Configurar clientes VPN ponto a site: autenticação de certificado - macOS e iOS

  • Artigo

Este artigo ajuda você a se conectar à sua rede virtual do Azure (VNet) usando o Gateway VPN ponto a site (P2S) e a autenticação de certificado. Há vários conjuntos de etapas neste artigo, dependendo do tipo de túnel selecionado para sua configuração P2S, do sistema operacional e do cliente VPN usado para se conectar.

Observe o seguinte ao trabalhar com autenticação de certificado:

  • Para o tipo de túnel IKEv2, você pode se conectar usando o cliente VPN instalado nativamente no sistema macOS.

  • Para o tipo de túnel OpenVPN, você pode usar um cliente OpenVPN.

  • O Cliente VPN do Azure não está disponível para macOS e iOS ao usar a autenticação de certificado, mesmo que você tenha selecionado o tipo de túnel OpenVPN para sua configuração P2S.

Antes de começar

Antes de começar, verifique se você está no artigo correto. A tabela a seguir mostra os artigos de configuração disponíveis para clientes VPN P2S do Gateway de VPN do Azure. As etapas são diferentes, dependendo do tipo de autenticação, do tipo de túnel e do sistema operacional cliente.

Autenticação Tipo de túnel Gerar arquivos de configuração Configurar cliente VPN
Certificado do Azure IKEv2, SSTP Windows Cliente VPN nativo
Certificado do Azure OpenVPN Windows - Cliente OpenVPN
- Cliente VPN do Azure
Certificado do Azure IKEv2, OpenVPN macOS-iOS macOS-iOS
Certificado do Azure IKEv2, OpenVPN Linux Linux
Microsoft Entra ID OpenVPN (SSL) Windows Windows
Microsoft Entra ID OpenVPN (SSL) macOS macOS
RADIUS - certificado - Artigo Artigo
RADIUS - palavra-passe - Artigo Artigo
RADIUS - outros métodos - Artigo Artigo

Importante

A partir de 1 de julho de 2018, o suporte será removido para o TLS 1.0 e 1.1 do Gateway de VPN do Azure. O Gateway de VPN irá suportar apenas o TLS 1.2. Apenas as conexões ponto-a-site são afetadas; As conexões site a site não serão afetadas. Se você estiver usando TLS para VPNs ponto a site em clientes Windows 10 ou posteriores, não precisará tomar nenhuma ação. Se você estiver usando TLS para conexões ponto a site em clientes Windows 7 e Windows 8, consulte as Perguntas frequentes sobre o Gateway VPN para obter instruções de atualização.

Gerar certificados

Para autenticação de certificado, um certificado de cliente deve ser instalado em cada computador cliente. O certificado de cliente que você deseja usar deve ser exportado com a chave privada e deve conter todos os certificados no caminho de certificação. Além disso, para algumas configurações, você também precisará instalar as informações do certificado raiz.

Para obter informações sobre como trabalhar com certificados, consulte Point-to site: Generate certificates - Linux.

Gerar arquivos de configuração do cliente VPN

Todas as definições de configuração necessárias para os clientes VPN estão contidas em um arquivo zip de configuração de perfil de cliente VPN. Você pode gerar arquivos de configuração de perfil de cliente usando o PowerShell ou usando o portal do Azure. Qualquer um dos métodos retorna o mesmo arquivo zip.

Os arquivos de configuração de perfil de cliente VPN que você gera são específicos para a configuração do gateway VPN P2S para a rede virtual. Se houver alguma alteração na configuração da VPN P2S depois de gerar os arquivos, como alterações no tipo de protocolo VPN ou no tipo de autenticação, você precisará gerar novos arquivos de configuração de perfil de cliente VPN e aplicar a nova configuração a todos os clientes VPN que deseja conectar. Para obter mais informações sobre conexões P2S, consulte Sobre VPN ponto a site.

Para gerar arquivos usando o portal do Azure:

  1. No portal do Azure, vá para o gateway de rede virtual da rede virtual à qual você deseja se conectar.

  2. Na página de gateway de rede virtual, selecione Configuração ponto a site para abrir a página Configuração ponto a site.

  3. Na parte superior da página de configuração Ponto a Site, selecione Baixar cliente VPN. Isso não baixa o software do cliente VPN, ele gera o pacote de configuração usado para configurar clientes VPN. Leva alguns minutos para o pacote de configuração do cliente gerar. Durante esse tempo, você pode não ver nenhuma indicação até que o pacote gere.

    Captura de ecrã da página de configuração Ponto-a-site.

  4. Depois que o pacote de configuração é gerado, seu navegador indica que um arquivo zip de configuração do cliente está disponível. Tem o mesmo nome que o seu gateway.

  5. Descompacte o arquivo para visualizar as pastas. Você usará alguns ou todos esses arquivos para configurar seu cliente VPN. Os arquivos gerados correspondem às configurações de autenticação e tipo de túnel que você configurou no servidor P2S.

Em seguida, configure o cliente VPN. Selecione uma das seguintes instruções:

IKEv2: cliente VPN nativo - etapas do macOS

As seções a seguir ajudam a configurar o cliente VPN nativo que já está instalado como parte do macOS. Este tipo de ligação funciona apenas através do IKEv2.

Ver ficheiros

Descompacte o arquivo para visualizar as pastas. Ao configurar clientes nativos do macOS, você usa os arquivos na pasta Genérico . A pasta Generic estará presente se o IKEv2 tiver sido configurado no gateway. Você pode encontrar todas as informações necessárias para configurar o cliente VPN nativo na pasta Genérico . Se você não vir a pasta Genérico, verifique os seguintes itens e gere o arquivo zip novamente.

  • Verifique o tipo de túnel para a sua configuração. É provável que o IKEv2 não tenha sido selecionado como um tipo de túnel.
  • No gateway VPN, verifique se a SKU não é Básica. O VPN Gateway Basic SKU não suporta IKEv2. Em seguida, selecione IKEv2 e gere o arquivo zip novamente para recuperar a pasta Genérico.

A pasta Generic contém os seguintes ficheiros.

  • VpnSettings.xml, que contém configurações importantes, como endereço do servidor e tipo de túnel.
  • VpnServerRoot.cer, que contém o certificado raiz necessário para validar o gateway de VPN do Azure durante a configuração da conexão P2S.

Use as etapas a seguir para configurar o cliente VPN nativo no Mac para autenticação de certificado. Essas etapas devem ser concluídas em todos os Mac que você deseja conectar ao Azure.

Instalar certificados

Certificado raiz

  1. Copie para o arquivo de certificado raiz - VpnServerRoot.cer - para o seu Mac. Clique duas vezes no certificado. Dependendo do seu sistema operacional, o certificado será instalado automaticamente ou você verá a página Adicionar certificados .
  2. Se você vir a página Adicionar certificados , para Chaves: clique nas setas e selecione login na lista suspensa.
  3. Clique em Adicionar para importar o arquivo.

Certificado de cliente

O certificado do cliente é usado para autenticação e é necessário. Normalmente, você pode simplesmente clicar no certificado do cliente para instalar. Para obter mais informações sobre como instalar um certificado de cliente, consulte Instalar um certificado de cliente.

Verificar a instalação do certificado

Verifique se o cliente e o certificado raiz estão instalados.

  1. Abra o Acesso às Chaves.
  2. Vá para a guia Certificados .
  3. Verifique se o cliente e o certificado raiz estão instalados.

Configurar perfil de cliente VPN

  1. Vá para Preferências do Sistema -> Rede. Na página Rede, clique em '+' para criar um novo perfil de conexão de cliente VPN para uma conexão P2S com a rede virtual do Azure.

    A captura de tela mostra a janela Rede para clicar em +.

  2. Na página Selecione a interface, clique nas setas ao lado de Interface:. Na lista suspensa, clique em VPN.

    A captura de tela mostra a janela Rede com a opção de selecionar uma interface, VPN está selecionada.

  3. Para Tipo de VPN, na lista suspensa, clique em IKEv2. No campo Nome do Serviço, especifique um nome amigável para o perfil e clique em Criar.

    A captura de tela mostra a janela Rede com a opção de selecionar uma interface, selecionar tipo de VPN e inserir um nome de serviço.

  4. Vá para o perfil do cliente VPN que você baixou. Na pasta Genérico, abra o arquivo VpnSettings.xml usando um editor de texto. No exemplo, você pode ver informações sobre o tipo de túnel e o endereço do servidor. Embora existam dois tipos de VPN listados, este cliente VPN irá ligar-se através do IKEv2. Copie o valor da tag VpnServer .

    A captura de tela mostra o arquivo VpnSettings.xml aberto com a tag VpnServer realçada.

  5. Cole o valor da tag VpnServer nos campos Endereço do Servidor e ID Remoto do perfil. Deixe a ID local em branco. Em seguida, clique em Configurações de autenticação....

    A captura de tela mostra as informações do servidor coladas nos campos.

Configurar definições de autenticação

Defina as configurações de autenticação. Existem dois conjuntos de instruções. Escolha as instruções que correspondem à sua versão do SO.

Big Sur e mais tarde

  1. Na página Configurações de autenticação, para o campo Configurações de autenticação, clique nas setas para selecionar Certificado.

    A captura de tela mostra as configurações de autenticação com o certificado selecionado.

  2. Clique em Selecionar para abrir a página Escolher uma identidade.

    Captura de ecrã para clicar em Selecionar.

  3. A página Escolher uma identidade exibe uma lista de certificados para você escolher. Se não tiver certeza de qual certificado usar, selecione Mostrar certificado para ver mais informações sobre cada certificado. Clique no certificado adequado e, em seguida, clique em Continuar.

    A captura de tela mostra as propriedades do certificado.

  4. Na página Configurações de Autenticação, verifique se o certificado correto é mostrado e clique em OK.

    A captura de tela mostra a caixa de diálogo Escolher uma identidade onde você pode selecionar o certificado adequado.

Catalina

Se você estiver usando o Catalina, use estas etapas de configurações de autenticação:

  1. Em Configurações de autenticação, escolha Nenhum.

  2. Clique em Certificado, clique em Selecionar e clique no certificado de cliente correto que você instalou anteriormente. Em seguida, clique em OK.

Especificar certificado

  1. No campo ID local, especifique o nome do certificado. Neste exemplo, é P2SChildCertMac.

    A captura de tela mostra o valor da ID local.

  2. Clique em Aplicar para salvar todas as alterações.

Ligar

  1. Clique em Conectar para iniciar a conexão P2S com a rede virtual do Azure. Poderá ter de introduzir a sua palavra-passe de "login".

    A captura de tela mostra o botão conectar.

  2. Depois que a conexão for estabelecida, o status será exibido como Conectado e você poderá visualizar o endereço IP que foi extraído do pool de endereços do cliente VPN.

    A captura de tela mostra Conectado.

OpenVPN: etapas do macOS

O exemplo a seguir usa TunnelBlick.

Importante

Apenas o MacOS 10.13 e superior é suportado com o protocolo OpenVPN.

Nota

A versão 2.6 do OpenVPN Client ainda não é suportada.

  1. Baixe e instale um cliente OpenVPN, como o TunnelBlick.

  2. Se ainda não o fez, transfira o pacote de perfil de cliente VPN a partir do portal do Azure.

  3. Deszipe o perfil. Abra o arquivo de configuração vpnconfig.ovpn da pasta OpenVPN em um editor de texto.

  4. Preencha a secção de certificado de cliente P2S com a chave pública do certificado de cliente P2S em base64. Em um certificado formatado PEM, você pode abrir o arquivo .cer e copiar sobre a chave base64 entre os cabeçalhos do certificado.

  5. Preencha a secção de chave privada com a chave privada do certificado cliente P2S em base64. Consulte Exportar sua chave privada no site OpenVPN para obter informações sobre como extrair uma chave privada.

  6. Não altere nenhum outro campo. Utilize a configuração preenchida na entrada de cliente para ligar à VPN.

  7. Clique duas vezes no arquivo de perfil para criar o perfil no Tunnelblick.

  8. Inicie o Tunnelblick a partir da pasta de aplicativos.

  9. Clique no ícone Tunnelblick na bandeja do sistema e escolha conectar.

OpenVPN: etapas do iOS

O exemplo a seguir usa o OpenVPN Connect da App Store.

Importante

Apenas iOS 11.0 e superior é suportado com o protocolo OpenVPN.

Nota

A versão 2.6 do OpenVPN Client ainda não é suportada.

  1. Instale o cliente OpenVPN (versão 2.4 ou superior) a partir da App Store. A versão 2.6 ainda não é suportada.

  2. Se ainda não o fez, transfira o pacote de perfil de cliente VPN a partir do portal do Azure.

  3. Deszipe o perfil. Abra o arquivo de configuração vpnconfig.ovpn da pasta OpenVPN em um editor de texto.

  4. Preencha a secção de certificado de cliente P2S com a chave pública do certificado de cliente P2S em base64. Em um certificado formatado PEM, você pode abrir o arquivo .cer e copiar sobre a chave base64 entre os cabeçalhos do certificado.

  5. Preencha a secção de chave privada com a chave privada do certificado cliente P2S em base64. Consulte Exportar sua chave privada no site OpenVPN para obter informações sobre como extrair uma chave privada.

  6. Não altere nenhum outro campo.

  7. Envie por e-mail o arquivo de perfil (.ovpn) para sua conta de e-mail configurada no aplicativo de e-mail no seu iPhone.

  8. Abra o e-mail no aplicativo de e-mail no iPhone e toque no arquivo anexado.

    A captura de tela mostra a mensagem pronta para ser enviada.

  9. Toque em Mais se não vir a opção Copiar para OpenVPN .

    A captura de ecrã mostra para tocar mais.

  10. Toque em Copiar para OpenVPN.

    A captura de tela mostra para copiar para o OpenVPN.

  11. Toque em ADICIONAR na página Importar perfil

    A captura de tela mostra Importar perfil.

  12. Toque em ADICIONAR na página Perfil importado

    A captura de tela mostra o perfil importado.

  13. Inicie o aplicativo OpenVPN e deslize o interruptor na página Perfil à direita para se conectar

    A captura de tela mostra o slide para se conectar.

Próximos passos

Para etapas adicionais, retorne ao artigo original ponto a site no qual você estava trabalhando.

  • Etapas de configuração do PowerShell.
  • Etapas de configuração do portal do Azure.