Configurar uma conexão de autenticação de certificado do Gateway de VPN S2S – Versão prévia

Neste artigo, você usará o portal do Azure para criar uma conexão de gateway de VPN de autenticação de certificado S2S (site a site) entre a rede local e a rede virtual. As etapas para essa configuração usam a identidade gerenciada, o Azure Key Vault e os certificados. Se você precisar criar uma conexão VPN site a site que use uma chave compartilhada, confira Criar uma conexão VPN S2S.

Pré-requisitos

Observação

Não há suporte para a autenticação de certificado site a site em gateways de VPN de SKU Básico.

• Você já tem uma rede virtual e um gateway de VPN. Caso contrário, siga as etapas para Criar um gateway de VPN e volte a esta página para configurar a conexão de autenticação de certificado site a site.

• Verifique se você tem um dispositivo VPN compatível e alguém que possa configurá-lo. Para obter mais informações sobre dispositivos VPN compatíveis e a configuração do dispositivo, confira Sobre dispositivos VPN.

• Verifique se você possui um endereço IPv4 público voltado para o exterior para seu dispositivo VPN.

• Se você não estiver familiarizado com os intervalos de endereço IP localizados na configuração de rede local, fale com alguém que possa lhe dar essa informação. Ao criar essa configuração, você precisa especificar os prefixos do intervalo de endereços IP que o Azure irá encaminhar para o seu local. Nenhuma das sub-redes da rede local podem se sobrepor às sub-redes de rede virtual às quais você deseja se conectar.

Criar uma identidade gerenciada

Essa configuração exige uma identidade gerenciada. Para obter mais informações sobre identidades gerenciadas, confira O que são identidades gerenciadas para recursos do Azure? Se você já tiver uma identidade gerenciada atribuída pelo usuário, use-a neste exercício. Caso contrário, use as etapas a seguir para criar uma identidade gerenciada.

1. No portal do Azure, procure e selecione Identidades Gerenciadas.
2. Selecione Criar.
3. Insira as informações necessárias. Ao criar o nome, use algo intuitivo. Por exemplo, gerenciado-site-a-site ou vpngwy-gerenciado. Você precisará do nome para as etapas de configuração do cofre de chaves. O grupo de recursos não precisa ser o mesmo grupo de recursos que você usa para o gateway de VPN.
4. Selecione Examinar + criar.
5. Os valores são validados. Após a conclusão da validação, selecione Criar.

Habilitar o Gateway de VPN para o Key Vault e a identidade gerenciada

Nesta seção, você habilitará o gateway para o Azure Key Vault e a identidade gerenciada que você criou anteriormente. Para obter mais informações sobre o Azure Key Vault, confira Sobre o Azure Key Vault.

1. No portal, navegue até o gateway de rede virtual (gateway de VPN).
2. Acesse Configurações -> Configuração. Na página Configuração, especifique as seguintes configurações de autenticação:
   • Habilitar o Acesso do Key Vault: habilitado.
   • Identidade Gerenciada: escolha a identidade gerenciada que você criou anteriormente.
3. Salve suas configurações.

Criar um gateway de rede local

O gateway de rede local é um objeto específico que representa sua localização local (o site) para fins de roteamento. O nome que você atribuir ao site é o que o Azure usará para referenciá-lo. Você também especificará o endereço IP do dispositivo VPN local com o qual criará uma conexão. Você também especifica os prefixos de endereço IP que serão roteados por meio do gateway de VPN para o dispositivo VPN. Os prefixos de endereço que você especifica são os prefixos localizados em sua rede local. Se as alterações de rede local ou se você precisar alterar o endereço IP público para o dispositivo VPN, poderá atualizar facilmente os valores mais tarde.

Observação

O objeto de gateway de rede local é implantado no Azure e não localmente.

Crie um gateway de rede local usando os seguintes valores:

• Nome: Site1
• Grupo de recursos: TestRG1
• Local: Leste dos EUA

Considerações de configuração:

• O Gateway de VPN suporta apenas um endereço IPv4 para cada FQDN. Se o nome de domínio for resolvido em vários endereços IP, o Gateway de VPN usará o primeiro endereço IP retornado pelos servidores DNS. Para eliminar a incerteza, recomendamos que seu FQDN sempre resolva para um endereço IPv4. Não há suporte para o IPv6.
• O Gateway de VPN mantém um cache de DNS que é atualizado a cada 5 minutos. O gateway tenta resolver FQDNs somente para túneis desconectados. A redefinição do gateway também dispara a resolução de FQDN.
• Embora o Gateway de VPN ofereça suporte a várias conexões a diferentes gateways de rede local com diferentes FQDNs, todos os FQDNs devem ser resolvidos com diferentes endereços de IP.

1. No portal, acesse Gateways de rede locais e abra a página Criar gateway de rede local.

2. Na guia Básico, especifique os valores para o gateway de rede local.

   

   • Assinatura: Verifique se a assinatura correta está sendo exibida.
   • Grupo de recursos: selecione o grupo de recursos que você deseja usar. Você pode criar um novo grupo de recursos ou selecionar um que você já criou.
   • Região: selecione a região desse objeto. Você pode selecionar o mesmo local em que sua rede virtual está, mas isso não é obrigatório.
   • Nome: especifique um nome para seu objeto de gateway de rede local.
   • Ponto de extremidade: selecione o tipo de ponto de extremidade para o dispositivo VPN local como endereço IP ou FQDN (Nome de Domínio Totalmente Qualificado).
     • Endereço IP: se você tiver um endereço IP público estático alocado pelo seu provedor de serviços de Internet (ISP) para o seu dispositivo VPN, selecione a opção Endereço IP. Preencha o endereço IP conforme mostrado no exemplo. Esse endereço é o endereço IP público do dispositivo VPN ao qual você deseja que o Gateway de VPN do Azure se conecte. Se você não tiver o endereço IP no momento, poderá usar os valores mostrados no exemplo. Posteriormente, você deve voltar e substituir o endereço IP do espaço reservado pelo endereço IP público do seu dispositivo VPN. Caso contrário, o Azure não poderá se conectar.
     • FQDN: se você tiver um endereço IP público dinâmico que possa mudar após um determinado período, geralmente determinado pelo seu ISP, poderá usar um nome DNS constante com um serviço de DNS dinâmico para apontar para o endereço IP público atual do seu dispositivo VPN. Seu gateway VPN do Azure resolve o FQDN para determinar o endereço IP público ao qual se conectar.
   • Espaço de endereços: o espaço de endereço refere-se aos intervalos de endereços da rede que essa rede local representa. Você pode adicionar vários intervalos de espaço de endereço. Verifique se os intervalos especificados aqui não se sobrepõem aos intervalos de outras redes com as quais você deseja se conectar. O Azure roteia o intervalo de endereços especificado para o endereço IP do dispositivo VPN local. Se deseja se conectar ao site local, use seus próprios valores aqui, e não os valores mostrados no exemplo.

3. Na guia Avançado, você pode definir as configurações do BGP, se necessário.

4. Depois de especificar os valores, selecione Revisar + criar na parte inferior da página para validar a página.

5. Selecione Criar para criar o objeto de gateway de rede local.

Certificados

A arquitetura de autenticação de certificado site a site depende de certificados de entrada e de saída.

Observação

Os certificados de entrada e saída não precisam ser gerados com base no mesmo certificado raiz.

Certificado de saída

• O certificado de saída é usado para verificar as conexões provenientes do Azure para seu site local.
• O certificado é armazenado no Azure Key Vault. Você especifica o identificador de caminho do certificado de saída ao configurar a conexão site a site.
• É possível criar um certificado usando uma autoridade de certificação de sua escolha ou criar um certificado raiz autoassinado.

Quando você gera um certificado de saída, o certificado precisa respeitar as seguintes diretrizes:

• Deve ter um comprimento mínimo de chave de 2.048 bits.
• Deve ter uma chave privada.
• Deve ter a autenticação de servidor e cliente.
• Deve ter um nome de entidade.

Certificado de entrada

• O certificado de entrada é usado ao se conectar do local ao Azure.
• O valor do nome da entidade é usado quando você configura a conexão site a site.
• A chave pública da cadeia de certificados é especificada quando você configura a conexão site a site.

Gerar certificados

Use o PowerShell localmente no computador para gerar certificados. As etapas a seguir mostram como criar um certificado raiz autoassinado e os certificados folha (de entrada e saída). Ao usar os exemplos a seguir, não feche a janela do PowerShell entre a criação da AC raiz e os certificados folha.

Criar um certificado raiz autoassinado

Utilize o cmdlet New-SelfSignedCertificate para criar um certificado raiz autoassinado. Para obter mais informações sobre parâmetros, confira New-SelfSignedCertificate.

1. Em um computador com Windows 10 ou posterior ou Windows Server 2016, abra um console do Windows PowerShell com privilégios elevados.

2. Crie um certificado raiz autoassinado. O exemplo a seguir cria um certificado raiz autoassinado chamado ‘VPNRootCA01’, que é instalado automaticamente em ‘Certificados – Usuário Atual\Pessoal\Certificados’. Depois que o certificado for criado, você poderá vê-lo abrindo certmgr.msc ou Gerenciar Certificados de Usuário.

   Faça as modificações necessárias antes de usar este exemplo. O parâmetro "NotAfter" é opcional. Por padrão, sem esse parâmetro, o certificado expira em um ano.

   $params = @{
       Type = 'Custom'
       Subject = 'CN=VPNRootCA01'
       KeySpec = 'Signature'
       KeyExportPolicy = 'Exportable'
       KeyUsage = 'CertSign'
       KeyUsageProperty = 'Sign'
       KeyLength = 2048
       HashAlgorithm = 'sha256'
       NotAfter = (Get-Date).AddMonths(120)
       CertStoreLocation = 'Cert:\CurrentUser\My'
       TextExtension = @('2.5.29.19={critical}{text}ca=1&pathlength=4')
   }
   $cert = New-SelfSignedCertificate @params
   

3. Para gerar os certificados folha, deixe o console do PowerShell aberto e prossiga com as próximas etapas.

Gerar certificados folha

Estes exemplos usam o cmdlet New-SelfSignedCertificate para gerar os certificados folha de saída e entrada. Os certificados são instalados automaticamente em ‘Certificados – Usuário Atual\Pessoal\Certificados’ no computador.

Certificado de saída

   $params = @{
       Type = 'Custom'
       Subject = 'CN=Outbound-certificate'
       KeySpec = 'Signature'
       KeyExportPolicy = 'Exportable'
       KeyLength = 2048
       HashAlgorithm = 'sha256'
       NotAfter = (Get-Date).AddMonths(120)
       CertStoreLocation = 'Cert:\CurrentUser\My'
       Signer = $cert
       TextExtension = @(
        '2.5.29.37={text}1.3.6.1.5.5.7.3.2,1.3.6.1.5.5.7.3.1')
   }
   New-SelfSignedCertificate @params

Certificado de entrada

   $params = @{
       Type = 'Custom'
       Subject = 'CN=Inbound-certificate'
       KeySpec = 'Signature'
       KeyExportPolicy = 'Exportable'
       KeyLength = 2048
       HashAlgorithm = 'sha256'
       NotAfter = (Get-Date).AddMonths(120)
       CertStoreLocation = 'Cert:\CurrentUser\My'
       Signer = $cert
       TextExtension = @(
        '2.5.29.37={text}1.3.6.1.5.5.7.3.2,1.3.6.1.5.5.7.3.1')
   }
   New-SelfSignedCertificate @params

Certificado de saída – Exportar dados de chave privada

Exporte as informações do certificado de saída (com a chave privada) para um arquivo .pfx ou .pem. Você carregará as informações desse certificado com segurança no Azure Key Vault nas próximas etapas. Para exportá-lo em .pfx usando o Windows, realize as seguintes etapas:

1. Para obter o arquivo .cer do certificado, abra Gerenciar certificados de usuário.

2. Localize o certificado de saída, que normalmente fica em Certificados – Usuário Atual\Pessoal\Certificados, e clique nele com o botão direito do mouse. Selecione Todas as Tarefas ->Exportar. Isso abre o Assistente para Exportação de Certificados.

3. No assistente, selecione Próximo.

4. Selecione Sim, exportar a chave privada e depois Avançar.

5. Na página Formato do Arquivo de Exportação, selecione Troca de Informações Pessoais – PKCS nº 12 (PFX). Selecione os seguintes itens:

   • Inclua todos os certificados no caminho de certificação, se possível
   • Exporte todas as propriedades estendidas
   • Habilitar a privacidade de certificado

6. Selecione Avançar. Na página Segurança, escolha Senha e um método de criptografia. Em seguida, selecione Avançar.

7. Especifique um nome de arquivo e navegue até o local para o qual deseja exportá-lo.

8. Selecione Concluir para exportar o certificado.

9. Você verá a confirmação de que A exportação foi bem-sucedida.

Certificado de entrada – Exportar dados de chave pública

Exporte os dados de chave pública para o certificado de entrada. As informações contidas no arquivo são usadas no campo da cadeia de certificados de entrada quando você configura a conexão site a site. Os arquivos exportados precisam estar no formato .cer. Não criptografe o valor do certificado.

1. Para obter o arquivo .cer do certificado, abra Gerenciar certificados de usuário.
2. Localize o certificado, que normalmente fica em Certificados – Usuário Atual\Pessoal\Certificados, e clique nele com o botão direito do mouse. Selecione Todas as Tarefas ->Exportar. Isso abre o Assistente para Exportação de Certificados.
3. No assistente, selecione Próximo.
4. Selecione Não, não exportar a chave privada. Em seguida, selecione Avançar.
5. Escolha X.509 codificado em Base64 (.CER) e, em seguida, Avançar.
6. Especifique um nome de arquivo e navegue até o local para o qual deseja exportá-lo.
7. Selecione Concluir para exportar o certificado.
8. Você verá a confirmação de que A exportação foi bem-sucedida.
9. O arquivo .cer será usado posteriormente quando você configurar sua conexão.

Certificado raiz – Exportar dados de chave pública

Exporte os dados de chave pública para o certificado raiz. Os arquivos exportados precisam estar no formato .cer. Não criptografe o valor do certificado.

1. Para obter o arquivo .cer do certificado, abra Gerenciar certificados de usuário.
2. Localize o certificado, que normalmente fica em Certificados – Usuário Atual\Pessoal\Certificados, e clique nele com o botão direito do mouse. Selecione Todas as Tarefas ->Exportar. Isso abre o Assistente para Exportação de Certificados.
3. No assistente, selecione Próximo.
4. Selecione Não, não exportar a chave privada. Em seguida, selecione Avançar.
5. Escolha X.509 codificado em Base64 (.CER) e, em seguida, Avançar.
6. Especifique um nome de arquivo e navegue até o local para o qual deseja exportá-lo.
7. Selecione Concluir para exportar o certificado.
8. Você verá a confirmação de que A exportação foi bem-sucedida.
9. O arquivo .cer será usado posteriormente quando você configurar sua conexão.

Criar um cofre de chave

Essa configuração exige o Azure Key Vault. As etapas a seguir criam um cofre de chaves. Você adicionará seu certificado e a identidade gerenciada ao cofre de chaves mais tarde. Para ver etapas mais abrangentes, confira Início Rápido – Criar um cofre de chaves usando o portal do Azure.

1. No portal do Azure, pesquise Cofres de Chaves. Na página Cofres de chaves, selecione +Criar.
2. Na página Criar um cofre de chaves, preencha as informações necessárias. O grupo de recursos não precisa ser o mesmo grupo de recursos que você usa para o gateway de VPN.
3. Na guia Configuração de acesso, em Modelo de permissão, selecione Política de acesso ao cofre.
4. Não preencha nenhum dos outros campos.
5. Selecione Revisar + criar e Criar para criar o cofre de chaves.

Adicionar o arquivo de certificado de saída ao cofre de chaves

As etapas a seguir ajudam você a carregar as informações do certificado de saída no Azure Key Vault.

1. Acesse seu cofre de chaves. No painel esquerdo, abra a página Certificados.
2. Na página Certificados, selecione +Gerar/Importar.
3. Em Método de Criação do Certificado, selecione Importar na lista suspensa.
4. Insira um nome de certificado intuitivo. Ele não precisa ser o nome comum nem o nome de arquivo do certificado.
5. Carregue o arquivo de certificado de saída. O arquivo de certificado precisa estar em um dos seguintes formatos:
   • .pfx
   • .pfm
6. Insira a senha usada para proteger as informações do certificado.
7. Selecione Criar para carregar o arquivo de certificado.

Adicionar a identidade gerenciada ao cofre de chaves

1. Acesse seu cofre de chaves. No painel esquerdo, abra a página Políticas de acesso.
2. Selecione + Criar.
3. Na página Criar uma política de acesso, em Opções de Gerenciamento de Segredos e Operações de Gerenciamento de Certificados, escolha Selecionar tudo.
4. Selecione Avançar para ir para a página Principal*.
5. Na página Principal, procure e selecione a identidade gerenciada que você criou anteriormente.
6. Escolha Avançar e prossiga para a página Revisar + criar. Selecione Criar.

Configurar o dispositivo de VPN

As conexões site a site para uma rede local exigem um dispositivo VPN. Nesta etapa, configure seu dispositivo VPN. Ao configurar o dispositivo VPN, você precisará dos seguintes valores:

• Certificado: você precisará dos dados do certificado usados para autenticação. Esse certificado também será usado como o certificado de entrada ao criar a conexão VPN.
• Valores do endereço IP público do gateway de rede virtual: para encontrar o endereço IP público da instância de VM do gateway de VPN usando o portal do Azure, acesse o gateway de rede virtual e procure em Configurações ->Propriedades. Se você tiver um gateway no modo ativo/ativo (recomendado), lembre-se de configurar túneis para cada instância de VM. Ambos os túneis fazem parte da mesma conexão. Os gateways de VPN no modo ativo/ativo têm dois endereços IP públicos, um para cada instância de VM do gateway.

Dependendo do dispositivo VPN que você tem, talvez seja possível fazer o download de um script de configuração do dispositivo VPN. Para saber mais, confira Fazer download dos scripts de configuração de dispositivo de VPN.

Para obter mais informações sobre configuração, confira os links a seguir:

• Para obter informações sobre dispositivos VPN compatíveis, confira Dispositivos VPN.
• Antes de configurar o dispositivo VPN, verifique se há algum problema de compatibilidade conhecido com o dispositivo VPN que você deseja usar.
• Para obter links para as definições de configuração do dispositivo, confira Dispositivos VPN Validados. Os links de configuração do dispositivo são fornecidos em uma base de melhor esforço. Sempre é melhor verificar com o fabricante do dispositivo para obter as últimas informações de configuração. A lista mostra as versões que testamos. Se o sistema operacional não estiver nessa lista, ainda será possível que a versão seja compatível. Confira com o fabricante do seu dispositivo para verificar se a versão do SO do dispositivo VPN é compatível.
• Para obter uma visão geral da configuração do dispositivo VPN, confira Visão geral das configurações de dispositivos VPN de terceiros.
• Para obter informações sobre a edição dos exemplos de configuração do dispositivo, consulte Edição de exemplos.
• Para requisitos de criptografia, veja Sobre os requisitos de criptografia e gateways de VPN do Azure.
• Para obter informações sobre parâmetros IPsec/IKE, confira Sobre dispositivos VPN e os parâmetros IPsec/IKE para conexões do Gateway de VPN site a site. Esse link mostra informações sobre a versão do IKE, o grupo Diffie-Hellman, o método de autenticação, os algoritmos de criptografia e de hash, o tempo de vida do SA, o PFS e o DPD, além de outras informações de parâmetros necessárias para concluir a configuração.
• Para ver as etapas de configuração da política IPsec/IKE, confira Configurar a política IPsec/IKE para conexões VPN site a site ou VNet a VNet.
• Para conectar vários dispositivos VPN baseados em política, confira Conectar gateways VPN do Azure a vários dispositivos VPN com base em políticas locais usando o PowerShell.

Criar a conexão site a site

Nesta seção, você vai criar a conexão VPN site a site entre o gateway de rede virtual e o dispositivo VPN local.

Coletar os valores de configuração

Antes de avançar, colete as informações a seguir para os valores de configuração necessários.

• Caminho do Certificado de Saída: esse é o caminho do certificado de saída. O certificado de saída é o certificado usado ao se conectar do Azure ao local. Essas informações são do mesmo certificado que você carregou no Azure Key Vault.

  1. Acesse Cofres de Chaves e clique no seu cofre de chaves. No painel esquerdo, expanda Objetos e selecione Certificados.
  2. Localize e clique no certificado para abrir a página dele.
  3. Clique na linha da versão do certificado.
  4. Copie o caminho ao lado do Identificador de Chave. O caminho é específico do certificado.

  Exemplo: https://s2s-vault1.vault.azure.net/certificates/site-to-site/<certificate-value>

• Nome da entidade do certificado de entrada: esse é o nome comum do certificado de entrada. Para localizar esse valor:

  1. Se você gerou o certificado no computador Windows, localize-o usando o Gerenciamento de Certificados.
  2. Acesse a guia Detalhes. Role a página e clique em Entidade. Você verá os valores no painel inferior.
  3. Não inclua CN= no valor.

• Cadeia de Certificados de Entrada: essas informações de certificado são usadas apenas para verificar o certificado de entrada e não contêm chaves privadas. Você sempre deve ter, pelo menos, dois certificados na seção do certificado de entrada do portal.

  Se você tiver ACs intermediárias na cadeia de certificados, primeiro adicione o certificado raiz como o primeiro certificado intermediário e depois inclua o certificado intermediário de entrada.

  Use as etapas a seguir para extrair os dados do certificado no formato necessário para o campo do certificado de entrada.

  1. Para extrair os dados do certificado, verifique se você exportou o certificado de entrada como um X.509 codificado em Base64 (.CER) nas etapas anteriores. Você precisa exportar o certificado neste formato para poder abri-lo em um editor de texto.

  2. Localize e abra o arquivo de certificado .cer com um editor de texto. Ao copiar os dados do certificado, lembre-se de copiar o texto como uma linha contínua.

  3. Copie os dados listados entre -----BEGIN CERTIFICATE----- e -----END CERTIFICATE----- como uma linha contínua para o campo Cadeia de Certificados de Entrada ao criar uma conexão.

     Exemplo:

     

Criar uma conexão

1. Acesse o gateway de rede virtual que você criou e selecione Conexões.

2. Na parte superior da página Conexões, selecione + Adicionar para abrir a página Criar conexão.

3. Na página Criar conexão, na guia Informações Básicas, configure os valores para sua conexão:

   • Em Detalhes do projeto, selecione a assinatura e o grupo de recursos no qual os recursos estão localizados.

   • Em Detalhes da instância, defina as seguintes configurações:

     • Tipo de conexão: selecione site a site (IPSec) .
     • Nome: nomeie sua conexão. Exemplo: VNet-to-Site1.
     • Região: Selecione a região para essa conexão.

4. Selecione a guia Configurações.

   

   Configure os seguintes valores:

   • Gateway de rede virtual: selecione o gateway de rede virtual na lista suspensa.
   • Gateway de rede local: selecione o gateway de rede local na lista suspensa.
   • Método de Autenticação: selecione Certificado do Cofre de Chaves.
   • Caminho do Certificado de Saída: o caminho do certificado de saída localizado no cofre de chaves. O método usado para obter essas informações se encontra no início desta seção.
   • Nome da Entidade do Certificado de Entrada: o nome comum do certificado de entrada. O método usado para obter essas informações se encontra no início desta seção.
   • Cadeia de Certificados de Entrada: os dados do certificado que você copiados do arquivo .cer. Copie e cole as informações do certificado para o certificado de entrada. O método usado para obter essas informações se encontra no início desta seção.
   • Protocolo IKE: selecione IKEv2.
   • Usar endereço IP privado do Azure: não selecionar.
   • Habilitar o BGP: habilite essa opção somente se quiser usar o BGP.
   • Política IPsec/IKE: selecione Padrão.
   • Usar seletor de tráfego baseado em políticas: selecione Desabilitar.
   • Tempo limite do DPD em segundos: selecione 45.
   • Modo de Conexão: selecione Padrão. Essa configuração é usada para decidir qual gateway pode iniciar a conexão. Para obter mais informações, confira Configurações do Gateway de VPN – Modos de conexão.
   • Para Associações de Regras NAT, deixe tanto Entrada quanto Saída como 0 selecionado.

5. Selecione Revisar + criar para validar as configurações de conexão e, em seguida, escolha Criar para criar a conexão.

6. Após a conclusão da implantação, você poderá ver a conexão na página Conexões do gateway de rede virtual. O status muda de Desconhecido para Conectando e depois para Bem-sucedido.

Próximas etapas

Uma vez que sua conexão esteja completa, você pode adicionar máquinas virtuais a suas VNets. Para saber mais, veja Máquinas virtuais. Para saber mais sobre redes e máquinas virtuais, consulte Visão geral de rede do Azure e VM Linux.

Para obter informações sobre solução de problemas de P2S, consulte Solução de problemas de conexões de ponto a site do Azure.