Partilhar via

Definir configurações do servidor para autenticação de certificado do Gateway VPN P2S

Este artigo ajuda você a definir as configurações de servidor ponto a site (P2S) do Gateway VPN necessárias para permitir que você se conecte com segurança de computadores cliente individuais que executam Windows, Linux ou macOS a uma rede virtual do Azure (VNet). As ligações VPN P2S são úteis quando pretende ligar-se à sua rede virtual a partir de uma localização remota, como quando está em teletrabalho a partir de casa ou de uma conferência. Você também pode usar P2S em vez de uma VPN site a site (S2S) quando tiver apenas alguns clientes que precisam se conectar a uma rede virtual.

As conexões P2S não exigem um dispositivo VPN ou um endereço IP voltado para o público. Existem várias opções de configuração diferentes disponíveis para P2S. Para obter mais informações sobre VPN ponto a site, consulte Sobre VPN ponto a site.

Diagrama de conexão ponto a site mostrando como se conectar de um computador a uma rede virtual do Azure.

The steps in this article use the Azure portal to configure your Azure VPN gateway for point-to-site certificate authentication.

As conexões de autenticação de certificado do Azure P2S usam os seguintes itens:

  • A route-based VPN gateway (not policy-based). Para obter mais informações sobre o tipo de VPN, consulte Configurações do gateway VPN.
  • A chave pública (ficheiro .cer) de um certificado de raiz que é carregado para o Azure. Depois que o certificado é carregado, ele é considerado um certificado confiável e usado para autenticação.
  • Um certificado de cliente que é gerado a partir do certificado de raiz. O certificado de cliente instalado em cada computador cliente que vai ligar à VNet. Este certificado é utilizado para autenticação de cliente.
  • Arquivos de configuração do cliente VPN. O cliente VPN é configurado usando arquivos de configuração do cliente VPN. Esses arquivos contêm as informações necessárias para o cliente se conectar à rede virtual. Cada cliente que estabelece ligação tem de ser configurado com as definições dos ficheiros de configuração.

Pré-requisitos

Este artigo pressupõe que você já tenha criado um gateway VPN baseado em rota que seja compatível com a configuração P2S que deseja criar, o método de autenticação que deseja usar e os clientes VPN de conexão.

  • Se você ainda não tiver um gateway VPN, consulte Criar e gerenciar um gateway VPN e retorne a esta página para definir as configurações do gateway VPN ponto a site.
  • Para ajudar a determinar a configuração P2S necessária, consulte a tabela de clientes VPN.
  • Se você tiver um gateway VPN que usa o SKU Básico, entenda que o SKU Básico tem limitações P2S e não suporta autenticação IKEv2 ou RADIUS. For more information, see About gateway SKUs.

Gerar certificados

Os certificados são usados pelo Azure para autenticar clientes que se conectam a uma rede virtual por meio de uma conexão VPN ponto a site. Quando conseguir obter um certificado de raiz, carregue as informações da chave pública para o Azure. O certificado de raiz é então considerado "confiável" pelo Azure para a ligação P2S à rede virtual.

Também pode gerar certificados de cliente a partir do certificado de raiz fidedigna e, em seguida, instalá-los em cada computador do cliente. O certificado de cliente é usado para autenticar o cliente quando ele inicia uma conexão com a rede virtual.

O certificado raiz tem que ser gerado e extraído antes de configurar as definições do gateway ponto-a-site.

Gerar um certificado raiz

Obtenha o arquivo .cer para o certificado raiz. Você pode usar um certificado raiz que foi gerado com uma solução corporativa (recomendado) ou gerar um certificado autoassinado. Depois de criar o certificado raiz, exporte os dados do certificado público (não a chave privada) como um arquivo de .cer X.509 codificado em Base64. Você carrega esse arquivo posteriormente no Azure.

  • Certificado empresarial: se estiver a utilizar uma solução empresarial, pode utilizar a cadeia de certificados existente. Adquira o arquivo .cer para o certificado raiz que você deseja usar.

  • Certificado raiz autoassinado: se você não estiver usando uma solução de certificado corporativo, crie um certificado raiz autoassinado. Caso contrário, os certificados criados não serão compatíveis com suas conexões P2S e os clientes receberão um erro de conexão quando tentarem se conectar. Pode utilizar o Azure PowerShell, MakeCert ou OpenSSL. As etapas nos seguintes artigos descrevem como gerar um certificado raiz autoassinado compatível:

    • Instruções do PowerShell para Windows 10 ou posterior: estas instruções requerem o PowerShell num computador com o Windows 10 ou posterior. Os certificados de cliente gerados a partir do certificado de raiz podem ser instalados em qualquer cliente P2S suportado.
    • Instruções do MakeCert: Use o MakeCert para gerar certificados se você não tiver acesso a um computador com o Windows 10 ou posterior. Embora o MakeCert tenha sido preterido, você ainda pode usá-lo para gerar certificados. Os certificados de cliente gerados a partir do certificado raiz podem ser instalados em qualquer cliente P2S suportado.
    • Linux - Instruções OpenSSL
    • Linux - Instruções StrongSwan

Gerar certificados de cliente

Cada computador cliente conectado a uma rede virtual com uma conexão ponto a site deve ter um certificado de cliente instalado. Gere-o a partir do certificado raiz e instale-o em cada computador cliente. Se você não instalar um certificado de cliente válido, a autenticação falhará quando o cliente tentar se conectar à rede virtual.

Pode optar por gerar um certificado exclusivo para cada cliente ou pode utilizar o mesmo certificado para vários clientes. A vantagem de gerar certificados para cada cliente individual é a capacidade de revogar um único certificado. Caso contrário, se vários clientes usarem o mesmo certificado de cliente para autenticar e você revogá-lo, será necessário gerar e instalar novos certificados para cada cliente que usar esse certificado.

Você pode gerar certificados de cliente usando os seguintes métodos:

  • Certificado da empresa:

    • Se estiveres a usar uma solução de certificado empresarial, gera um certificado de cliente com um valor de nome comum no formato name@yourdomain.com. Use este formato em vez do formato nome de domínio\nome de usuário.

    • Verifique se o certificado do cliente é baseado em um modelo de certificado de usuário que tenha a Autenticação de Cliente listada como o primeiro item na lista de usuários. Verifique o certificado clicando duas vezes nele e visualizando Uso Avançado de Chave na guia Detalhes.

  • Certificado raiz autoassinado: siga as etapas em um dos seguintes artigos de certificado P2S para que os certificados de cliente criados sejam compatíveis com suas conexões P2S.

    Quando você gera um certificado de cliente a partir de um certificado raiz autoassinado, ele é instalado automaticamente no computador que você usou para gerá-lo. Se você quiser instalar um certificado de cliente em outro computador cliente, exporte-o como um arquivo .pfx, juntamente com toda a cadeia de certificados. Isso criará um arquivo .pfx que contém as informações do certificado raiz necessárias para o cliente autenticar.

    As etapas nestes artigos geram um certificado de cliente compatível, que você pode exportar e distribuir.

    • Instruções do PowerShell do Windows 10 ou posterior: estas instruções exigem o Windows 10 ou posterior e o PowerShell para gerar certificados. Os certificados gerados podem ser instalados em qualquer cliente P2S suportado.

    • Instruções do MakeCert: Use o MakeCert se você não tiver acesso a um computador com Windows 10 ou posterior para gerar certificados. Embora o MakeCert tenha sido preterido, você ainda pode usá-lo para gerar certificados. Você pode instalar os certificados gerados em qualquer cliente P2S suportado.

    • Linux: Consulte as instruções de strongSwan ou OpenSSL.

Add the VPN client address pool (Adicionar um conjunto de endereços do cliente VPN)

O conjunto de endereços de cliente é um conjunto de endereços IP privados que especificar. Os clientes que se conectam através de uma VPN ponto a site recebem dinamicamente um endereço IP desse intervalo. Use um intervalo de endereços IP privados que não se sobreponha ao local a partir do qual você se conecta ou à rede virtual à qual deseja se conectar. Se você configurar vários protocolos e o SSTP for um dos protocolos, o pool de endereços configurado será dividido entre os protocolos configurados igualmente.

  1. No portal do Azure, vá para seu gateway de VPN.
  2. Na página do gateway, no painel esquerdo, selecione Configuração ponto a site.
  3. Na página Configuração de ponto-a-local, clique em Configurar agora.
  4. On the point-to-site configuration page, you'll see the configuration box for Address pool.
  5. Na caixa Pool de Endereços, adicione o intervalo de endereços IP privados que pretende utilizar. Por exemplo, se adicionar o intervalo de endereços 172.16.201.0/24, os clientes VPN conectados receberão um dos endereços IP desse intervalo. A máscara de sub-rede mínima é de 29 bits para configuração ativa/passiva e 28 bits para configuração ativa/ativa.

Depois de adicionar o intervalo, continue para as próximas seções para definir o restante das configurações necessárias.

Especificar o túnel e o tipo de autenticação

Nesta seção, você especifica o tipo de túnel e o tipo de autenticação. Essas configurações podem se tornar complexas. Você pode selecionar opções que contêm vários tipos de túnel na lista suspensa, como IKEv2 e OpenVPN (SSL) ou IKEv2 e SSTP (SSL). Apenas determinadas combinações de tipos de túnel e tipos de autenticação estão disponíveis.

O tipo de túnel e o tipo de autenticação devem corresponder ao software cliente VPN que você deseja usar para se conectar ao Azure. Quando você tem vários clientes VPN se conectando de diferentes sistemas operacionais, planejar o tipo de túnel e o tipo de autenticação é importante. A tabela a seguir mostra os tipos de túnel e os tipos de autenticação disponíveis relacionados ao software cliente VPN.

Tabela do cliente VPN

Método de autenticação Tipo de túnel SO de Cliente cliente de VPN
Certificado
IKEv2, SSTP Windows Cliente VPN nativo
IKEv2 macOS Cliente VPN nativo
IKEv2 Linux strongSwan
OpenVPN Windows Cliente VPN do Azure
Cliente OpenVPN versão 2.x
Cliente OpenVPN versão 3.x
OpenVPN macOS Cliente OpenVPN
OpenVPN iOS Cliente OpenVPN
OpenVPN Linux Azure VPN Client
Cliente OpenVPN
Microsoft Entra ID
OpenVPN Windows Cliente VPN do Azure
OpenVPN macOS Azure VPN Client
OpenVPN Linux Azure VPN Client

Nota

If you don't see tunnel type or authentication type on the Point-to-site configuration page, your gateway is using the Basic SKU. O SKU Básico não suporta a autenticação IKEv2 ou RADIUS. Se quiser utilizar estas definições, é necessário eliminar e recriar o gateway utilizando um SKU de gateway diferente.

  1. Em Tipo de túnel, selecione o tipo de túnel que você deseja usar. Para este exercício, na lista suspensa, selecione IKEv2 e OpenVPN(SSL).

  2. Para Tipo de autenticação, na lista suspensa, selecione Certificado do Azure.

    Captura de ecrã da página Configuração ponto-a-site - tipo de autenticação.

Adicionar outro endereço IP público

If you have an active-active mode gateway, you need to specify a third public IP address to configure point-to-site. No exemplo, criamos o terceiro endereço IP público usando o valor de exemplo VNet1GWpip3. If your gateway isn't in active-active mode, you don't need to add another public IP address.

Captura de ecrã da página de configuração ponto-a-site - endereço IP público.

Carregar informações de chave pública do certificado raiz

Nesta seção, você carrega dados de certificado raiz público no Azure. Depois que os dados do certificado público são carregados, o Azure os usa para autenticar clientes conectados. Os clientes conectados têm um certificado de cliente instalado gerado a partir do certificado raiz confiável.

  1. Make sure that you exported the root certificate as a Base-64 encoded X.509 (.CER) file in the previous steps. Tem de exportar o certificado neste formato para poder abrir o certificado com o editor de texto. Não é necessário exportar a chave privada.

  2. Abra o certificado com um editor de texto, como o Bloco de Notas. Ao copiar os dados do certificado, certifique-se de copiar o texto como uma linha contínua:

    Captura de ecrã dos dados no certificado.

  3. Go to your Virtual network gateway -> Point-to-site configuration page in the Root certificate section. Esta seção só estará visível se você tiver selecionado o certificado do Azure para o tipo de autenticação.

  4. Na seção Certificado raiz, você pode adicionar até 20 certificados raiz confiáveis.

    • Paste the certificate data into the Public certificate data field.
    • Nomeie o certificado.

    Captura de ecrã do campo de dados do certificado.

  5. Não são necessárias rotas adicionais para este exercício. Para obter mais informações sobre o recurso de roteamento personalizado, consulte Anunciar rotas personalizadas.

  6. Selecione Salvar na parte superior da página para salvar todas as definições de configuração. Após a conclusão da implantação das definições de configuração, você poderá gerar e baixar o pacote de configuração do cliente VPN.

Gerar arquivos de configuração de perfil de cliente VPN

Todas as definições de configuração necessárias para os clientes VPN estão contidas em um arquivo zip de configuração de perfil de cliente VPN. Os arquivos de configuração de perfil de cliente VPN são específicos para a configuração do gateway VPN P2S para a rede virtual. Se houver alguma alteração na configuração da VPN P2S depois de gerar os arquivos, como alterações no tipo de protocolo VPN ou no tipo de autenticação, você precisará gerar novos arquivos de configuração de perfil de cliente VPN e aplicar a nova configuração a todos os clientes VPN que deseja conectar. Para obter mais informações sobre conexões P2S, consulte Sobre VPN ponto a site.

Você pode gerar arquivos de configuração de perfil de cliente usando o PowerShell ou usando o portal do Azure. Os exemplos a seguir mostram ambos os métodos. Qualquer um dos métodos retorna o mesmo arquivo zip.

Portal do Azure

  1. No portal do Azure, vá para o gateway de rede virtual da rede virtual à qual você deseja se conectar.

  2. Na página de gateway de rede virtual, selecione Configuração ponto a site para abrir a página Configuração ponto a site.

  3. At the top of the Point-to-site configuration page, select Download VPN client. Isso não baixa o software do cliente VPN, ele gera o pacote de configuração usado para configurar clientes VPN. Leva alguns minutos para o pacote de configuração do cliente gerar. During this time, you might not see any indications until the packet generates.

    Captura de ecrã da página de configuração Ponto-a-site.

  4. Depois que o pacote de configuração é gerado, seu navegador indica que um arquivo zip de configuração do cliente está disponível. It's named the same name as your gateway.

  5. Descompacte o arquivo para visualizar as pastas. Você usará alguns ou todos esses arquivos para configurar seu cliente VPN. Os arquivos gerados correspondem às configurações de autenticação e tipo de túnel que você configurou no servidor P2S.

Configurar clientes VPN e conectar-se ao Azure

Para conhecer as etapas para configurar seus clientes VPN e conectar-se ao Azure, consulte a tabela do cliente VPN na seção Especificar túnel e tipo de autenticação. A tabela contém links para artigos que fornecem etapas detalhadas para configurar o software cliente VPN.

Add or remove trusted root certificates

You can add and remove trusted root certificates from Azure. Quando você remove um certificado raiz, os clientes que têm um certificado gerado a partir dessa raiz não poderão se autenticar e, como resultado, não poderão se conectar. Se quiser que um cliente faça a autenticação e estabeleça ligação, terá de instalar um novo certificado de cliente gerado a partir de um certificado de raiz considerado fidedigno (carregado) no Azure.

Pode adicionar até 20 ficheiros .cer de certificado de raiz fidedigna ao Azure. For instructions, see the section Upload a trusted root certificate.

To remove a trusted root certificate:

  1. Navigate to the Point-to-site configuration page for your virtual network gateway.
  2. Na secção Certificado de raiz da página, localize o certificado que pretende remover.
  3. Select the ellipsis next to the certificate, and then select Remove.

Revogar um certificado de cliente

Pode revogar certificados de cliente. A lista de revogação de certificados permite negar seletivamente a conectividade P2S com base em certificados de cliente individuais. This is different than removing a trusted root certificate. Se remover um certificado de raiz .cer fidedigno do Azure, revoga o acesso a todos os certificados de cliente gerados/assinados pelo certificado de raiz revogado. Quando você revoga um certificado de cliente, em vez do certificado raiz, ele permite que os outros certificados que foram gerados a partir do certificado raiz continuem a ser usados para autenticação.

A prática comum é utilizar o certificado de raiz para gerir o acesso nos níveis de equipa ou organização e utilizar certificados de cliente revogados para controlo de acesso detalhado dos utilizadores individuais.

Pode revogar um certificado de cliente ao adicionar a impressão digital à lista de revogação.

  1. Retrieve the client certificate thumbprint. Para obter mais informações, veja Como obter o Thumbprint de um Certificado.
  2. Copie as informações para um editor de texto e remova todos os espaços para que seja uma cadeia de caracteres contínua.
  3. Navigate to the virtual network gateway Point-to-site-configuration page. Esta é a mesma página que utilizou para carregar um certificado de raiz confiável.
  4. Na secção Certificados revogados, introduza um nome amigável para o certificado (não tem de ser o CN do certificado).
  5. Copy and paste the thumbprint string to the Thumbprint field.
  6. A impressão digital valida e é automaticamente adicionada à lista de revogação. Aparece uma mensagem no ecrã a indicar que a lista está a ser atualizada.
  7. Depois de concluída a atualização, o certificado já não pode ser utilizado para ligar. Os clientes que se tentarem ligar com este certificado irão receber uma mensagem a indicar que o certificado já não é válido.

Point-to-site FAQ

Para perguntas frequentes, consulte as Perguntas frequentes.

Próximos passos

Assim que a ligação estiver concluída, pode adicionar máquinas virtuais às redes virtuais. Para obter mais informações, veja Máquinas Virtuais. Para compreender melhor o funcionamento em rede e as máquinas virtuais, veja Descrição geral da rede VM do Azure e Linux.

Para obter informações de resolução de problemas P2S, consulte Resolução de problemas de ligações ponto a site do Azure.