Configurar clientes VPN ponto a site: autenticação de certificados - Linux

Artigo
05/04/2023

Este artigo ajuda-o a ligar-se à sua rede virtual (VNet) do Azure com Gateway de VPN autenticação ponto a site (P2S) e Certificado a partir de um cliente Linux. Existem vários conjuntos de passos neste artigo, consoante o tipo de túnel que selecionou para a configuração P2S, o sistema operativo e o cliente VPN que é utilizado para ligar.

Antes de começar

Antes de começar, verifique se está no artigo correto. A tabela seguinte mostra os artigos de configuração disponíveis para clientes VPN P2S do Azure Gateway de VPN. Os passos diferem consoante o tipo de autenticação, o tipo de túnel e o SO cliente.

Autenticação	Tipo de túnel	Artigo HowTo
Certificado do Azure	IKEv2, OpenVPN, SSTP	Windows
Certificado do Azure	IKEv2, OpenVPN	macOS-iOS
Certificado do Azure	IKEv2, OpenVPN	Linux
Azure AD	OpenVPN (SSL)	Windows
Azure AD	OpenVPN (SSL)	macOS
RADIUS - certificado	-	Artigo
RADIUS - palavra-passe	-	Artigo
RADIUS - outros métodos	-	Artigo

Importante

A partir de 1 de julho de 2018, o suporte será removido para o TLS 1.0 e 1.1 do Gateway de VPN do Azure. O Gateway de VPN irá suportar apenas o TLS 1.2. Apenas as ligações ponto a site são afetadas; as ligações site a site não serão afetadas. Se estiver a utilizar o TLS para VPNs ponto a site em clientes Windows 10 ou posteriores, não precisa de efetuar nenhuma ação. Se estiver a utilizar o TLS para ligações ponto a site em clientes windows 7 e Windows 8, consulte as FAQ do Gateway de VPN para obter instruções de atualização.

Gerar certificados

Para autenticação de certificados, tem de ser instalado um certificado de cliente em cada computador cliente. O certificado de cliente que pretende utilizar tem de ser exportado com a chave privada e tem de conter todos os certificados no caminho de certificação. Além disso, para algumas configurações, também terá de instalar as informações do certificado de raiz.

Para obter informações sobre como trabalhar com certificados, veja Ponto a site: Gerar certificados.

Gerar ficheiros de configuração de cliente VPN

Todas as definições de configuração necessárias para os clientes VPN estão contidas num ficheiro zip de configuração do perfil de cliente VPN. Os ficheiros de configuração do perfil de cliente VPN gerados são específicos da configuração do gateway de VPN P2S para a rede virtual. Se existirem alterações à configuração da VPN P2S depois de gerar os ficheiros, como alterações ao tipo de protocolo VPN ou tipo de autenticação, terá de gerar novos ficheiros de configuração do perfil de cliente VPN e aplicar a nova configuração a todos os clientes VPN que pretende ligar. Para obter mais informações sobre ligações P2S, veja Acerca da VPN ponto a site.

Para gerar ficheiros de configuração com o portal do Azure:

No portal do Azure, aceda ao gateway de rede virtual da rede virtual à qual pretende ligar.
Na página do gateway de rede virtual, selecione Configuração ponto a site para abrir a página de configuração Ponto a site.
Na parte superior da página configuração Ponto a site , selecione Transferir cliente VPN. Isto não transfere o software de cliente VPN, gera o pacote de configuração utilizado para configurar clientes VPN. O pacote de configuração do cliente demora alguns minutos a ser gerado. Durante este período, poderá não ver quaisquer indicações até que o pacote tenha sido gerado.
Assim que o pacote de configuração tiver sido gerado, o browser indica que está disponível um ficheiro zip de configuração de cliente. Tem o mesmo nome que o gateway. Deszipe o ficheiro para ver as pastas.

Em seguida, configure o cliente VPN. Selecione uma das seguintes instruções:

Passos do tipo de túnel IKEv2 para strongSwan
Passos do tipo de túnel OpenVPN para o cliente OpenVPN

IKEv2 – passos strongSwan

Instalar strongSwan

A seguinte configuração foi utilizada para os passos abaixo:

Computador: Ubuntu Server 18.04
Dependências: strongSwan

Utilize os seguintes comandos para instalar a configuração strongSwan necessária:

sudo apt-get update

sudo apt-get upgrade

sudo apt install strongswan

sudo apt install strongswan-pki

sudo apt install libstrongswan-extra-plugins

Instalar certificados

É necessário um certificado de cliente para autenticação ao utilizar o tipo de autenticação de certificado do Azure. Tem de ser instalado um certificado de cliente em cada computador cliente. O certificado de cliente exportado tem de ser exportado com a chave privada e tem de conter todos os certificados no caminho de certificação. Certifique-se de que o computador cliente tem o certificado de cliente adequado instalado antes de avançar para a secção seguinte.

Para obter informações sobre certificados de cliente, veja Gerar certificados - Linux.

Ver ficheiros de perfil de cliente VPN

Aceda aos ficheiros de configuração do perfil de cliente VPN transferidos. Pode encontrar todas as informações necessárias para a configuração na pasta Genérico . O Azure não fornece um ficheiro mobileconfig para esta configuração.

Se não vir a pasta Genérico, verifique os seguintes itens e, em seguida, gere novamente o ficheiro zip.

Verifique o tipo de túnel da configuração. É provável que o IKEv2 não tenha sido selecionado como um tipo de túnel.
No gateway de VPN, verifique se o SKU não é Básico. O SKU Gateway de VPN Básico não suporta IKEv2. Em seguida, selecione IKEv2 e gere novamente o ficheiro zip para obter a pasta Generic.

A pasta Generic contém os seguintes ficheiros:

VpnSettings.xml, que contém definições importantes, como o endereço do servidor e o tipo de túnel.
VpnServerRoot.cer, que contém o certificado de raiz necessário para validar o gateway de VPN do Azure durante a configuração da ligação P2S.

Depois de ver os ficheiros, continue com os passos que pretende utilizar:

Passos gui
Passos da CLI

passos da GUI strongSwan

Esta secção orienta-o ao longo da configuração com a GUI strongSwan. As seguintes instruções foram criadas no Ubuntu 18.0.4. O Ubuntu 16.0.10 não suporta a GUI strongSwan. Se quiser utilizar o Ubuntu 16.0.10, terá de utilizar a linha de comandos. Os exemplos seguintes podem não corresponder aos ecrãs que vê, consoante a sua versão do Linux e strongSwan.

Abra o Terminal para instalar o strongSwan e o respetivo Gestor de Rede ao executar o comando no exemplo.
```
sudo apt install network-manager-strongswan
```
Selecione Definições e, em seguida, selecione Rede. Selecione o + botão para criar uma nova ligação.
Selecione IPsec/IKEv2 (strongSwan) no menu e faça duplo clique.
Na página Adicionar VPN , adicione um nome para a sua ligação VPN.
Abra o ficheiro VpnSettings.xml a partir da pasta Generic contida nos ficheiros de configuração do perfil de cliente VPN transferidos. Localize a etiqueta denominada VpnServer e copie o nome, começando com "azuregateway" e terminando com ".cloudapp.net".
Cole o nome no campo Endereço da nova ligação VPN na secção Gateway . Em seguida, selecione o ícone de pasta no final do campo Certificado , navegue até à pasta Genérico e selecione o ficheiro VpnServerRoot .
Na secção Cliente da ligação, para Autenticação, selecione Certificado/chave privada. Para Certificado e Chave privada, escolha o certificado e a chave privada que foram criadas anteriormente. Em Opções, selecione Pedir um endereço IP interno. Em seguida, selecione Adicionar.
Ativar a ligação.

passos da CLI strongSwan

Esta secção explica-lhe a configuração com a CLI strongSwan.

A partir dos ficheiros de configuração do perfil de cliente VPN, copie ou mova o VpnServerRoot.cer para /etc/ipsec.d/cacerts.
Copie ou mova o ficheiro p12 que gerou para /etc/ipsec.d/private/. Este ficheiro é o certificado de cliente do gateway de VPN. Utilize o seguinte comando:
```
sudo cp "${USERNAME}.p12"  /etc/ipsec.d/private/
```
Execute o seguinte comando para tomar nota do seu nome de anfitrião. Irá utilizar este valor no próximo passo.
```
hostnamectl --static
```
Abra o ficheiro VpnSettings.xml e copie o <VpnServer> valor. Irá utilizar este valor no próximo passo.

Ajuste os valores no exemplo seguinte e, em seguida, adicione o exemplo à configuração /etc/ipsec.conf .

conn azure
      keyexchange=ikev2
      type=tunnel
      leftfirewall=yes
      left=%any
      leftauth=eap-tls
      leftid=%client # use the hostname of your machine with % character prepended. Example: %client
      right= #Azure VPN gateway address. Example: azuregateway-xxx-xxx.vpn.azure.com
      rightid=% #Azure VPN gateway FQDN with % character prepended. Example: %azuregateway-xxx-xxx.vpn.azure.com
      rightsubnet=0.0.0.0/0
      leftsourceip=%config
      auto=add

Adicione os valores secretos a /etc/ipsec.secrets.

O nome do ficheiro p.12 tem de corresponder ao que utilizou anteriormente. A palavra-passe também tem de corresponder à palavra-passe escolhida ao gerar os certificados.

Este é um comando de exemplo para executar num computador que o nome do anfitrião é "cliente" e a palavra-passe do certificado é "palavra-passe"
```
: P12 client.p12 'password' # key filename inside /etc/ipsec.d/private directory
```
Por fim, execute os seguintes comandos:
```
sudo ipsec restart
sudo ipsec up azure
```

Passos openVPN

Esta secção ajuda-o a configurar clientes Linux para autenticação de certificados que utiliza o tipo de túnel OpenVPN. Para ligar ao Azure, transfira o cliente OpenVPN e configure o perfil de ligação.

Nota

A versão 2.6 do Cliente OpenVPN ainda não é suportada.

Abra uma nova sessão de Terminal. Pode abrir uma nova sessão ao premir "Ctrl + Alt + t" ao mesmo tempo.

Introduza o seguinte comando para instalar os componentes necessários:

sudo apt-get install openvpn
sudo apt-get -y install network-manager-openvpn
sudo service network-manager restart

Em seguida, aceda à pasta perfil de cliente VPN e deszipe para ver os ficheiros.
Exporte o certificado de cliente P2S que criou e carregou para a configuração P2S no gateway. Para obter os passos, consulte Gateway de VPN ponto a site.
Extraia a chave privada e o thumbprint base64 do .pfx. Existem múltiplas formas de efetuar este procedimento. A utilização do OpenSSL no seu computador é unidirecional.
```
openssl pkcs12 -in "filename.pfx" -nodes -out "profileinfo.txt"
```
O ficheiro profileinfo.txt irá conter a chave privada e o thumbprint da AC e o certificado de Cliente. Certifique-se de que utiliza o thumbprint do certificado de cliente.
Abra profileinfo.txt num editor de texto. Para obter o thumbprint do certificado de cliente (subordinado), selecione o texto incluindo e entre "-----BEGIN CERTIFICATE-----" e "-----END CERTIFICATE-----" para o certificado subordinado e copie-o. Pode identificar o certificado subordinado ao observar a linha subject=/.

Abra o ficheiro vpnconfig.ovpn e localize a secção apresentada abaixo. Substitua tudo entre "cert" e "/cert".

# P2S client certificate
# please fill this field with a PEM formatted cert
<cert>
$CLIENTCERTIFICATE
</cert>

Abra o profileinfo.txt num editor de texto. Para obter a chave privada, selecione o texto incluindo e entre "-----BEGIN PRIVATE KEY-----" e "-----END PRIVATE KEY-----" e copie-o.
Abra o ficheiro vpnconfig.ovpn num editor de texto e localize esta secção. Cole a chave privada substituindo tudo entre "chave" e "/key".
```
# P2S client root certificate private key
# please fill this field with a PEM formatted key
<key>
$PRIVATEKEY
</key>
```
Não altere outros campos. Utilize a configuração preenchida na entrada de cliente para ligar à VPN.

Para ligar com a linha de comandos, escreva o seguinte comando:

sudo openvpn --config <name and path of your VPN profile file>&

Para ligar através da GUI, aceda às definições do sistema.
Clique + para adicionar uma nova ligação VPN.
Em Adicionar VPN, selecione Importar do ficheiro....
Navegue para o ficheiro de perfil e faça duplo clique ou escolha Abrir.
Clique em Adicionar na janela Adicionar VPN .
Pode ligar ao ativar a VPN na página Definições de Rede ou sob o ícone de rede no tabuleiro do sistema.

Passos seguintes

Para obter passos adicionais, regresse ao artigo ponto a site original a partir do qual estava a trabalhar.