectar ativando a VPN na página Configurações de Rede ou sob o ícone de rede na bandeja do sistema.
Próximos passos
Para etapas adicionais, retorne ao artigo original ponto a site no qual você estava trabalhando.
- Etapas do portal do Azure P2S.
- Etapas do PowerShell P2S.