Partilhar via

Configurar o cliente OpenVPN 2.x para conexões de autenticação de certificado VPN de usuário P2S - Windows

  • Artigo

Se o seu gateway VPN ponto a site (P2S) estiver configurado para usar OpenVPN e autenticação de certificado, você poderá se conectar à sua rede virtual usando o Cliente OpenVPN. Este artigo orienta você pelas etapas para configurar o cliente OpenVPN 2.4 e superior e conectar-se à sua rede virtual. Para clientes OpenVPN Connect 3.x, consulte Configurar cliente OpenVPN 3.x para conexões de autenticação de certificado VPN de usuário P2S - Windows.

Nota

O cliente OpenVPN é gerenciado de forma independente e não está sob o controle da Microsoft. Isso significa que a Microsoft não supervisiona seu código, compilações, roteiro ou aspetos legais. Caso os clientes encontrem algum bug ou problema com o cliente OpenVPN, eles devem entrar em contato diretamente com o suporte da OpenVPN Inc. As diretrizes neste artigo são fornecidas "como estão" e não foram validadas pela OpenVPN Inc. Eles destinam-se a ajudar os clientes que já estão familiarizados com o cliente e desejam usá-lo para se conectar ao Gateway de VPN do Azure em uma configuração de VPN Ponto a Site.

Antes de começar

Antes de começar, verifique se você configurou uma WAN virtual de acordo com as etapas no artigo Criar conexões ponto a site da VPN do usuário. Sua configuração de VPN de usuário deve usar autenticação de certificado.

Pré-requisitos

Este artigo pressupõe que você já tenha executado os seguintes pré-requisitos:

  • Você configurou uma WAN virtual de acordo com as etapas no artigo Criar conexões ponto a site da VPN do usuário. Sua configuração de VPN de usuário deve usar autenticação de certificado.
  • Você gerou e baixou os arquivos de configuração do cliente VPN. Para conhecer as etapas para gerar um pacote de configuração de perfil de cliente VPN, consulte Gerar arquivos de configuração de cliente VPN.
  • Você pode gerar certificados de cliente ou adquirir os certificados de cliente apropriados necessários para autenticação.

Requisitos de ligação

Para se conectar ao Azure usando o cliente OpenVPN usando autenticação de certificado, cada computador cliente conectado requer os seguintes itens:

  • O software Open VPN Client deve ser instalado e configurado em cada computador cliente.
  • O computador cliente deve ter um certificado de cliente instalado localmente.

Fluxo de Trabalho

O fluxo de trabalho para este artigo é:

  1. Gere e instale certificados de cliente, caso ainda não o tenha feito.
  2. Exiba os arquivos de configuração de perfil de cliente VPN contidos no pacote de configuração de perfil de cliente VPN que você gerou.
  3. Configure o cliente OpenVPN.
  4. Conecte-se ao Azure.

Gerar e instalar certificados de cliente

Para autenticação de certificado, um certificado de cliente deve ser instalado em cada computador cliente. O certificado de cliente que você deseja usar deve ser exportado com a chave privada e deve conter todos os certificados no caminho de certificação. Além disso, para algumas configurações, você também precisará instalar as informações do certificado raiz.

Em muitos casos, você pode instalar o certificado do cliente diretamente no computador cliente clicando duas vezes. No entanto, para determinadas configurações de cliente OpenVPN, talvez seja necessário extrair informações do certificado do cliente para concluir a configuração.

  • Para conhecer as etapas para gerar um certificado de cliente, consulte Gerar e exportar certificados.
  • Para exibir um certificado de cliente instalado, abra Gerenciar certificados de usuário. O certificado do cliente é instalado em Usuário Atual\Pessoal\Certificados.

Instalar o certificado de cliente

Cada computador precisa de um certificado de cliente para autenticar. Se o certificado do cliente ainda não estiver instalado no computador local, você poderá instalá-lo usando as seguintes etapas:

  1. Localize o certificado do cliente. Para obter mais informações sobre certificados de cliente, consulte Instalar certificados de cliente.
  2. Instale o certificado do cliente. Normalmente, você pode instalar um certificado clicando duas vezes no arquivo de certificado e fornecendo uma senha (se necessário).
  3. Você também usará o certificado do cliente posteriormente neste exercício para definir as configurações do perfil do cliente OpenVPN Connect.

Exibir arquivos de configuração de perfil de cliente

O pacote de configuração do perfil do cliente VPN contém pastas específicas. Os arquivos dentro das pastas contêm as configurações necessárias para configurar o perfil do cliente VPN no computador cliente. Os arquivos e as configurações que eles contêm são específicos para o gateway VPN e o tipo de autenticação e túnel que seu gateway VPN está configurado para usar.

Localize e descompacte o pacote de configuração do perfil do cliente VPN que você gerou. Para autenticação de certificado e OpenVPN, você deve ver a pasta OpenVPN . Se não vir a pasta, verifique os seguintes itens:

  • Verifique se seu gateway VPN está configurado para usar o tipo de túnel OpenVPN.
  • Se estiver a utilizar a autenticação Microsoft Entra ID, poderá não ter uma pasta OpenVPN. Consulte o artigo de configuração do Microsoft Entra ID .

Configurar o cliente

  1. Baixe e instale o cliente OpenVPN (versão 2.4 ou superior) do site oficial do OpenVPN.

  2. Localize o pacote de configuração de perfil de cliente VPN que você gerou e baixou para o seu computador. Extraia a embalagem. Vá para a pasta OpenVPN e abra o arquivo de configuração vpnconfig.ovpn usando o Bloco de Notas.

  3. Em seguida, localize o certificado filho que você criou. Se você não tiver o certificado, use um dos links a seguir para conhecer as etapas de exportação do certificado. Você usará as informações do certificado na próxima etapa.

  4. Do certificado filho, extraia a chave privada e a impressão digital base64 do .pfx. Existem várias formas de o fazer. Usar OpenSSL no seu computador é uma maneira. O arquivo profileinfo.txt contém a chave privada e a impressão digital para a autoridade de certificação e o certificado do cliente. Certifique-se de usar a impressão digital do certificado do cliente.

    openssl pkcs12 -in "filename.pfx" -nodes -out "profileinfo.txt"

  5. Mude para o ficheiro vpnconfig.ovpn que abriu no Bloco de Notas. Preencha a seção entre <cert> e </cert>, obtendo os valores para $CLIENT_CERTIFICATE, $INTERMEDIATE_CERTIFICATEe $ROOT_CERTIFICATE conforme mostrado no exemplo a seguir.

       # P2S client certificate
   # please fill this field with a PEM formatted cert
   <cert>
   $CLIENT_CERTIFICATE
   $INTERMEDIATE_CERTIFICATE (optional)
   $ROOT_CERTIFICATE
   </cert>
    • Abra profileinfo.txt da etapa anterior no Bloco de Notas. Você pode identificar cada certificado observando a subject= linha. Por exemplo, se o certificado filho for chamado P2SChildCert, o certificado do cliente ficará atrás do subject=CN = P2SChildCert atributo.
    • Para cada certificado na cadeia, copie o texto (incluindo e entre) "-----BEGIN CERTIFICATE-----" e "-----END CERTIFICATE-----".
    • Inclua apenas um $INTERMEDIATE_CERTIFICATE valor se tiver um certificado intermédio no ficheiro profileinfo.txt .

  6. Abra o profileinfo.txt no Bloco de Notas. Para obter a chave privada, selecione o texto (incluindo e entre) "-----BEGIN PRIVATE KEY-----" e "-----END PRIVATE KEY-----" e copie-o.

  7. Volte para o arquivo vpnconfig.ovpn no Bloco de Notas e encontre esta seção. Cole a chave privada substituindo tudo entre e <key> e </key>.

    # P2S client root certificate private key
# please fill this field with a PEM formatted key
<key>
$PRIVATEKEY
</key>

  8. Se você estiver usando a versão 2.6 do cliente OpenVPN, adicione a opção "disable-dco" ao perfil. Esta opção não parece ser compatível com versões anteriores, por isso só deve ser adicionada à versão 2.6 do cliente OpenVPN.

  9. Não altere nenhum outro campo. Utilize a configuração preenchida na entrada de cliente para ligar à VPN.

  10. Copie o ficheiro vpnconfig.ovpn para a pasta C:\Program Files\OpenVPN\config.

  11. Clique com o botão direito do mouse no ícone OpenVPN na bandeja do sistema e clique em Conectar.

Próximos passos

Para modificar configurações adicionais de conexão VPN de usuário P2S, consulte Tutorial: Criar uma conexão VPN de usuário P2S.