Compartilhar via


Configurar clientes VPN P2S do Usuário – autenticação de certificado – macOS e iOS

Este artigo ajuda você a se conectar à WAN Virtual do Azure em um sistema operacional macOS ou iOS pela VPN P2S do Usuário para configurações que usam a Autenticação de Certificado. Para se conectar em um sistema operacional iOS ou macOS por um túnel OpenVPN, use um cliente OpenVPN. Para se conectar em um sistema operacional macOS por um túnel IKEv2, use o cliente VPN instalado nativamente no Mac.

Antes de começar

  • Verifique se você concluiu as etapas de configuração necessárias no Tutorial: criar uma conexão VPN P2S do Usuário usando a WAN Virtual do Azure.

  • Gerar arquivos de configuração do cliente VPN: os arquivos de configuração do cliente VPN gerados são específicos para o perfil de VPN do Usuário de WAN Virtual que você baixou. A WAN Virtual tem dois tipos diferentes de perfis de configuração: nível de WAN (global) e nível de hub. Se houver alterações na configuração da VPN P2S após a geração dos arquivos ou se você alterar para um tipo de perfil diferente, será necessário gerar novos arquivos de configuração do cliente VPN e aplicar a nova configuração a todos os clientes VPN que você deseja conectar. Confira Gerar arquivos de configuração do cliente VPN do Usuário.

  • Obter certificados: as seções abaixo exigem certificados. Verifique se você tem o certificado do cliente e as informações do certificado do servidor raiz. Para obter mais informações, confira Gerar e exportar certificados, para obter mais informações.

IKEv2 – cliente nativo – etapas do macOS

Depois de gerar e baixar o pacote de configuração do cliente VPN, descompacte-o para exibir as pastas. Ao configurar os clientes nativos do macOS, use os arquivos na pasta Genérico. A pasta Genérico existirá, se o IKEv2 tiver sido configurado no gateway. Você pode encontrar todas as informações necessárias para configurar o cliente VPN nativo na pasta Genérico. Se a pasta Genérico não for exibida, verifique se o IKEv2 é um dos tipos de túnel e baixe o pacote de configuração novamente.

A pasta Genérico contém os seguintes arquivos.

  • VpnSettings.xml, que contém configurações importantes, como o tipo de túnel e o endereço do servidor.
  • VpnServerRoot.cer, que contém o certificado raiz necessário para validar o gateway de VPN do Azure durante a instalação de conexão P2S.

Use as seguintes etapas para configurar o cliente VPN nativo do Mac para autenticação de certificado. Essas etapas devem ser concluídas em todos os Mac que você deseja conectar ao Azure.

Instalar certificados

Certificado raiz

  1. Copie para o arquivo de certificado raiz – VpnServerRoot.cer – ao seu Mac. Clique duas vezes no certificado. Dependendo do sistema operacional, o certificado será instalado automaticamente ou a página Adicionar Certificados será exibida.
  2. Se a página Adicionar Certificados for exibida, em Conjunto de Chaves: clique nas setas e selecione o logon na lista suspensa.
  3. Clique em Adicionar para importar o arquivo.

Certificado do cliente

O certificado do cliente é usado para autenticação e é necessário. Normalmente, basta clicar no certificado do cliente para instalar. Para obter mais informações sobre como instalar um certificado do cliente, confira Instalar um certificado do cliente.

Verificar a instalação do certificado

Verifique se o cliente e o certificado raiz estão instalados.

  1. Abra Acesso ao Conjunto de Chaves.
  2. Acesse a guia Certificados.
  3. Verifique se o cliente e o certificado raiz estão instalados.

Configurar o perfil de cliente VPN

  1. Acesse Preferências do Sistema -> Rede. Na página Rede, clique em '+' para criar um novo perfil de conexão do cliente VPN para uma conexão P2S com a rede virtual do Azure.

    Captura de tela mostra a janela Rede para clicar no sinal de mais.

  2. Na página Selecionar a interface, clique nas setas ao lado de Interface:. Na lista suspensa, clique em VPN.

    Captura de tela que mostra a janela de rede com a opção de selecionar uma interface, o VPN está selecionado.

  3. Em Tipo de VPN, na lista suspensa, clique em IKEv2. No campo Nome do Serviço, especifique um nome amigável para o perfil e clique em Criar.

    A captura de tela mostra a janela Rede, com a opção de selecionar uma interface, selecionar o tipo de VPN e inserir o nome do serviço.

  4. Acesse o perfil de cliente VPN que você baixou. Na pasta Genérico, abra o arquivo VpnSettings.xml usando um editor de texto. No exemplo, você pode ver que esse perfil de cliente VPN se conecta a um perfil de VPN do Usuário no nível de WAN e que os Tipos de VPN são IKEv2 e OpenVPN. Embora haja dois tipos de VPN listados, esse cliente VPN se conectará pelo IKEv2. Copie o valor da marca VpnServer.

    A captura de tela mostra o arquivo VpnSettings.xml aberto com a marca VpnServer realçada.

  5. Cole o valor da marcação VpnServer nos campos Endereço do servidor e ID remoto do perfil. Deixe a ID Local em branco. Em seguida, clique em Configurações da Autenticação....

    A captura de tela mostra as informações do servidor coladas nos campos.

Defina as configurações de autenticação

Big Sur e posterior

  1. Na página Configurações de Autenticação, no campo Configurações de Autenticação, clique nas setas para selecionar Certificado.

    A captura de tela mostra as configurações de autenticação com certificado selecionado.

  2. Clique em Selecionar para abrir a página Escolher uma Identidade.

    Captura de tela da opção de clicar em Selecionar.

  3. A página Escolha uma identidade exibe uma lista de certificados de sua escolha. Se você não tiver certeza de qual certificado usar, selecioneMostrar Certificado para ver mais informações sobre cada certificado. Clique no certificado adequado e depois em Continuar.

    A captura de tela mostra as propriedades do certificado.

  4. Na página Configurações de Autenticação verifique se o certificado correto é mostrado e clique em OK.

    Captura de tela que mostra a caixa de diálogo Escolher uma Identidade, na qual você pode selecionar o certificado apropriado.

Catalina

Se você estiver usando o Catalina, use estas etapas de configurações de autenticação:

  1. Em Configurações de Autenticação, escolha Nenhuma.

  2. Clique em Certificado e depois em Selecionar e escolha o certificado do cliente correto instalado anteriormente. Depois, clique em OK.

Especificar certificado

  1. No campo ID local, especifique o nome do certificado. Neste exemplo, é P2SChildCertMac.

    A captura de tela mostra o valor da ID local.

  2. Clique em Aplicar, para salvar todas as alterações.

Connect

  1. Clique em Conectar, para iniciar a conexão P2S com a rede virtual do Azure. Pode ser necessário inserir a senha do conjunto de chaves de "logon".

    Captura de tela mostra o botão Conectar.

  2. Depois que a conexão tiver sido estabelecida, o status será exibido como Conectado e você poderá exibir o endereço IP que foi extraído do pool de endereços do cliente VPN.

    Captura de tela mostra Conectado.

Cliente OpenVPN – etapas do macOS

O seguinte exemplo usa TunnelBlick.

Importante

Somente o macOS 10.13 e superior são compatíveis com o protocolo OpenVPN.

Observação

O Cliente OpenVPN versão 2.6 ainda não tem suporte.

  1. Baixe e instale um cliente OpenVPN, como TunnelBlick.

  2. Baixe o pacote de perfil do cliente VPN no portal do Azure, se você ainda não o fez.

  3. Descompacte o perfil. Abra o arquivo de configuração vpnconfig.ovpn na pasta OpenVPN em um editor de texto.

  4. Preencha a seção de certificado de cliente P2S com a chave pública do certificado de cliente P2S em base64. Em um certificado formatado em PEM, abra o arquivo .cer e copie a chave base64 entre os cabeçalhos de certificado.

  5. Preencha a seção de chave privada com a chave privada do certificado de cliente P2S em base64. Consulte Exportar sua chave privada para obter mais informações sobre como extrair uma chave privada.

  6. Não altere os outros campos. Use a configuração preenchida da entrada do cliente para se conectar à VPN.

  7. Clique duas vezes no arquivo de perfil para criar o perfil no Tunnelblick.

  8. Inicie o Tunnelblick na pasta de aplicativos.

  9. Clique no ícone do Tunnelblick na bandeja do sistema e escolha conectar.

Cliente OpenVPN – etapas do iOS

O exemplo a seguir usa OpenVPN Connect na App Store.

Importante

Apenas o iOS 11.0 e superior é compatível com o protocolo OpenVPN.

Observação

O Cliente OpenVPN versão 2.6 ainda não tem suporte.

  1. Instale o cliente OpenVPN (versão 2.4 ou superior) na App store. A versão 2.6 ainda não tem suporte.

  2. Baixe o pacote de perfil do cliente VPN no portal do Azure, se você ainda não o fez.

  3. Descompacte o perfil. Abra o arquivo de configuração vpnconfig.ovpn na pasta OpenVPN em um editor de texto.

  4. Preencha a seção de certificado de cliente P2S com a chave pública do certificado de cliente P2S em base64. Em um certificado formatado em PEM, abra o arquivo .cer e copie a chave base64 entre os cabeçalhos de certificado.

  5. Preencha a seção de chave privada com a chave privada do certificado de cliente P2S em base64. Consulte Exportar sua chave privada para obter mais informações sobre como extrair uma chave privada.

  6. Não altere os outros campos.

  7. Envie por email o arquivo de perfil (. ovpn) para sua conta de email configurada no aplicativo de email em seu iPhone.

  8. Abra o email no aplicativo de email do iPhone e toque no arquivo anexado.

    Captura de tela que mostra a mensagem pronta para ser enviada.

  9. Toque em Mais se você não vir a opção Copiar para o OpenVPN.

    Captura de tela que mostra como tocar mais.

  10. Toque em Copiar para o OpenVPN.

    Captura de tela que mostra a cópia para o OpenVPN.

  11. Toque em Adicionar na página Importar perfil

    Captura de tela que mostra o perfil de importação.

  12. Toque em Adicionar na página Perfil importado

    Captura de tela que mostra o perfil importado.

  13. Inicie o aplicativo OpenVPN e deslize a opção na página Perfil diretamente para conectar

    Captura de tela que mostra o controle deslizante para conectar.

Próximas etapas

Tutorial: criar uma conexão VPN P2S do Usuário usando a WAN Virtual do Azure.