Definir configurações de servidor para conexões do Gateway VPN P2S - autenticação de certificado - Portal do Azure

  • Artigo

Este artigo ajuda você a definir as configurações de servidor ponto a site (P2S) do Gateway VPN necessárias para permitir que você conecte com segurança clientes individuais que executam Windows, Linux ou macOS a uma VNet do Azure. As ligações VPN P2S são úteis quando pretende ligar-se à sua rede virtual a partir de uma localização remota, como quando está em teletrabalho a partir de casa ou de uma conferência. Você também pode usar P2S em vez de uma VPN site a site (S2S) quando tiver apenas alguns clientes que precisam se conectar a uma rede virtual (VNet). As conexões P2S não exigem um dispositivo VPN ou um endereço IP voltado para o público.

Diagrama de conexão ponto a site mostrando como se conectar de um computador a uma VNet do Azure.

Existem várias opções de configuração diferentes disponíveis para P2S. Para obter mais informações sobre VPN ponto a site, consulte Sobre VPN ponto a site. Este artigo ajuda você a criar uma configuração P2S que usa a autenticação de certificado e o portal do Azure. Para criar essa configuração usando o Azure PowerShell, consulte o artigo Configurar P2S - Certificado - PowerShell . Para autenticação RADIUS, consulte o artigo P2S RADIUS . Para autenticação do Microsoft Entra, consulte o artigo P2S Microsoft Entra ID .

As conexões de autenticação de certificado do Azure P2S usam os seguintes itens, que você configurará neste exercício:

  • Um gateway de VPN RouteBased.
  • A chave pública (ficheiro .cer) de um certificado de raiz que é carregado para o Azure. Depois que o certificado é carregado, ele é considerado um certificado confiável e usado para autenticação.
  • Um certificado de cliente que é gerado a partir do certificado de raiz. O certificado de cliente instalado em cada computador cliente que vai ligar à VNet. Este certificado é utilizado para autenticação de cliente.
  • Arquivos de configuração do cliente VPN. O cliente VPN é configurado usando arquivos de configuração do cliente VPN. Esses arquivos contêm as informações necessárias para o cliente se conectar à rede virtual. Cada cliente que estabelece ligação tem de ser configurado com as definições dos ficheiros de configuração.

Pré-requisitos

Verifique se tem uma subscrição do Azure. Se ainda não tiver uma subscrição do Azure, pode ativar os Benefícios de subscritor do MSDN ou inscrever-se numa conta gratuita.

Valores de exemplo

Pode utilizar os valores seguintes para criar um ambiente de teste ou consultá-los para compreender melhor os exemplos neste artigo:

VNet

  • Nome da VNet: VNet1
  • Espaço de endereço: 10.1.0.0/16
    Para este exemplo, utilizamos apenas um espaço de endereços. Pode ter mais do que um espaço de endereços para a sua VNet.
  • Nome da sub-rede: FrontEnd
  • Intervalo de endereços da sub-rede: 10.1.0.0/24
  • Subscrição: Se tiver mais do que uma subscrição, verifique se está a utilizar a subscrição correta.
  • Grupo de Recursos: TestRG1
  • Localização: E.U.A. Leste

Gateway de rede virtual

  • Nome do gateway de rede virtual: VNet1GW
  • Tipo de gateway: VPN
  • Tipo de VPN: baseado na rota
  • Referência: VpnGw2
  • Geração: Geração2
  • Intervalo de endereços de sub-rede do gateway: 10.1.255.0/27
  • Nome do endereço IP público: VNet1GWpip

Tipo de conexão e pool de endereços do cliente

  • Tipo de ligação: Ponto a site
  • Conjunto de endereços do cliente: 172.16.201.0/24
    Os clientes VPN que se conectam à rede virtual usando essa conexão ponto a site recebem um endereço IP do pool de endereços do cliente.

Criar uma VNet

Nesta seção, você cria uma rede virtual. Consulte a seção Valores de exemplo para obter os valores sugeridos a serem usados para essa configuração.

Nota

Ao usar uma rede virtual como parte de uma arquitetura entre locais, certifique-se de coordenar com o administrador de rede local para criar um intervalo de endereços IP que possa ser usado especificamente para essa rede virtual. Se existir um intervalo de endereços duplicado em ambos os lados da conexão VPN, o tráfego será encaminhado de forma inesperada. Além disso, se você quiser conectar essa rede virtual a outra rede virtual, o espaço de endereço não pode se sobrepor à outra rede virtual. Planeje sua configuração de rede de acordo.

  1. Inicie sessão no portal do Azure.

  2. Em Pesquisar recursos, serviço e documentos (G+/) na parte superior da página do portal, insira rede virtual. Selecione Rede virtual nos resultados da pesquisa do Marketplace para abrir a página Rede virtual.

  3. Na página Rede virtual, selecione Criar para abrir a página Criar rede virtual.

  4. Na guia Noções básicas, defina as configurações de rede virtual para detalhes do projeto e detalhes da instância. Você verá uma marca de seleção verde quando os valores inseridos forem validados. Você pode ajustar os valores mostrados no exemplo de acordo com as configurações necessárias.

    Captura de ecrã que mostra o separador Noções básicas.

    • Subscrição: Verifique se a subscrição listada é a correta. Você pode alterar as assinaturas usando a caixa suspensa.
    • Grupo de recursos: selecione um grupo de recursos existente ou selecione Criar novo para criar um novo. Para mais informações sobre grupos de recursos, veja Descrição Geral do Azure Resource Manager.
    • Nome: Introduza o nome da rede virtual.
    • Região: Selecione o local para sua rede virtual. O local determina onde os recursos que você implanta nessa rede virtual irão viver.

  5. Selecione Avançar ou Segurança para ir para a guia Segurança . Para este exercício, deixe os valores padrão para todos os serviços nesta página.

  6. Selecione Endereços IP para ir para a guia Endereços IP . Na guia Endereços IP , defina as configurações.

    • Espaço de endereçamento IPv4: Por padrão, um espaço de endereço é criado automaticamente. Você pode selecionar o espaço de endereço e ajustá-lo para refletir seus próprios valores. Você também pode adicionar um espaço de endereço diferente e remover o padrão que foi criado automaticamente. Por exemplo, você pode especificar o endereço inicial como 10.1.0.0 e especificar o tamanho do espaço de endereço como /16. Em seguida, selecione Adicionar para adicionar esse espaço de endereço.

    • + Adicionar sub-rede: Se você usar o espaço de endereço padrão, uma sub-rede padrão será criada automaticamente. Se você alterar o espaço de endereço, adicione uma nova sub-rede dentro desse espaço de endereço. Selecione + Adicionar sub-rede para abrir a janela Adicionar sub-rede . Configure as seguintes configurações e selecione Adicionar na parte inferior da página para adicionar os valores.

      • Nome da sub-rede: Um exemplo é FrontEnd.
      • Intervalo de endereços da sub-rede: o intervalo de endereços desta sub-rede. Exemplos são 10.1.0.0 e /24.

  7. Reveja a página Endereços IP e remova quaisquer espaços de endereço ou sub-redes de que não necessita.

  8. Selecione Rever + criar para validar as definições de rede virtual.

  9. Depois que as configurações forem validadas, selecione Criar para criar a rede virtual.

Criar o gateway de VPN

Neste passo, vai criar o gateway de rede virtual da VNet. Criar um gateway, muitas vezes, pode demorar 45 minutos ou mais, dependendo do SKU de gateway selecionado.

Nota

O Basic gateway SKU não suporta autenticação IKEv2 ou RADIUS. Se você planeja ter clientes Mac conectados à sua rede virtual, não use a SKU básica.

O gateway de rede virtual requer uma sub-rede específica chamada GatewaySubnet. A sub-rede do gateway faz parte do intervalo de endereços IP da sua rede virtual e contém os endereços IP que os recursos e serviços do gateway de rede virtual usam.

Quando cria a sub-rede do gateway, especifica o número de endereços IP que a sub-rede contém. O número de endereços IP necessários depende da configuração do gateway VPN que pretende criar. Algumas configurações requerem mais endereços IP do que outras. É melhor especificar /27 ou maior (/26, /25, etc.) para sua sub-rede de gateway.

Se vir um erro que especifique que o espaço de endereço se sobrepõe a uma sub-rede ou que a sub-rede não está contida no espaço de endereço da sua rede virtual, verifique o intervalo de endereços da rede virtual. Poderá não ter endereços IP suficientes disponíveis no intervalo de endereços que criou para a sua rede virtual. Por exemplo, se a sua sub-rede padrão englobar todo o intervalo de endereços, não há endereços IP restantes para criar mais sub-redes. Você pode ajustar suas sub-redes dentro do espaço de endereço existente para liberar endereços IP ou especificar outro intervalo de endereços e criar a sub-rede do gateway lá.

  1. Em Pesquisar recursos, serviços e documentos (G+/), insira gateway de rede virtual. Localize Gateway de rede virtual nos resultados de pesquisa do Marketplace e selecione-o para abrir a página Criar gateway de rede virtual.

    Captura de tela que mostra o campo Pesquisar.

  2. Na guia Noções básicas, preencha os valores para Detalhes do projeto e Detalhes da instância.

    Captura de tela que mostra os campos Instância.

    • Assinatura: selecione a assinatura que deseja usar na lista suspensa.

    • Grupo de recursos: essa configuração é preenchida automaticamente quando você seleciona sua rede virtual nesta página.

    • Nome: dê um nome ao gateway. Nomear seu gateway não é o mesmo que nomear uma sub-rede de gateway. É o nome do objeto de gateway que você está criando.

    • Região: selecione a região na qual você deseja criar este recurso. A região do gateway deve ser a mesma da rede virtual.

    • Tipo de gateway: selecione VPN. Os gateways de VPN utilizam o tipo de gateway de rede virtual VPN.

    • SKU: Na lista suspensa, selecione o SKU de gateway que suporta os recursos que você deseja usar. Consulte SKUs de gateway. No portal, as SKUs disponíveis na lista suspensa dependem da VPN type sua seleção. A SKU Básica só pode ser configurada usando a CLI do Azure ou o PowerShell. Não é possível configurar a SKU Básica no portal do Azure.

    • Geração: Selecione a geração que deseja usar. Recomendamos o uso de um SKU Generation2. Para obter mais informações, veja SKUs de gateway.

    • Rede virtual: na lista suspensa, selecione a rede virtual à qual você deseja adicionar esse gateway. Se não conseguir ver a rede virtual para a qual pretende criar um gateway, certifique-se de que selecionou a subscrição e a região corretas nas definições anteriores.

    • Intervalo de endereços de sub-rede do gateway ou Sub-rede: A sub-rede do gateway é necessária para criar um gateway VPN.

      No momento, esse campo tem alguns comportamentos diferentes, dependendo do espaço de endereço da rede virtual e se você já criou uma sub-rede chamada GatewaySubnet para sua rede virtual.

      Se você não tiver uma sub-rede de gateway e não vir a opção de criar uma nesta página, volte para sua rede virtual e crie a sub-rede de gateway. Em seguida, retorne a esta página e configure o gateway de VPN.

  1. Especifique os valores para Endereço IP público. Essas configurações especificam o objeto de endereço IP público que fica associado ao gateway de VPN. O endereço IP público é atribuído a este objeto quando o gateway VPN é criado. A única vez que o endereço IP público primário é alterado é quando o gateway é excluído e recriado. Não é alterado ao redimensionar, repor ou ao realizar qualquer outra manutenção/atualização interna do gateway de VPN.

    Captura de ecrã que mostra o campo Endereço IP público.

    • Tipo de endereço IP público: para este exercício, se você tiver a opção de escolher o tipo de endereço, selecione Padrão.
    • Endereço IP público: Deixe Criar novo selecionado.
    • Nome do endereço IP público: na caixa de texto, insira um nome para sua instância de endereço IP público.
    • SKU de endereço IP público: a configuração é selecionada automaticamente.
    • Atribuição: A atribuição é normalmente selecionada automaticamente e pode ser Dinâmica ou Estática.
    • Ativar modo ativo-ativo: Selecione Desativado. Habilite essa configuração somente se estiver criando uma configuração de gateway ativo-ativo.
    • Configurar BGP: Selecione Desativado, a menos que sua configuração exija especificamente essa configuração. Se você precisar dessa configuração, o ASN padrão será 65515, embora esse valor possa ser alterado.

  2. Selecione Rever + criar para executar a validação.

  3. Depois que a validação for aprovada, selecione Criar para implantar o gateway de VPN.

Você pode ver o status da implantação na página Visão geral do seu gateway. Depois que o gateway é criado, você pode exibir o endereço IP que foi atribuído a ele observando a VNet no portal. O gateway aparece como um dispositivo ligado.

Importante

Ao trabalhar com sub-redes de gateway, evite associar um NSG (grupo de segurança de rede) à sub-rede do gateway. Associar um grupo de segurança de rede a essa sub-rede pode fazer com que seu gateway de rede virtual (gateways VPN e ExpressRoute) pare de funcionar conforme o esperado. Para obter mais informações sobre grupos de segurança de rede, consulte O que é um grupo de segurança de rede?.

Gerar certificados

Os certificados são usados pelo Azure para autenticar clientes que se conectam a uma VNet por meio de uma conexão VPN ponto a site. Quando conseguir obter um certificado de raiz, carregue as informações da chave pública do certificado de raiz para o Azure. O certificado raiz é então considerado 'confiável' pelo Azure para conexão por P2S com a VNet.

Também pode gerar certificados de cliente a partir do certificado de raiz fidedigna e, em seguida, instalá-los em cada computador do cliente. O certificado de cliente é utilizado para autenticar o cliente quando é iniciada uma ligação à VNet.

O certificado raiz deve ser gerado e extraído antes de criar sua configuração ponto a site nas próximas seções.

Gerar um certificado raiz

Obtenha o arquivo .cer para o certificado raiz. Você pode usar um certificado raiz que foi gerado com uma solução corporativa (recomendado) ou gerar um certificado autoassinado. Depois de criar o certificado raiz, exporte os dados do certificado público (não a chave privada) como um arquivo de .cer X.509 codificado em Base64. Você carrega esse arquivo posteriormente no Azure.

  • Certificado empresarial: se estiver a utilizar uma solução empresarial, pode utilizar a cadeia de certificados existente. Adquira o arquivo .cer para o certificado raiz que você deseja usar.

  • Certificado raiz autoassinado: se você não estiver usando uma solução de certificado corporativo, crie um certificado raiz autoassinado. Caso contrário, os certificados criados não serão compatíveis com suas conexões P2S e os clientes receberão um erro de conexão quando tentarem se conectar. Pode utilizar o Azure PowerShell, MakeCert ou OpenSSL. As etapas nos seguintes artigos descrevem como gerar um certificado raiz autoassinado compatível:

    • Instruções do PowerShell para Windows 10 ou posterior: estas instruções requerem o PowerShell num computador com o Windows 10 ou posterior. Os certificados de cliente gerados a partir do certificado de raiz podem ser instalados em qualquer cliente P2S suportado.
    • Instruções do MakeCert: Use o MakeCert para gerar certificados se você não tiver acesso a um computador com o Windows 10 ou posterior. Embora o MakeCert tenha sido preterido, você ainda pode usá-lo para gerar certificados. Os certificados de cliente gerados a partir do certificado raiz podem ser instalados em qualquer cliente P2S suportado.
    • Linux - Instruções OpenSSL
    • Linux - instruções strongSwan

Gerar certificados de cliente

Cada computador cliente conectado a uma rede virtual com uma conexão ponto a site deve ter um certificado de cliente instalado. Gerá-lo a partir do certificado raiz e instalá-lo em cada computador cliente. Se você não instalar um certificado de cliente válido, a autenticação falhará quando o cliente tentar se conectar à rede virtual.

Pode optar por gerar um certificado exclusivo para cada cliente ou pode utilizar o mesmo certificado para vários clientes. A vantagem de gerar certificados para cada cliente individual é a capacidade de revogar um único certificado. Caso contrário, se vários clientes usarem o mesmo certificado de cliente para autenticar e você revogá-lo, será necessário gerar e instalar novos certificados para cada cliente que usar esse certificado.

Você pode gerar certificados de cliente usando os seguintes métodos:

  • Certificado da empresa:

    • Se você estiver usando uma solução de certificado empresarial, gere um certificado de cliente com o formato name@yourdomain.comde valor de nome comum . Use este formato em vez do formato nome de domínio\nome de usuário.

    • Verifique se o certificado do cliente é baseado em um modelo de certificado de usuário que tenha a Autenticação de Cliente listada como o primeiro item na lista de usuários. Verifique o certificado clicando duas vezes nele e visualizando Uso Avançado de Chave na guia Detalhes.

  • Certificado raiz autoassinado: siga as etapas em um dos seguintes artigos de certificado P2S para que os certificados de cliente criados sejam compatíveis com suas conexões P2S.

    Quando você gera um certificado de cliente a partir de um certificado raiz autoassinado, ele é instalado automaticamente no computador que você usou para gerá-lo. Se você quiser instalar um certificado de cliente em outro computador cliente, exporte-o como um arquivo .pfx, juntamente com toda a cadeia de certificados. Isso criará um arquivo .pfx que contém as informações do certificado raiz necessárias para o cliente autenticar.

    As etapas nestes artigos geram um certificado de cliente compatível, que você pode exportar e distribuir.

    • Instruções do PowerShell do Windows 10 ou posterior: estas instruções exigem o Windows 10 ou posterior e o PowerShell para gerar certificados. Os certificados gerados podem ser instalados em qualquer cliente P2S suportado.

    • Instruções do MakeCert: Use o MakeCert se você não tiver acesso a um computador com Windows 10 ou posterior para gerar certificados. Embora o MakeCert tenha sido preterido, você ainda pode usá-lo para gerar certificados. Você pode instalar os certificados gerados em qualquer cliente P2S suportado.

    • Instruções Linux.

Adicionar o pool de endereços

A página de configuração ponto a site contém as informações de configuração necessárias para a VPN P2S. Depois que todas as configurações P2S tiverem sido configuradas e o gateway tiver sido atualizado, a página de configuração Ponto a Site será usada para exibir ou alterar as configurações de VPN P2S.

  1. Vá para o gateway que você criou na seção anterior.
  2. No painel esquerdo, selecione Configuração ponto a site.
  3. Clique em Configurar agora para abrir a página de configuração.

O conjunto de endereços de cliente é um conjunto de endereços IP privados que especificar. Os clientes que se conectam através de uma VPN ponto a site recebem dinamicamente um endereço IP desse intervalo. Use um intervalo de endereços IP privados que não se sobreponha ao local a partir do qual você se conecta ou à rede virtual à qual deseja se conectar. Se você configurar vários protocolos e o SSTP for um dos protocolos, o pool de endereços configurado será dividido entre os protocolos configurados igualmente.

Captura de tela da página de configuração ponto a site - pool de endereços.

  1. Na página de configuração Ponto a site, na caixa Conjunto de endereços, adicione o intervalo de endereços IP privados que pretende utilizar. Os clientes VPN recebem dinamicamente um endereço IP do intervalo que especificou. A máscara de sub-rede mínima é de 29 bits para configuração ativa/passiva e 28 bits para configuração ativa/ativa.

  2. Em seguida, configure o túnel e o tipo de autenticação.

Especificar o túnel e o tipo de autenticação

Nota

Se você não vir o tipo de túnel ou o tipo de autenticação na página de configuração Ponto a Site, seu gateway está usando a SKU Básica. O Basic SKU não suporta autenticação IKEv2 ou RADIUS. Se você quiser usar essas configurações, precisará excluir e recriar o gateway usando uma SKU de gateway diferente.

Nesta seção, você especifica o tipo de túnel e o tipo de autenticação. Essas configurações podem se tornar complexas, dependendo do tipo de túnel necessário e do software cliente VPN que será usado para fazer a conexão a partir do sistema operacional do usuário. As etapas neste artigo irão guiá-lo pelas definições e escolhas básicas de configuração.

Você pode selecionar opções que contêm vários tipos de túnel na lista suspensa - como IKEv2 e OpenVPN (SSL) ou IKEv2 e SSTP (SSL), no entanto, apenas certas combinações de tipos de túnel e tipos de autenticação são suportadas. Por exemplo, a autenticação do Microsoft Entra só pode ser usada quando você seleciona OpenVPN (SSL) na lista suspensa de tipo de túnel, e não IKEv2 e OpenVPN(SSL).

Além disso, o tipo de túnel e o tipo de autenticação escolhido afetam o software cliente VPN que pode ser usado para se conectar ao Azure. Alguns softwares de cliente VPN só podem se conectar via IKEv2, outros só podem se conectar via OpenVPN. E alguns softwares cliente, embora suportem um determinado tipo de túnel, podem não suportar o tipo de autenticação escolhido.

Como você pode ver, planejar o tipo de túnel e o tipo de autenticação é importante quando você tem uma variedade de clientes VPN se conectando de diferentes sistemas operacionais. Considere os seguintes critérios ao escolher seu tipo de túnel em combinação com a autenticação de certificado do Azure. Outros tipos de autenticação têm considerações diferentes.

  • Windows:

    • Os computadores Windows que se conectam através do cliente VPN nativo já instalado no sistema operacional tentarão o IKEv2 primeiro e, se isso não se conectar, eles retornarão ao SSTP (se você selecionou IKEv2 e SSTP na lista suspensa do tipo de túnel).
    • Se você selecionar o tipo de túnel OpenVPN, poderá se conectar usando um Cliente OpenVPN ou o Cliente VPN do Azure.
    • O Cliente VPN do Azure pode dar suporte a definições de configuração opcionais adicionais, como rotas personalizadas e túnel forçado.

  • macOS e iOS:

    • O cliente VPN nativo para iOS e macOS só pode usar o tipo de túnel IKEv2 para se conectar ao Azure.
    • O Cliente VPN do Azure não tem suporte para autenticação de certificado no momento, mesmo se você selecionar o tipo de túnel OpenVPN.
    • Se você quiser usar o tipo de túnel OpenVPN com autenticação de certificado, você pode usar um cliente OpenVPN.
    • Para macOS, você pode usar o Cliente VPN do Azure com o tipo de túnel OpenVPN e a autenticação Microsoft Entra (não a autenticação de certificado).

  • Android e Linux:

    • O cliente strongSwan no Android e Linux pode usar apenas o tipo de túnel IKEv2 para se conectar. Se você quiser usar o tipo de túnel OpenVPN, use um cliente VPN diferente.

Tipo de túnel

Na página Configuração ponto a site , selecione o Tipo de túnel. Para este exercício, na lista suspensa, selecione IKEv2 e OpenVPN(SSL).

Captura de tela da página de configuração ponto a site - tipo de túnel.

Authentication type

Para este exercício, selecione Certificado do Azure para o tipo de autenticação. Se você estiver interessado em outros tipos de autenticação, consulte os artigos para Microsoft Entra ID e RADIUS.

Captura de ecrã da página Configuração ponto-a-site - tipo de autenticação.

Carregar informações de chave pública do certificado raiz

Nesta seção, você carrega dados de certificado raiz público no Azure. Assim que os dados do certificado público forem carregados, o Azure pode utilizá-lo para autenticar clientes que tenham instalado um certificado de cliente gerado a partir do certificado de raiz fidedigna.

  1. Certifique-se de que exportou o certificado raiz como um X.509 codificado em Base-64 (. CER) nas etapas anteriores. Tem de exportar o certificado neste formato para poder abrir o certificado com o editor de texto. Não é necessário exportar a chave privada.

  2. Abra o certificado com um editor de texto, como o Bloco de Notas. Quando copiar os dados de certificado, certifique-se de que copia o texto como uma linha contínua sem símbolos de retorno ou avanços de linha. Poderá ter de modificar a sua vista no editor de texto para "Mostrar Símbolo/Mostrar todos os carateres" para ver os símbolos de retorno ou avanços de linha. Copie apenas a secção seguinte como uma linha contínua:

    Captura de tela mostrando informações do certificado raiz no Bloco de Notas.

  3. Navegue até a página Gateway de rede virtual -> Configuração ponto a site na seção Certificado raiz. Esta seção só estará visível se você tiver selecionado o certificado do Azure para o tipo de autenticação.

  4. Na seção Certificado raiz, você pode adicionar até 20 certificados raiz confiáveis.

    • Cole os dados do certificado no campo Dados do certificado público.
    • Nomeie o certificado.

    Captura de ecrã do campo de dados do certificado.

  5. Não são necessárias rotas adicionais para este exercício. Para obter mais informações sobre o recurso de roteamento personalizado, consulte Anunciar rotas personalizadas.

  6. Selecione Salvar na parte superior da página para salvar todas as definições de configuração.

    Captura de ecrã da configuração P2S com Guardar selecionado.

Instalar certificado de cliente exportado

Cada cliente VPN que deseja se conectar precisa ter um certificado de cliente. Quando você gera um certificado de cliente, o computador usado normalmente instala automaticamente o certificado de cliente para você. Se você quiser criar uma conexão P2S de outro computador, você precisa instalar um certificado de cliente no computador que deseja se conectar. Ao instalar um certificado de cliente, vai precisar da palavra-passe que foi criada quando o certificado de cliente foi exportado.

Certifique-se de que o certificado de cliente foi exportado como um ficheiro. pfx, juntamente com a cadeia de certificados inteira (que é a predefinição). Caso contrário, as informações do certificado de raiz não estão presentes no computador do cliente e o cliente não conseguirá autenticar corretamente.

Para obter os passos de instalação, veja Instalar um certificado de cliente.

Configurar clientes VPN e conectar-se ao Azure

Cada cliente VPN é configurado usando os arquivos em um pacote de configuração de perfil de cliente VPN que você gera e baixa. O pacote de configuração contém configurações específicas para o gateway VPN que você criou. Se você fizer alterações no gateway, como alterar um tipo de túnel, certificado ou tipo de autenticação, precisará gerar outro pacote de configuração de perfil de cliente VPN e instalá-lo em cada cliente. Caso contrário, seus clientes VPN podem não conseguir se conectar.

Para conhecer as etapas para gerar um pacote de configuração de perfil de cliente VPN, configurar seus clientes VPN e conectar-se ao Azure, consulte os seguintes artigos:

Para verificar a ligação

Estas instruções aplicam-se aos clientes Windows.

  1. Para verificar se a ligação VPN está ativa, abra uma linha de comandos elevada e execute ipconfig/all.

  2. Veja os resultados. Observe que o endereço IP que você recebeu é um dos endereços dentro do Pool de Endereços de Cliente VPN ponto a site que você especificou em sua configuração. Os resultados são semelhantes a este exemplo:

    PPP adapter VNet1:
   Connection-specific DNS Suffix .:
   Description.....................: VNet1
   Physical Address................:
   DHCP Enabled....................: No
   Autoconfiguration Enabled.......: Yes
   IPv4 Address....................: 172.16.201.3(Preferred)
   Subnet Mask.....................: 255.255.255.255
   Default Gateway.................:
   NetBIOS over Tcpip..............: Enabled

Ligar a uma máquina virtual

Estas instruções aplicam-se aos clientes Windows.

Você pode se conectar a uma VM implantada em sua rede virtual criando uma Conexão de Área de Trabalho Remota para sua VM. A melhor forma de verificar, inicialmente, que se pode ligar à VM é ligar-se utilizando o respetivo endereço IP privado, em vez do nome do computador. Dessa forma, você está testando para ver se consegue se conectar, não se a resolução de nomes está configurada corretamente.

  1. Localizar o endereço IP privado. Você pode encontrar o endereço IP privado de uma VM examinando as propriedades da VM no portal do Azure ou usando o PowerShell.

    • Portal do Azure: localize sua VM no portal do Azure. Ver as propriedades da VM. O endereço IP privado está listado.

    • PowerShell: Use o exemplo para exibir uma lista de VMs e endereços IP privados de seus grupos de recursos. Não é necessário modificar este exemplo antes de o utilizar.

      $VMs = Get-AzVM
$Nics = Get-AzNetworkInterface | Where-Object VirtualMachine -ne $null

foreach ($Nic in $Nics) {
$VM = $VMs | Where-Object -Property Id -eq $Nic.VirtualMachine.Id
$Prv = $Nic.IpConfigurations | Select-Object -ExpandProperty PrivateIpAddress
$Alloc = $Nic.IpConfigurations | Select-Object -ExpandProperty PrivateIpAllocationMethod
Write-Output "$($VM.Name): $Prv,$Alloc"
}

  2. Verifique se você está conectado à sua rede virtual.

  3. Abra a Ligação ao Ambiente de Trabalho Remoto introduzindo RDP ou Ligação ao Ambiente de Trabalho Remoto na caixa de pesquisa na barra de tarefas. Em seguida, selecione Conexão de Área de Trabalho Remota. Você também pode abrir a Conexão de Área de Trabalho Remota usando o mstsc comando no PowerShell.

  4. Em Ligação ao Ambiente de Trabalho Remoto, introduza o endereço IP privado da VM. Pode selecionar Mostrar Opções para ajustar outras definições e, em seguida, ligar.

Se você estiver tendo problemas para se conectar a uma VM por meio de sua conexão VPN, verifique os seguintes pontos:

  • Certifique-se de que a ligação VPN é efetuada com êxito.
  • Verifique se você está se conectando ao endereço IP privado da VM.
  • Se você puder se conectar à VM usando o endereço IP privado, mas não o nome do computador, verifique se configurou o DNS corretamente. Para obter mais informações sobre como a resolução de nomes funciona para VMs, consulte Resolução de nomes para VMs.

Para obter mais informações sobre ligações RDP, veja Troubleshoot Remote Desktop connections to a VM(Resolução de Problemas de ligações de Ambiente de Trabalho Remoto a uma VM).

  • Certifique-se de que o pacote de configuração de clientes VPN gerado depois dos endereços IP do servidor DNS foi especificado para a VNet. Se atualizou os endereços IP do servidor DNS, gere e instale um novo pacote de configuração de cliente VPN.

  • Use 'ipconfig' para verificar o endereço IPv4 atribuído ao adaptador Ethernet no computador do qual você está se conectando. Se o endereço IP estiver dentro do intervalo de endereços da rede virtual à qual você está se conectando ou dentro do intervalo de endereços do seu VPNClientAddressPool, isso será chamado de espaço de endereço sobreposto. Quando o seu espaço de endereços se sobrepõe desta forma, o tráfego de rede não chega ao Azure e permanece na rede local.

Para adicionar ou remover certificados de raiz fidedigna

Pode adicionar e remover certificados de raiz fidedigna do Azure. Quando você remove um certificado raiz, os clientes que têm um certificado gerado a partir dessa raiz não poderão se autenticar e, portanto, não poderão se conectar. Se quiser que um cliente faça a autenticação e estabeleça ligação, terá de instalar um novo certificado de cliente gerado a partir de um certificado de raiz considerado fidedigno (carregado) no Azure.

Pode adicionar até 20 ficheiros .cer de certificado de raiz fidedigna ao Azure. Para obter instruções, consulte a seção Carregar um certificado raiz confiável.

Para remover um certificado raiz confiável:

  1. Navegue até a página de configuração ponto a site do gateway de rede virtual.
  2. Na secção Certificado de raiz da página, localize o certificado que pretende remover.
  3. Selecione as reticências ao lado do certificado e, em seguida, selecione Remover.

Para revogar um certificado de cliente

Pode revogar certificados de cliente. A lista de revogação de certificados permite negar seletivamente a conectividade P2S com base em certificados de cliente individuais. Isto é diferente da remoção de um certificado de raiz fidedigna. Se remover um certificado de raiz .cer fidedigno do Azure, revoga o acesso a todos os certificados de cliente gerados/assinados pelo certificado de raiz revogado. A revogação de um certificado de cliente, em vez do certificado de raiz, permite que os outros certificados que foram gerados a partir do certificado de raiz continuem a ser utilizados para autenticação.

A prática comum é utilizar o certificado de raiz para gerir o acesso nos níveis de equipa ou organização e utilizar certificados de cliente revogados para controlo de acesso detalhado dos utilizadores individuais.

Pode revogar um certificado de cliente, ao adicionar o thumbprint à lista de revogação.

  1. Obtenha o thumbprint do certificado de cliente. Para obter mais informações, veja Como obter o Thumbprint de um Certificado.
  2. Copie as informações para um editor de texto e remova todos os espaços para que seja uma cadeia de caracteres contínua.
  3. Navegue até à página Configuração ponto a site do gateway de rede virtual. Esta é a mesma página que utilizou para carregar um certificado de raiz fidedigna.
  4. Na secção Certificados revogados, introduza um nome amigável para o certificado (não tem de ser o CN do certificado).
  5. Copie e cole a cadeia de thumbprint para o campo Thumbprint.
  6. O thumbprint valida e é adicionado automaticamente à lista de revogação. Verá uma mensagem no ecrã a indicar que a lista está a atualizar.
  7. Depois de concluída a atualização, o certificado já não pode ser utilizado para ligar. Os clientes que se tentarem ligar com este certificado irão receber uma mensagem a indicar que o certificado já não é válido.

FAQ Ponto a Site

Para perguntas frequentes, consulte as Perguntas frequentes.

Próximos passos

Quando a conexão estiver concluída, você poderá adicionar máquinas virtuais às suas redes virtuais. Para obter mais informações, veja Máquinas Virtuais. Para compreender melhor o funcionamento em rede e as máquinas virtuais, veja Descrição geral da rede VM do Azure e Linux.

Para obter informações de resolução de problemas P2S, consulte Resolução de problemas de ligações ponto a site do Azure.