Configurar o cliente OpenVPN para conexões de autenticação de certificado P2S - Windows
Se o seu gateway VPN ponto a site (P2S) estiver configurado para usar OpenVPN e autenticação de certificado, você poderá se conectar à sua rede virtual usando o Cliente OpenVPN. Este artigo orienta você pelas etapas para configurar o cliente OpenVPN e conectar-se à sua rede virtual.
Antes de começar
Este artigo pressupõe que você já tenha executado os seguintes pré-requisitos:
- Você criou e configurou seu gateway VPN para autenticação de certificado ponto a site e o tipo de túnel OpenVPN. Consulte Definir configurações do servidor para conexões do Gateway VPN P2S - autenticação de certificado para obter as etapas.
- Você gerou certificados de cliente e baixou os arquivos de configuração do cliente VPN. Consulte Clientes VPN ponto a site: autenticação de certificado - Windows
Antes de iniciar as etapas de configuração do cliente, verifique se você está no artigo de configuração do cliente VPN correto. A tabela a seguir mostra os artigos de configuração disponíveis para clientes VPN ponto a site do Gateway VPN. As etapas são diferentes, dependendo do tipo de autenticação, do tipo de túnel e do sistema operacional cliente.
| Autenticação | Tipo de túnel | Gerar arquivos de configuração | Configurar cliente VPN |
|---|---|---|---|
| Certificado do Azure | IKEv2, SSTP | Windows | Cliente VPN nativo |
| Certificado do Azure | OpenVPN | Windows | - Cliente OpenVPN - Cliente VPN do Azure |
| Certificado do Azure | IKEv2, OpenVPN | macOS-iOS | macOS-iOS |
| Certificado do Azure | IKEv2, OpenVPN | Linux | Linux |
| Microsoft Entra ID | OpenVPN (SSL) | Windows | Windows |
| Microsoft Entra ID | OpenVPN (SSL) | macOS | macOS |
| RADIUS - certificado | - | Artigo | Artigo |
| RADIUS - palavra-passe | - | Artigo | Artigo |
| RADIUS - outros métodos | - | Artigo | Artigo |
Requisitos de conexão
Para se conectar ao Azure, cada computador cliente conectado requer os seguintes itens:
- O software Open VPN Client deve ser instalado e configurado em cada computador cliente.
- O computador cliente deve ter um certificado de cliente instalado localmente.
Exibir arquivos de configuração
O pacote de configuração do perfil do cliente VPN contém pastas específicas. Os arquivos dentro das pastas contêm as configurações necessárias para configurar o perfil do cliente VPN no computador cliente. Os arquivos e as configurações que eles contêm são específicos para o gateway VPN e o tipo de autenticação e túnel que seu gateway VPN está configurado para usar.
Localize e descompacte o pacote de configuração do perfil do cliente VPN que você gerou. Para autenticação de certificado e OpenVPN, você deve ver uma pasta OpenVPN. Se não vir a pasta, verifique os seguintes itens:
- Verifique se seu gateway VPN está configurado para usar o tipo de túnel OpenVPN.
- Se estiver a utilizar a autenticação do Microsoft Entra, poderá não ter uma pasta OpenVPN. Consulte o artigo de configuração do Microsoft Entra ID .
Configurar o cliente
Nota
A versão 2.6 do OpenVPN Client ainda não é suportada.
Baixe e instale o cliente OpenVPN (versão 2.4 ou superior) do site oficial do OpenVPN. A versão 2.6 ainda não é suportada.
Localize o pacote de configuração de perfil de cliente VPN que você gerou e baixou para o seu computador. Extraia a embalagem. Vá para a pasta OpenVPN e abra o arquivo de configuração vpnconfig.ovpn usando o Bloco de Notas.
Em seguida, localize o certificado filho que você criou. Se você não tiver o certificado, use um dos links a seguir para conhecer as etapas de exportação do certificado. Você usará as informações do certificado na próxima etapa.
- Instruções do Gateway VPN
- Instruções da WAN virtual
Do certificado filho, extraia a chave privada e a impressão digital base64 do .pfx. Existem várias formas de o fazer. Usar OpenSSL no seu computador é uma maneira. O arquivo profileinfo.txt contém a chave privada e a impressão digital para a autoridade de certificação e o certificado do cliente. Certifique-se de usar a impressão digital do certificado do cliente.
openssl pkcs12 -in "filename.pfx" -nodes -out "profileinfo.txt"Mude para o ficheiro vpnconfig.ovpn que abriu no Bloco de Notas. Preencha a seção entre
<cert>e</cert>, obtendo os valores para$CLIENT_CERTIFICATE,$INTERMEDIATE_CERTIFICATEe$ROOT_CERTIFICATEconforme mostrado abaixo.# P2S client certificate # please fill this field with a PEM formatted cert <cert> $CLIENT_CERTIFICATE $INTERMEDIATE_CERTIFICATE (optional) $ROOT_CERTIFICATE </cert>- Abra profileinfo.txt da etapa anterior no Bloco de Notas. Você pode identificar cada certificado observando a
subject=linha. Por exemplo, se o certificado filho for chamado P2SChildCert, o certificado do cliente ficará atrás dosubject=CN = P2SChildCertatributo. - Para cada certificado na cadeia, copie o texto (incluindo e entre) "-----BEGIN CERTIFICATE-----" e "-----END CERTIFICATE-----".
- Inclua apenas um
$INTERMEDIATE_CERTIFICATEvalor se tiver um certificado intermédio no ficheiro profileinfo.txt .
- Abra profileinfo.txt da etapa anterior no Bloco de Notas. Você pode identificar cada certificado observando a
Abra o profileinfo.txt no Bloco de Notas. Para obter a chave privada, selecione o texto (incluindo e entre) "-----BEGIN PRIVATE KEY-----" e "-----END PRIVATE KEY-----" e copie-o.
Volte para o arquivo vpnconfig.ovpn no Bloco de Notas e encontre esta seção. Cole a chave privada substituindo tudo entre e
<key>e</key>.# P2S client root certificate private key # please fill this field with a PEM formatted key <key> $PRIVATEKEY </key>Não altere nenhum outro campo. Utilize a configuração preenchida na entrada de cliente para ligar à VPN.
Copie o ficheiro vpnconfig.ovpn para a pasta C:\Program Files\OpenVPN\config.
Clique com o botão direito do mouse no ícone OpenVPN na bandeja do sistema e clique em Conectar.
Próximos passos
Etapasde configuração ponto a site Clientes VPN ponto a site: autenticação de certificado - Windows