Configurar definições de servidor para ligações de Gateway de VPN P2S - autenticação de certificados - Azure PowerShell

Este artigo ajuda-o a ligar de forma segura clientes individuais com Windows, Linux ou macOS a uma VNet do Azure. As ligações VPN ponto a site são úteis quando pretende ligar à VNet a partir de uma localização remota, por exemplo, quando está a fazer telecomunicações a partir de casa ou de uma conferência. Pode também utilizar P2S em vez de uma VPN Site a Site, quando são poucos os clientes que precisam de ligar a uma VNet. As ligações ponto a site não necessitam de um dispositivo VPN ou de um endereço IP destinado ao público. A P2S cria a ligação VPN através de SSTP (Secure Socket Tunneling Protocol) ou de IKEv2.

Para obter mais informações sobre a VPN ponto a site, veja About point-to-site VPN (Acerca da VPN ponto a site). Para criar esta configuração com o portal do Azure, veja Configurar uma VPN ponto a site com o portal do Azure.

As ligações de autenticação de certificados do Azure P2S utilizam os seguintes itens, que irá configurar neste exercício:

• Um gateway de VPN RouteBased.
• A chave pública (ficheiro .cer) de um certificado de raiz que é carregado para o Azure. Assim que o certificado é carregado, é considerado um certificado fidedigno e é utilizado para autenticação.
• Um certificado de cliente que é gerado a partir do certificado de raiz. O certificado de cliente instalado em cada computador cliente que vai ligar à VNet. Este certificado é utilizado para autenticação de cliente.
• Ficheiros de configuração de cliente VPN. O cliente VPN está configurado com ficheiros de configuração de cliente VPN. Estes ficheiros contêm as informações necessárias para que o cliente se ligue à VNet. Cada cliente que estabelece ligação tem de ser configurado com as definições dos ficheiros de configuração.

Pré-requisitos

Verifique se tem uma subscrição do Azure. Se ainda não tiver uma subscrição do Azure, pode ativar os Benefícios de subscritor do MSDN ou inscrever-se numa conta gratuita.

Azure PowerShell

Importante

Muitos dos passos neste artigo podem utilizar a Cloud Shell do Azure. No entanto, não pode utilizar Cloud Shell para gerar certificados. Além disso, para carregar a chave pública do certificado de raiz, tem de utilizar Azure PowerShell localmente ou o portal do Azure.

Este artigo utiliza cmdlets do PowerShell. Para executar os cmdlets, pode utilizar o Azure Cloud Shell. Cloud Shell é uma shell interativa gratuita que pode utilizar para executar os passos neste artigo. Tem as ferramentas comuns do Azure pré-instaladas e configuradas para utilização com a sua conta.

Para abrir Cloud Shell, basta selecionar Experimentar no canto superior direito de um bloco de código. Também pode abrir Cloud Shell num separador separador do browser ao aceder a https://shell.azure.com/powershell. Selecione Copiar para copiar os blocos de código, cole-os em Cloud Shell e selecione a tecla Enter para executá-los.

Também pode instalar e executar os cmdlets Azure PowerShell localmente no seu computador. Os cmdlets do PowerShell são atualizados com frequência. Se não tiver instalado a versão mais recente, os valores especificados nas instruções poderão falhar. Para localizar as versões do Azure PowerShell instaladas no seu computador, utilize o Get-Module -ListAvailable Az cmdlet. Para instalar ou atualizar, consulte Instalar o módulo Azure PowerShell.

Iniciar sessão

Se estiver a executar o PowerShell localmente, abra a consola do PowerShell com privilégios elevados e ligue-se à sua conta do Azure. O cmdlet Connect-AzAccount pede-lhe credenciais. Após a autenticação, esta transfere as definições da sua conta para que estejam disponíveis para Azure PowerShell.

Se estiver a utilizar o Azure Cloud Shell em vez de executar o PowerShell localmente, irá reparar que não precisa de executar o Connect-AzAccount. O Azure Cloud Shell liga-se automaticamente à sua conta do Azure depois de selecionar Experimentar.

1. Se estiver a executar o PowerShell localmente, inicie sessão.

   Connect-AzAccount
   

2. Se tiver mais do que uma subscrição, obtenha uma lista das suas subscrições do Azure.

   Get-AzSubscription
   

3. Especifique a subscrição que pretende utilizar.

   Select-AzSubscription -SubscriptionName "Name of subscription"
   

Declarar variáveis

Utilizamos variáveis para este artigo para que possa alterar facilmente os valores a aplicar ao seu próprio ambiente sem ter de alterar os próprios exemplos. Declare as variáveis que quer utilizar. Pode utilizar o exemplo seguinte, substituindo os valores pelos seus próprios, quando necessário. Se fechar a sessão do PowerShell/Cloud Shell em qualquer altura durante o exercício, copie e cole novamente os valores para voltar a declarar as variáveis.

$VNetName  = "VNet1"
$FESubName = "FrontEnd"
$GWSubName = "GatewaySubnet"
$VNetPrefix = "10.1.0.0/16"
$FESubPrefix = "10.1.0.0/24"
$GWSubPrefix = "10.1.255.0/27"
$VPNClientAddressPool = "172.16.201.0/24"
$RG = "TestRG1"
$Location = "EastUS"
$GWName = "VNet1GW"
$GWIPName = "VNet1GWpip"
$GWIPconfName = "gwipconf"
$DNS = "10.2.1.4"

Criar uma VNet

1. Crie um grupo de recursos.

   New-AzResourceGroup -Name $RG -Location $Location
   

2. Crie as configurações de sub-rede para a rede virtual, atribuindo-lhes o nome FrontEnd e GatewaySubnet. Estes prefixos têm de fazer parte do espaço de endereços da VNet que declarou.

   $fesub = New-AzVirtualNetworkSubnetConfig -Name $FESubName -AddressPrefix $FESubPrefix
   $gwsub = New-AzVirtualNetworkSubnetConfig -Name $GWSubName -AddressPrefix $GWSubPrefix
   

3. Criar a rede virtual.

   Neste exemplo, o parâmetro de servidor -DnsServer é opcional. A especificação de um valor não cria um novo servidor DNS. O endereço IP do servidor DNS que especificar deve ser um servidor DNS que consiga resolver os nomes dos recursos a que se está a ligar a partir da sua VNet. Este exemplo utiliza um endereço IP privado, mas é provável que este não seja o endereço IP do servidor DNS. Certifique-se de que utiliza os seus próprios valores. O valor que especificar será utilizado pelos recursos que implementa na VNet, não pela ligação P2S ou o cliente VPN.

       New-AzVirtualNetwork `
      -ResourceGroupName $RG `
      -Location $Location `
      -Name $VNetName `
      -AddressPrefix $VNetPrefix `
      -Subnet $fesub, $gwsub `
      -DnsServer $DNS
   

4. Especifique as variáveis para a rede virtual que criou.

   $vnet = Get-AzVirtualNetwork -Name $VNetName -ResourceGroupName $RG
   $subnet = Get-AzVirtualNetworkSubnetConfig -Name "GatewaySubnet" -VirtualNetwork $vnet
   

5. Um gateway de VPN deve ter um endereço IP público. Primeira, requeira o recurso de endereço IP e, em seguida, faça referência ao mesmo ao criar o gateway de rede virtual. O endereço IP é dinamicamente atribuído ao recurso quando o gateway de VPN é criado. O Gateway de VPN, atualmente, apenas suporta a alocação de endereços IP públicos dinâmicos. Não é possível pedir uma atribuição de endereço IP Público Estático. No entanto, isto não significa que o endereço IP é alterado depois de ser atribuído ao gateway de VPN. O endereço IP Público só é alterado quando o gateway é eliminado e recriado. Não é alterado ao redimensionar, repor ou ao realizar qualquer outra manutenção/atualização interna do gateway de VPN.

   Solicite um endereço IP público atribuído de forma dinâmica.

   $pip = New-AzPublicIpAddress -Name $GWIPName -ResourceGroupName $RG -Location $Location -AllocationMethod Dynamic
   $ipconf = New-AzVirtualNetworkGatewayIpConfig -Name $GWIPconfName -Subnet $subnet -PublicIpAddress $pip
   

Criar o gateway de VPN

Neste passo, vai configurar e criar o gateway de rede virtual para a sua VNet. Para obter informações mais completas sobre autenticação e tipo de túnel, consulte Especificar o tipo de túnel e autenticação na versão portal do Azure deste artigo.

• O -GatewayType tem de ser Vpn e o -VpnType tem de ser RouteBased.
• O -VpnClientProtocol é utilizado para especificar os tipos de túnel que quer ativar. As opções do túnel são OpenVPN, SSTP e IKEv2. Pode optar por ativar uma delas ou qualquer combinação suportada. Se quiser ativar vários tipos, especifique os nomes separados por uma vírgula. O OpenVPN e o SSTP não podem ser ativados em conjunto. O cliente strongSwan no Android e Linux e o cliente VPN IKEv2 nativo no iOS e macOS utilizarão apenas o túnel IKEv2 para ligar. Os clientes Windows, primeiro, experimentam o IKEv2 e, se não conseguirem estabelecer a ligação, voltam ao SSTP. Pode utilizar o cliente OpenVPN para ligar ao tipo de túnel OpenVPN.
• O SKU "Básico" do gateway de rede virtual não suporta a autenticação IKEv2, OpenVPN ou RADIUS. Se estiver a planear que os clientes Mac se liguem à sua rede virtual, não utilize o SKU Básico.
• Um gateway de VPN pode demorar 45 minutos ou mais a ser concluído, consoante o sku do gateway que selecionar.

1. Configure e crie o gateway de rede virtual da sua VNet. O gateway demora aproximadamente 45 minutos a criar.

   New-AzVirtualNetworkGateway -Name $GWName -ResourceGroupName $RG `
   -Location $Location -IpConfigurations $ipconf -GatewayType Vpn `
   -VpnType RouteBased -EnableBgp $false -GatewaySku VpnGw1 -VpnClientProtocol IkeV2,OpenVPN
   

2. Assim que o gateway for criado, pode vê-lo com o seguinte exemplo. Se fechou o PowerShell ou excedeu o tempo limite durante a criação do gateway, pode declarar as variáveis novamente.

   Get-AzVirtualNetworkGateway -Name $GWName -ResourceGroup $RG
   

Adicionar um conjunto de endereços do cliente VPN

Depois do gateway VPN acabar de criar, pode adicionar o conjunto de endereços de cliente VPN. O conjunto de endereços do cliente VPN é o intervalo a partir do qual os clientes VPN recebem um endereço IP quando ligam. Utilize um intervalo de endereços IP privados que não se sobreponha à localização no local onde irá estabelecer ligação ou com a VNet a que pretende ligar.

Neste exemplo, o conjunto de endereços de cliente VPN é declarado como uma variável num passo anterior.

$Gateway = Get-AzVirtualNetworkGateway -ResourceGroupName $RG -Name $GWName
Set-AzVirtualNetworkGateway -VirtualNetworkGateway $Gateway -VpnClientAddressPool $VPNClientAddressPool

Gerar certificados

Importante

Não pode gerar certificados com o Azure Cloud Shell. Tem de utilizar um dos métodos descritos nesta secção. Se quiser utilizar o PowerShell, tem de instalá-lo localmente.

Os certificados são utilizados pelo Azure para autenticar clientes VPN para VPNs ponto a site. Carrega as informações da chave pública do certificado de raiz para o Azure. A chave pública é então considerada "fidedigna". Os certificados de cliente têm de ser gerados a partir do certificado de raiz fidedigna e, em seguida, instalado em cada computador cliente no arquivo de Certificados Atuais do Utilizador/Pessoais. O certificado é utilizado para autenticar o cliente quando é iniciada uma ligação à VNet.

Se utilizar certificados autoassinados, eles têm de ser criados com parâmetros específicos. Pode criar um certificado autoassinado com as instruções do PowerShell e Windows 10 ou posterior ou, se não tiver Windows 10 ou posterior, pode utilizar o MakeCert. É importante que siga as etapas nas instruções ao gerar os certificados de raiz autoassinados e os certificados de cliente. Caso contrário, os certificados que gerar não serão compatíveis com ligações P2S e irá receber um erro de ligação.

Certificado de raiz

1. Obtenha o ficheiro .cer para o certificado de raiz. Pode utilizar um certificado de raiz que foi gerado com uma solução empresarial (recomendado) ou gerar um certificado autoassinado. Depois de criar o certificado de raiz, exporte os dados do certificado público (não a chave privada) como um ficheiro .cer X.509 codificado com Base64. Carregará este ficheiro mais tarde para o Azure.

   • Certificado de empresa: Se estiver a utilizar uma solução empresarial, pode utilizar a cadeia de certificados existente. Adquira o ficheiro .cer para o certificado de raiz que pretende utilizar.

   • Certificado de raiz autoassinado: Se não estiver a utilizar uma solução de certificado empresarial, crie um certificado de raiz autoassinado. Caso contrário, os certificados que criar não serão compatíveis com as suas ligações P2S e os clientes receberão um erro de ligação quando tentarem estabelecer ligação. Pode utilizar o Azure PowerShell, MakeCert ou OpenSSL. Os passos nos seguintes artigos descrevem como gerar um certificado de raiz autoassinado compatível:

     • Windows 10 ou instruções posteriores do PowerShell: estas instruções requerem Windows 10 ou posterior e o PowerShell para gerar certificados. Os certificados de cliente gerados a partir do certificado de raiz podem ser instalados em qualquer cliente P2S suportado.
     • Instruções do MakeCert: utilize o MakeCert se não tiver acesso a um computador Windows 10 ou posterior para utilizar para gerar certificados. Embora o MakeCert tenha sido preterido, ainda pode utilizá-lo para gerar certificados. Os certificados de cliente que gerar a partir do certificado de raiz podem ser instalados em qualquer cliente P2S suportado.
     • Instruções do Linux.

2. Depois de criar o certificado de raiz, exporte os dados do certificado público (não a chave privada) como um ficheiro .cer X.509 codificado com Base64.

Certificado de cliente

1. Cada computador cliente que ligar a uma VNet com uma ligação Ponto a Site tem de ter um certificado de cliente instalado. Pode gerá-lo a partir do certificado de raiz e instalá-lo em cada computador cliente. Se não instalar um certificado de cliente válido, a autenticação falhará quando o cliente tentar ligar à VNet.

   Pode optar por gerar um certificado exclusivo para cada cliente ou pode utilizar o mesmo certificado para vários clientes. A vantagem de gerar certificados para cada cliente individual é a capacidade de revogar um único certificado. Caso contrário, se vários clientes utilizarem o mesmo certificado de cliente para autenticar e revogar, terá de gerar e instalar novos certificados para cada cliente que utilize esse certificado.

   Pode gerar certificados de cliente com os seguintes métodos:

   • Certificado de empresa:

     • Se estiver a utilizar uma solução de certificado de empresa, gere um certificado de cliente com o formato name@yourdomain.comde valor de nome comum . Utilize este formato em vez do formato nome de domínio\nome de utilizador .

     • Certifique-se de que o certificado de cliente se baseia num modelo de certificado de utilizador que tenha a Autenticação de Cliente listada como o primeiro item na lista de utilizadores. Verifique o certificado ao fazer duplo clique no mesmo e ao ver Utilização de Chave Avançada no separador Detalhes .

   • Certificado de raiz autoassinado: Siga os passos num dos seguintes artigos de certificado P2S para que os certificados de cliente que criar sejam compatíveis com as suas ligações P2S.

     Quando gera um certificado de cliente a partir de um certificado de raiz autoassinado, este é instalado automaticamente no computador que utilizou para o gerar. Se quiser instalar um certificado de cliente noutro computador cliente, exporte-o como um ficheiro .pfx, juntamente com toda a cadeia de certificados. Ao fazê-lo, irá criar um ficheiro .pfx que contém as informações de certificado de raiz necessárias para que o cliente se autentique.

     Os passos nestes artigos geram um certificado de cliente compatível, que pode depois exportar e distribuir.

     • Windows 10 ou instruções posteriores do PowerShell: estas instruções requerem Windows 10 ou posterior e o PowerShell para gerar certificados. Os certificados gerados podem ser instalados em qualquer cliente P2S suportado.

     • Instruções do MakeCert: utilize o MakeCert se não tiver acesso a um computador Windows 10 ou posterior para gerar certificados. Embora o MakeCert tenha sido preterido, ainda pode utilizá-lo para gerar certificados. Pode instalar os certificados gerados em qualquer cliente P2S suportado.

     • Instruções do Linux.

2. Depois de criar o certificado de cliente, exporte-o. O certificado de cliente será distribuído pelos computadores cliente que se ligarão.

Carregar informações de chave pública do certificado de raiz

Verifique se o gateway de VPN acabou de criar. Assim que estiver pronto, pode carregar o ficheiro .cer (que contém as informações da chave pública) para um certificado de raiz fidedigna no Azure. Assim que um ficheiro .cer for carregado, o Azure pode utilizá-lo para autenticar clientes que tenham instalado um certificado de cliente gerado a partir do certificado de raiz fidedigna. Pode carregar ficheiros de certificado de raiz fidedigna adicionais - até um total de 20 - mais tarde, se necessário.

Nota

Não pode carregar o ficheiro .cer com o Azure Cloud Shell. Pode utilizar o PowerShell localmente no seu computador ou pode utilizar os passos portal do Azure.

1. Declare a variável para o nome de certificado, substituindo o valor pelo seu próprio valor.

   $P2SRootCertName = "P2SRootCert.cer"
   

2. Substitua o caminho do ficheiro pelo seu e, em seguida, execute os cmdlets.

   $filePathForCert = "C:\cert\P2SRootCert.cer"
   $cert = new-object System.Security.Cryptography.X509Certificates.X509Certificate2($filePathForCert)
   $CertBase64 = [system.convert]::ToBase64String($cert.RawData)
   

3. Carregar informações de chaves públicas para o Azure. Assim que as informações do certificado forem carregadas, o Azure considera-as um certificado de raiz fidedigna. Ao carregar, certifique-se de que está a executar o PowerShell localmente no computador ou, em vez disso, pode utilizar os passos portal do Azure. Não pode carregar com o Azure Cloud Shell.

   Add-AzVpnClientRootCertificate -VpnClientRootCertificateName $P2SRootCertName -VirtualNetworkGatewayname "VNet1GW" -ResourceGroupName "TestRG1" -PublicCertData $CertBase64
   

Instalar um certificado de cliente exportado

Os passos seguintes ajudam-no a instalar num cliente Windows. Para obter mais clientes e mais informações, veja Instalar um certificado de cliente.

1. Assim que o certificado de cliente for exportado, localize e copie o ficheiro .pfx para o computador cliente.
2. No computador cliente, faça duplo clique no ficheiro .pfx para o instalar. Deixe a Localização da Loja como Utilizador Atual e, em seguida, selecione Seguinte.
3. Na página Ficheiro a importar, não efetue nenhuma alteração. Selecione Seguinte.
4. Na página Proteção de chave privada , introduza a palavra-passe do certificado ou verifique se o principal de segurança está correto e, em seguida, selecione Seguinte.
5. Na página Arquivo de Certificados , deixe a localização predefinida e, em seguida, selecione Seguinte.
6. Selecione Concluir. No Aviso de Segurança para a instalação do certificado, selecione Sim. Pode selecionar confortavelmente "Sim" para este aviso de segurança porque gerou o certificado.
7. O certificado foi agora importado com êxito.

Certifique-se de que o certificado de cliente foi exportado como um ficheiro. pfx, juntamente com a cadeia de certificados inteira (que é a predefinição). Caso contrário, as informações do certificado de raiz não estão presentes no computador do cliente e o cliente não conseguirá autenticar corretamente.

Configurar clientes VPN e ligar ao Azure

Cada cliente VPN é configurado com os ficheiros num pacote de configuração de perfil de cliente VPN que gera e transfere. O pacote de configuração contém definições específicas do gateway de VPN que criou. Se fizer alterações ao gateway, como alterar um tipo de túnel, certificado ou tipo de autenticação, terá de gerar outro pacote de configuração de perfil de cliente VPN e instalá-lo em cada cliente. Caso contrário, os clientes VPN poderão não conseguir ligar-se.

Para obter os passos para gerar um pacote de configuração do perfil de cliente VPN, configurar os seus clientes VPN e ligar ao Azure, veja os seguintes artigos:

• Windows
• macOS-iOS
• Linux

Para verificar uma ligação

Estas instruções aplicam-se aos clientes Windows.

1. Para verificar se a ligação VPN está ativa, abra uma linha de comandos elevada e execute ipconfig/all.

2. Veja os resultados. Tenha em atenção que o endereço IP que recebeu é um dos endereços no Conjunto de Endereços cliente VPN ponto a site que especificou na configuração. Os resultados são semelhantes a este exemplo:

   PPP adapter VNet1:
      Connection-specific DNS Suffix .:
      Description.....................: VNet1
      Physical Address................:
      DHCP Enabled....................: No
      Autoconfiguration Enabled.......: Yes
      IPv4 Address....................: 172.16.201.13(Preferred)
      Subnet Mask.....................: 255.255.255.255
      Default Gateway.................:
      NetBIOS over Tcpip..............: Enabled
   

Ligar a uma máquina virtual

Estas instruções aplicam-se aos clientes Windows.

Pode ligar a uma VM que é implementada nos VNet criando uma Ligação de Ambiente de Trabalho Remoto para a VM. A melhor forma de verificar, inicialmente, que se pode ligar à VM é ligar-se utilizando o respetivo endereço IP privado, em vez do nome do computador. Desta forma, está a testar para ver se consegue ligar-se e não se a resolução de nomes está configurada corretamente.

1. Localizar o endereço IP privado. Pode encontrar o endereço IP privado de uma VM observando as propriedades da VM no portal do Azure ou utilizando o PowerShell.

   • Portal do Azure - Localizar a máquina virtual no Portal do Azure. Ver as propriedades da VM. O endereço IP privado está listado.

   • PowerShell - Utilize o exemplo para ver uma lista de VMs e endereços IP privados a partir de grupos de recursos. Não é necessário modificar este exemplo antes de o utilizar.

     $VMs = Get-AzVM
     $Nics = Get-AzNetworkInterface | Where-Object VirtualMachine -ne $null
     
     foreach ($Nic in $Nics) {
     $VM = $VMs | Where-Object -Property Id -eq $Nic.VirtualMachine.Id
     $Prv = $Nic.IpConfigurations | Select-Object -ExpandProperty PrivateIpAddress
     $Alloc = $Nic.IpConfigurations | Select-Object -ExpandProperty PrivateIpAllocationMethod
     Write-Output "$($VM.Name): $Prv,$Alloc"
     }
     

2. Verifique se está ligado à VNet.

3. Abra a Ligação ao Ambiente de Trabalho Remoto ao escrever "RDP" ou "Ligação ao Ambiente de Trabalho Remoto" na caixa de pesquisa na barra de tarefas e, em seguida, selecione Ligação ao Ambiente de Trabalho Remoto. Também pode abrir a Ligação de Ambiente de Trabalho Remoto utilizando o comando "mstsc" no PowerShell.

4. Na Ligação de Ambiente de Trabalho Remoto, introduza o endereço IP privado da VM. Pode selecionar "Mostrar Opções" para ajustar definições adicionais e, em seguida, ligar.

Resolver problemas relacionados com ligações

Se estiver a ter problemas ao ligar a uma máquina virtual através da ligação VPN, verifique o seguinte:

• Certifique-se de que a ligação VPN é efetuada com êxito.

• Verifique se está a ligar ao endereço IP privado da VM.

• Caso consiga ligar-se à VM utilizando o endereço IP privado, mas não o nome do computador, certifique-se de que configurou o DNS corretamente. Para obter mais informações sobre como funciona a resolução de nomes para VMs, consulte o artigo Name Resolution for VMs(Resolução de Nomes para VMs).

• Para obter mais informações sobre ligações RDP, veja Troubleshoot Remote Desktop connections to a VM(Resolução de Problemas de ligações de Ambiente de Trabalho Remoto a uma VM).

• Certifique-se de que o pacote de configuração de clientes VPN gerado depois dos endereços IP do servidor DNS foi especificado para a VNet. Se atualizou os endereços IP do servidor DNS, gere e instale um novo pacote de configuração de cliente VPN.

• Utilize “ipconfig” para verificar o endereço IPv4 atribuído ao adaptador Ethernet no computador a partir do qual se está a ligar. Se o endereço IP estiver no âmbito do intervalo de endereços da VNet a que se está a ligar, ou no âmbito do intervalo de endereços do seu VPNClientAddressPool, tal trata-se de um espaço de endereços sobreposto. Quando o seu espaço de endereços se sobrepõe desta forma, o tráfego de rede não chega ao Azure e permanece na rede local.

Para adicionar ou remover um certificado de raiz

Pode adicionar e remover certificados de raiz fidedigna do Azure. Quando remove um certificado de raiz, os clientes que têm um certificado gerado a partir do certificado de raiz não podem autenticar e não serão capazes de ligar. Se quiser que um cliente faça a autenticação e estabeleça ligação, terá de instalar um novo certificado de cliente gerado a partir de um certificado de raiz considerado fidedigno (carregado) no Azure. Estes passos requerem Azure PowerShell cmdlets instalados localmente no seu computador (e não no Azure Cloud Shell). Também pode utilizar o portal do Azure para adicionar certificados de raiz.

Para adicionar:

Pode adicionar até 20 ficheiros .cer de certificado de raiz ao Azure. Os passos seguintes ajudam-no a adicionar um certificado de raiz.

1. Prepare o ficheiro. cer para carregar:

   $filePathForCert = "C:\cert\P2SRootCert3.cer"
   $cert = new-object System.Security.Cryptography.X509Certificates.X509Certificate2($filePathForCert)
   $CertBase64_3 = [system.convert]::ToBase64String($cert.RawData)
   

2. Carregue o ficheiro. Só pode carregar um ficheiro de cada vez.

   Add-AzVpnClientRootCertificate -VpnClientRootCertificateName $P2SRootCertName -VirtualNetworkGatewayname "VNet1GW" -ResourceGroupName "TestRG1" -PublicCertData $CertBase64_3
   

3. Para verificar se o ficheiro de certificado foi carregado:

   Get-AzVpnClientRootCertificate -ResourceGroupName "TestRG1" `
   -VirtualNetworkGatewayName "VNet1GW"
   

Para remover:

1. Declare as variáveis. Modifique as variáveis no exemplo para corresponder ao certificado que pretende remover.

   $GWName = "Name_of_virtual_network_gateway"
   $RG = "Name_of_resource_group"
   $P2SRootCertName2 = "ARMP2SRootCert2.cer"
   $MyP2SCertPubKeyBase64_2 = "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"
   

2. Remova o certificado.

   Remove-AzVpnClientRootCertificate -VpnClientRootCertificateName $P2SRootCertName2 -VirtualNetworkGatewayName $GWName -ResourceGroupName $RG -PublicCertData $MyP2SCertPubKeyBase64_2
   

3. Utilize o exemplo seguinte para verificar se o certificado foi removido com êxito.

   Get-AzVpnClientRootCertificate -ResourceGroupName "TestRG1" `
   -VirtualNetworkGatewayName "VNet1GW"
   

Para revogar ou restabelecer um certificado de cliente

Pode revogar certificados de cliente. A lista de revogação de certificados permite-lhe negar seletivamente a conectividade ponto a site com base em certificados de cliente individuais. Isto é diferente da remoção de um certificado de raiz fidedigna. Se remover um certificado de raiz .cer fidedigno do Azure, revoga o acesso a todos os certificados de cliente gerados/assinados pelo certificado de raiz revogado. A revogação de um certificado de cliente, em vez do certificado de raiz, permite que os outros certificados que foram gerados a partir do certificado de raiz continuem a ser utilizados para autenticação.

A prática comum é utilizar o certificado de raiz para gerir o acesso nos níveis de equipa ou organização e utilizar certificados de cliente revogados para controlo de acesso detalhado dos utilizadores individuais.

Para revogar:

1. Obtenha o thumbprint do certificado de cliente. Para obter mais informações, veja Como obter o Thumbprint de um Certificado.

2. Copie as informações para um editor de texto e remova todos os espaços, para que seja uma cadeia contínua. Esta cadeia está declarada como uma variável no próximo passo.

3. Declare as variáveis. Certifique-se de que declara o thumbprint que obteve no passo anterior.

   $RevokedClientCert1 = "NameofCertificate"
   $RevokedThumbprint1 = "‎51ab1edd8da4cfed77e20061c5eb6d2ef2f778c7"
   $GWName = "Name_of_virtual_network_gateway"
   $RG = "Name_of_resource_group"
   

4. Adicione o thumbprint à lista de certificados revogados. Vê "Êxito" quando o thumbprint for adicionado.

   Add-AzVpnClientRevokedCertificate -VpnClientRevokedCertificateName $RevokedClientCert1 `
   -VirtualNetworkGatewayName $GWName -ResourceGroupName $RG `
   -Thumbprint $RevokedThumbprint1
   

5. Certifique-se de que o thumbprint foi adicionado à lista de revogação de certificados.

   Get-AzVpnClientRevokedCertificate -VirtualNetworkGatewayName $GWName -ResourceGroupName $RG
   

6. Depois de o thumbprint ser adicionado, o certificado já não pode ser utilizado para ligar. Os clientes que se tentarem ligar com este certificado irão receber uma mensagem a indicar que o certificado já não é válido.

Para restabelecer:

Pode restabelecer um certificado de cliente, removendo o thumbprint da lista de certificados de cliente revogados.

1. Declare as variáveis. Certifique-se de que declara o thumbprint correto para o certificado que pretende restabelecer.

   $RevokedClientCert1 = "NameofCertificate"
   $RevokedThumbprint1 = "‎51ab1edd8da4cfed77e20061c5eb6d2ef2f778c7"
   $GWName = "Name_of_virtual_network_gateway"
   $RG = "Name_of_resource_group"
   

2. Remova o thumbprint do certificado da lista de revogação de certificados.

   Remove-AzVpnClientRevokedCertificate -VpnClientRevokedCertificateName $RevokedClientCert1 `
   -VirtualNetworkGatewayName $GWName -ResourceGroupName $RG -Thumbprint $RevokedThumbprint1
   

3. Verifique se o thumbprint é removido da lista revogada.

   Get-AzVpnClientRevokedCertificate -VirtualNetworkGatewayName $GWName -ResourceGroupName $RG
   

FAQ ponto a site

Para obter informações adicionais ponto a site, veja as FAQ Gateway de VPN ponto a site

Passos seguintes

Assim que a ligação estiver concluída, pode adicionar máquinas virtuais às redes virtuais. Para obter mais informações, veja Máquinas Virtuais. Para compreender melhor o funcionamento em rede e as máquinas virtuais, veja Descrição geral da rede VM do Azure e Linux.

Para obter informações de resolução de problemas P2S, consulte Resolução de problemas de ligações ponto a site do Azure.