Configurar o cliente OpenVPN Connect 3.x para conexões de autenticação de certificado P2S – Windows

Artigo
10/21/2024

Se o gateway de VPN P2S (ponto a site) estiver configurado para usar o OpenVPN e a autenticação de certificado, você poderá se conectar à rede virtual usando o Cliente OpenVPN. Este artigo orienta você pelas etapas para configurar o cliente OpenVPN Connect 3.x e conectar-se à sua rede virtual. Há algumas diferenças de configuração entre o cliente OpenVPN 2.x e o cliente OpenVPN Connect 3.x. Este artigo se concentra no cliente OpenVPN Connect 3.x.

Antes de começar

Antes de iniciar as etapas de configuração do cliente, verifique se você está no artigo de configuração do cliente VPN correto. A tabela a seguir mostra os artigos de configuração disponíveis para clientes VPN ponto a site do Gateway de VPN. As etapas diferem, dependendo do tipo de autenticação, do tipo de túnel e do sistema operacional do cliente.

Autenticação	Tipo de túnel	Sistema operacional cliente	Cliente VPN
Certificado
	IKEv2, SSTP	Windows	Cliente VPN nativo
	IKEv2	macOS	Cliente VPN nativo
	IKEv2	Linux	strongSwan
	OpenVPN	Windows	Cliente VPN do Azure Cliente OpenVPN versão 2.x Cliente OpenVPN versão 3.x
	OpenVPN	macOS	Cliente OpenVPN
	OpenVPN	iOS	Cliente OpenVPN
	OpenVPN	Linux	Cliente VPN do Azure Cliente OpenVPN
Microsoft Entra ID
	OpenVPN	Windows	Cliente VPN do Azure
	OpenVPN	macOS	Cliente VPN do Azure
	OpenVPN	Linux	Cliente VPN do Azure

Observação

O cliente OpenVPN é gerenciado de forma independente e não está sob o controle da Microsoft. Isso significa que a Microsoft não supervisiona seu código, builds, roteiro ou aspectos legais. Caso os clientes encontrem bugs ou problemas com o cliente OpenVPN, eles devem entrar em contato diretamente com o suporte da OpenVPN Inc. As diretrizes nesse artigo são fornecidas "como estão" e não foram validadas pela OpenVPN Inc. Elas se destinam a ajudar os clientes que já estão familiarizados com o cliente e querem usá-lo para se conectar ao Gateway de VPN do Azure em uma configuração de VPN ponto a site.

Pré-requisitos

Este artigo pressupõe que você tenha executado os seguintes pré-requisitos:

Você criou e configurou seu gateway de VPN para autenticação de certificado ponto a site e um tipo de túnel OpenVPN. Confira Definir as configurações do servidor para conexões de Gateway de VPN P2S - autenticação de certificado para obter as etapas.
Você gerou e baixou os arquivos de configuração do cliente VPN. Confira Gerar arquivos de configuração de perfil de cliente VPN para ver as etapas.
Você pode gerar certificados de cliente ou adquirir os certificados de cliente necessários para a autenticação.

Requisitos de conexão

Para se conectar ao Azure usando o cliente OpenVPN Connect 3.x com a autenticação de certificado, cada computador cliente conectado requer os seguintes itens:

O software cliente do OpenVPN Connect deve ser instalado e configurado em cada computador cliente.
O computador cliente deve ter um certificado de cliente instalado localmente.
Se sua cadeia de certificados incluir um certificado intermediário, confira a seção Certificados intermediários primeiro para verificar se a configuração do gateway de VPN P2S está configurada para dar suporte a essa cadeia de certificados. O comportamento de autenticação de certificado para clientes 3.x é diferente das versões anteriores, em que você podia especificar o certificado intermediário no perfil do cliente.

Workflow

O fluxo de trabalho deste artigo é:

Gerar e instalar certificados de cliente se você ainda não fez isso.
Exibir os arquivos de configuração do perfil do cliente VPN contidos no pacote de configuração do perfil do cliente VPN gerado.
Configure o cliente OpenVPN Connect.
Conecte-se ao Azure.

Gerar e instalar certificados de cliente

Para autenticação de certificado, um certificado do cliente deve ser instalado em cada computador cliente. O certificado do cliente que você deseja deve ser exportado com a chave privada e deve conter todos os certificados no caminho de certificação. Além disso, para algumas configurações, você também precisa instalar informações de certificado raiz.

Em muitos casos, você pode instalar o certificado do cliente diretamente no computador cliente clicando duas vezes. No entanto, para algumas configurações do cliente OpenVPN, talvez seja necessário extrair informações do certificado do cliente para concluir a configuração.

Para obter informações sobre trabalho com certificados, consulte Ponto a site: gerar certificados.
Para exibir o certificado do cliente instalado, abra Gerenciar Certificados de Usuário. O certificado do cliente está instalado em Usuário atual\Personal\Certificates.

Instalar um certificado cliente

Cada computador precisa de um certificado de cliente para ser autenticado. Se o certificado de cliente ainda não estiver instalado no computador local, você poderá instalá-lo seguindo essas etapas:

Localize o certificado do cliente. Para obter mais informações sobre certificados de cliente, veja Instalar certificados de cliente.
Instale o certificado do cliente. Normalmente, você pode fazer isso clicando duas vezes no arquivo de certificado e fornecendo uma senha (se necessário).

Exibir arquivos de configuração

O pacote de configuração do perfil de cliente VPN contém pastas específicas. Os arquivos nas pastas contêm as configurações necessárias para configurar o perfil do cliente VPN no computador cliente. Os arquivos e as configurações que eles contêm são específicos para o gateway de VPN e o tipo de autenticação e túnel que seu gateway de VPN está configurado para usar.

Localize e descompacte o pacote de configuração de perfil do cliente VPN gerado. Para autenticação de certificado e OpenVPN, você deverá ver uma pasta OpenVPN. Se não encontrar a pasta, verifique o seguinte:

Verifique se o gateway de VPN está configurado para usar o tipo de túnel OpenVPN.
Se você estiver usando a autenticação do Microsoft Entra ID, talvez não tenha uma pasta OpenVPN. Em vez disso, consulte o artigo de configuração Microsoft Entra ID.

Configurar o cliente

Baixe e instale o cliente OpenVPN versão 3.x do site oficial do OpenVPN.
Localize o pacote de configuração do perfil de cliente VPN que você gerou e baixou no computador. Extraia o pacote. Acesse a pasta OpenVPN e abra o arquivo de configuração vpnconfig.ovpn usando o Bloco de notas.
Em seguida, localize o certificado filho que você criou. Se você não tiver o certificado, use um dos links a seguir para obter as etapas para exportar o certificado. Você usará as informações do certificado na próxima etapa.
- Instruções doGateway de VPN
- Instruções de WAN virtual
No certificado filho, extraia a chave privada e a impressão digital base64 do .pfx. Há várias maneiras de realizar isso. Usar OpenSSL no computador é uma maneira. O arquivo profileinfo.txt contém a chave privada e a impressão digital da CA e do certificado do Cliente. Certifique-se de usar a impressão digital do certificado do cliente.
```
openssl pkcs12 -in "filename.pfx" -nodes -out "profileinfo.txt"
```
Alterne para o arquivo vpnconfig.ovpn que você abriu no Bloco de notas. Preencha a seção entre <cert> e </cert>, obtendo os valores para $CLIENT_CERTIFICATE e $ROOT_CERTIFICATE conforme mostrado no exemplo a seguir.
```
   # P2S client certificate
   # please fill this field with a PEM formatted cert
   <cert>
   $CLIENT_CERTIFICATE
   $ROOT_CERTIFICATE
   </cert>
```
- Abra profileinfo.txt da etapa anterior no Bloco de notas. Você pode identificar cada certificado observando a linha subject=. Por exemplo, se o certificado filho for chamado de P2SChildCert, o certificado do cliente será após o atributo subject=CN = P2SChildCert.
- Para cada certificado na cadeia, copie o texto (incluindo e entre) "-----BEGIN CERTIFICATE-----" e "-----END CERTIFICATE-----".
Abra profileinfo.txt no Bloco de Notas. Para obter a chave privada, selecione o texto (incluindo e entre) "-----BEGIN PRIVATE KEY-----" e "-----END PRIVATE KEY-----" e faça uma cópia dele.
Retorne para o arquivo vpnconfig.ovpn no Bloco de Notas e localize esta seção. Cole a chave privada substituindo tudo entre <key> e </key>.
```
# P2S client root certificate private key
# please fill this field with a PEM formatted key
<key>
$PRIVATEKEY
</key>
```
Comente a linha "log openvpn.log". Se ela não for comentada, o cliente OpenVPN relatará que o log não é mais uma opção com suporte. Confira o Exemplo de perfil do usuário para ver um exemplo de como comentar a linha de log. Depois de comentar a linha de log, você ainda poderá acessar logs por meio da interface do cliente OpenVPN. Para acessar, clique no ícone de log no canto superior direito da interface do usuário do cliente. A Microsoft recomenda que os clientes verifiquem a documentação de conexão do OpenVPN para o local do arquivo de log porque o registro em log é controlado pelo cliente OpenVPN.
Não altere os outros campos. Use a configuração preenchida da entrada do cliente para se conectar à VPN.
Importe o arquivo vpnconfig.ovpn no cliente OpenVPN.
Clique com botão direito no ícone OpenVPN na bandeja do sistema e clique em Conectar.

Exemplo de perfil do usuário

O exemplo a seguir mostra um arquivo de configuração de perfil do usuário para clientes OpenVPN Connect 3.x. Esse exemplo mostra o arquivo de log comentado e a opção "ping-restart 0" adicionada para impedir reconexões periódicas devido à falta de tráfego enviado ao cliente.

client
remote <vpnGatewayname>.ln.vpn.azure.com 443
verify-x509-name <IdGateway>.ln.vpn.azure.com name
remote-cert-tls server

dev tun
proto tcp
resolv-retry infinite
nobind

auth SHA256
cipher AES-256-GCM
persist-key
persist-tun

tls-timeout 30
tls-version-min 1.2
key-direction 1

#log openvpn.log
#inactive 0
ping-restart 0 
verb 3

# P2S CA root certificate
<ca>
-----BEGIN CERTIFICATE-----
……
……..
……..
……..

-----END CERTIFICATE-----
</ca>

# Pre Shared Key
<tls-auth>
-----BEGIN OpenVPN Static key V1-----
……..
……..
……..

-----END OpenVPN Static key V1-----
</tls-auth>

# P2S client certificate
# Please fill this field with a PEM formatted client certificate
# Alternatively, configure 'cert PATH_TO_CLIENT_CERT' to use input from a PEM certificate file.
<cert>
-----BEGIN CERTIFICATE-----
……..
……..
……..
-----END CERTIFICATE-----
</cert>

# P2S client certificate private key
# Please fill this field with a PEM formatted private key of the client certificate.
# Alternatively, configure 'key PATH_TO_CLIENT_KEY' to use input from a PEM key file.
<key>
-----BEGIN PRIVATE KEY-----
……..
……..
……..
-----END PRIVATE KEY-----
</key>

Certificados intermediários

Se a cadeia de certificados incluir certificados intermediários, você deverá carregar os certificados intermediários no gateway de VPN do Azure. Esse é o método preferencial a ser usado, independentemente do cliente VPN que você escolher para se conectar. Nas versões anteriores, você podia especificar certificados intermediários no perfil do usuário. Não há mais suporte para isso no cliente OpenVPN Connect versão 3.x.

Quando você está trabalhando com certificados intermediários, o certificado intermediário deverá ser carregado após o certificado raiz.

Reconecta

Se você tiver reconexões periódicas devido à falta de tráfego enviado ao cliente, você poderá adicionar a opção "ping-restart 0" ao perfil para evitar que desconexões causem reconexões. Isso é descrito na documentação do OpenVPN Connect da seguinte maneira: "--ping-restart n Semelhante a --ping-exit, mas dispara uma reinicialização do SIGUSR1 após n segundos sem receber um ping ou outro pacote remoto."

Confira o Exemplo de perfil do usuário para obter um exemplo de como adicionar essa opção.

Próximas etapas

Faça o acompanhamento de qualquer configuração adicional de servidor ou conexão. Consulte Etapas de configuração ponto a site.

Compartilhar via