Compartilhar via

Configurar o cliente OpenVPN 2.x para conexões de autenticação de certificado P2S – Windows

  • Artigo

Se o gateway de VPN P2S (ponto a site) estiver configurado para usar o OpenVPN e a autenticação de certificado, você poderá se conectar à rede virtual usando o Cliente OpenVPN. Este artigo explica as etapas para configurar o cliente OpenVPN 2.4 e superior. e conectar-se à sua rede virtual.

Antes de começar

Antes de iniciar as etapas de configuração do cliente, verifique se você está no artigo de configuração do cliente VPN correto. A tabela a seguir mostra os artigos de configuração disponíveis para clientes VPN ponto a site do Gateway de VPN. As etapas diferem, dependendo do tipo de autenticação, do tipo de túnel e do sistema operacional do cliente.

Autenticação Tipo de túnel Sistema operacional cliente Cliente VPN
Certificado
IKEv2, SSTP Windows Cliente VPN nativo
IKEv2 macOS Cliente VPN nativo
IKEv2 Linux strongSwan
OpenVPN Windows Cliente VPN do Azure
Cliente OpenVPN versão 2.x
Cliente OpenVPN versão 3.x
OpenVPN macOS Cliente OpenVPN
OpenVPN iOS Cliente OpenVPN
OpenVPN Linux Cliente VPN do Azure
Cliente OpenVPN
Microsoft Entra ID
OpenVPN Windows Cliente VPN do Azure
OpenVPN macOS Cliente VPN do Azure
OpenVPN Linux Cliente VPN do Azure

Observação

O cliente OpenVPN é gerenciado de forma independente e não está sob o controle da Microsoft. Isso significa que a Microsoft não supervisiona seu código, builds, roteiro ou aspectos legais. Caso os clientes encontrem bugs ou problemas com o cliente OpenVPN, eles devem entrar em contato diretamente com o suporte da OpenVPN Inc. As diretrizes nesse artigo são fornecidas "como estão" e não foram validadas pela OpenVPN Inc. Elas se destinam a ajudar os clientes que já estão familiarizados com o cliente e querem usá-lo para se conectar ao Gateway de VPN do Azure em uma configuração de VPN ponto a site.

Pré-requisitos

Este artigo pressupõe que você tenha executado os seguintes pré-requisitos:

Requisitos de conexão

Para se conectar ao Azure usando o cliente OpenVPN usando a autenticação de certificado, cada computador cliente que estiver se conectando exigirá os seguintes itens:

  • O software cliente OpenVPN deve ser instalado e configurado em cada computador cliente.
  • O computador cliente deve ter um certificado de cliente instalado localmente.

Workflow

O fluxo de trabalho deste artigo é:

  1. Gerar e instalar certificados de cliente se você ainda não fez isso.
  2. Exibir os arquivos de configuração do perfil do cliente VPN contidos no pacote de configuração do perfil do cliente VPN gerado.
  3. Configure o cliente OpenVPN.
  4. Conecte-se ao Azure.

Gerar e instalar certificados de cliente

Para autenticação de certificado, um certificado do cliente deve ser instalado em cada computador cliente. O certificado do cliente que você deseja deve ser exportado com a chave privada e deve conter todos os certificados no caminho de certificação. Além disso, para algumas configurações, você também precisa instalar informações de certificado raiz.

Em muitos casos, você pode instalar o certificado do cliente diretamente no computador cliente clicando duas vezes. No entanto, para determinadas configurações de cliente OpenVPN,é aconselhável extrair informações do certificado do cliente para concluir a configuração.

  • Para obter informações sobre trabalho com certificados, consulte Ponto a site: gerar certificados.
  • Para exibir o certificado do cliente instalado, abra Gerenciar Certificados de Usuário. O certificado do cliente está instalado em Usuário atual\Personal\Certificates.

Instalar um certificado cliente

Cada computador precisa de um certificado de cliente para ser autenticado. Se o certificado de cliente ainda não estiver instalado no computador local, você poderá instalá-lo seguindo essas etapas:

  1. Localize o certificado do cliente. Para obter mais informações sobre certificados de cliente, veja Instalar certificados de cliente.
  2. Instale o certificado do cliente. Normalmente, você pode fazer isso clicando duas vezes no arquivo de certificado e fornecendo uma senha (se necessário).

Exibir arquivos de configuração

O pacote de configuração do perfil de cliente VPN contém pastas específicas. Os arquivos nas pastas contêm as configurações necessárias para configurar o perfil do cliente VPN no computador cliente. Os arquivos e as configurações que eles contêm são específicos para o gateway de VPN e o tipo de autenticação e túnel que seu gateway de VPN está configurado para usar.

Localize e descompacte o pacote de configuração de perfil do cliente VPN gerado. Para autenticação de certificado e OpenVPN, você deverá ver uma pasta OpenVPN. Se não encontrar a pasta, verifique o seguinte:

  • Verifique se o gateway de VPN está configurado para usar o tipo de túnel OpenVPN.
  • Se você estiver usando a autenticação do Microsoft Entra, talvez não tenha uma pasta OpenVPN. Em vez disso, consulte o artigo de configuração Microsoft Entra ID.

Configurar o cliente

  1. Baixe e instale o cliente OpenVPN (versão 2.4 ou superior) do site oficial do OpenVPN.

  2. Localize o pacote de configuração do perfil de cliente VPN que você gerou e baixou no computador. Extraia o pacote. Acesse a pasta OpenVPN e abra o arquivo de configuração vpnconfig.ovpn usando o Bloco de notas.

  3. Em seguida, localize o certificado filho que você criou. Se você não tiver o certificado, use um dos links a seguir para obter as etapas para exportar o certificado. Você usará as informações do certificado na próxima etapa.

  4. No certificado filho, extraia a chave privada e a impressão digital base64 do .pfx. Há várias maneiras de realizar isso. Usar OpenSSL no computador é uma maneira. O arquivo profileinfo.txt contém a chave privada e a impressão digital da CA e do certificado do Cliente. Certifique-se de usar a impressão digital do certificado do cliente.

    openssl pkcs12 -in "filename.pfx" -nodes -out "profileinfo.txt"

  5. Alterne para o arquivo vpnconfig.ovpn que você abriu no Bloco de notas. Preencha a seção entre <cert> e </cert>, obtendo os valores para $CLIENT_CERTIFICATE, $INTERMEDIATE_CERTIFICATE e $ROOT_CERTIFICATE conforme mostrado no exemplo a seguir.

       # P2S client certificate
   # please fill this field with a PEM formatted cert
   <cert>
   $CLIENT_CERTIFICATE
   $INTERMEDIATE_CERTIFICATE (optional)
   $ROOT_CERTIFICATE
   </cert>
    • Abra profileinfo.txt da etapa anterior no Bloco de notas. Você pode identificar cada certificado observando a linha subject=. Por exemplo, se o certificado filho for chamado de P2SChildCert, o certificado do cliente será após o atributo subject=CN = P2SChildCert.
    • Para cada certificado na cadeia, copie o texto (incluindo e entre) "-----BEGIN CERTIFICATE-----" e "-----END CERTIFICATE-----".
    • Inclua apenas um $INTERMEDIATE_CERTIFICATE valor se você tiver um certificado intermediário no arquivo profileinfo.txt.

  6. Abra profileinfo.txt no Bloco de Notas. Para obter a chave privada, selecione o texto (incluindo e entre) "-----BEGIN PRIVATE KEY-----" e "-----END PRIVATE KEY-----" e faça uma cópia dele.

  7. Retorne para o arquivo vpnconfig.ovpn no Bloco de Notas e localize esta seção. Cole a chave privada substituindo tudo entre <key> e </key>.

    # P2S client root certificate private key
# please fill this field with a PEM formatted key
<key>
$PRIVATEKEY
</key>

  8. Se você estiver usando a versão 2.6 do cliente OpenVPN, adicione a opção "disable-dco" ao perfil. Essa opção não parece ser compatível com versões anteriores, portanto, ela só deve ser adicionada ao cliente OpenVPN versão 2.6.

  9. Não altere os outros campos. Use a configuração preenchida da entrada do cliente para se conectar à VPN.

  10. Copie o arquivo vpnconfig.ovpn para a pasta C:\Arquivos de Programas\OpenVPN\config.

  11. Clique com botão direito no ícone OpenVPN na bandeja do sistema e clique em Conectar.

Próximas etapas

Faça o acompanhamento de qualquer configuração adicional de servidor ou conexão. Consulte Etapas de configuração ponto a site.