Configurar um cliente VPN para ponto a site: RADIUS - autenticação de certificado

  • Artigo

Para se conectar a uma rede virtual através de P2S (ponto a site), você precisa configurar o dispositivo cliente do qual você se conectará. Este artigo ajuda você a criar e instalar a configuração do cliente VPN para autenticação de certificado RADIUS.

Quando você estiver usando a autenticação RADIUS, há várias instruções de autenticação: autenticação de certificado, autenticação de senha e outros métodos e protocolos de autenticação. A configuração do cliente VPN é diferente para cada tipo de autenticação. Para configurar um cliente VPN, use arquivos de configuração do cliente que contenham as configurações necessárias.

Nota

A partir de 1 de julho de 2018, o suporte será removido para o TLS 1.0 e 1.1 do Gateway de VPN do Azure. O Gateway de VPN irá suportar apenas o TLS 1.2. Apenas as conexões ponto-a-site são afetadas; As conexões site a site não serão afetadas. Se você estiver usando TLS para VPNs ponto a site em clientes Windows 10 ou posteriores, não precisará tomar nenhuma ação. Se você estiver usando TLS para conexões ponto a site em clientes Windows 7 e Windows 8, consulte as Perguntas frequentes sobre o Gateway VPN para obter instruções de atualização.

Fluxo de Trabalho

O fluxo de trabalho de configuração para autenticação P2S RADIUS é o seguinte:

  1. Configure o gateway de VPN do Azure para conectividade P2S.

  2. Configure o servidor RADIUS para autenticação.

  3. Obtenha a configuração do cliente VPN para a opção de autenticação de sua escolha e use-a para configurar o cliente VPN (este artigo).

  4. Conclua a configuração do P2S e conecte-se.

Importante

Se houver alterações na configuração de VPN ponto a site depois de gerar o perfil de configuração do cliente VPN, como o tipo de protocolo VPN ou o tipo de autenticação, você deverá gerar e instalar uma nova configuração de cliente VPN nos dispositivos dos usuários.

Você pode criar arquivos de configuração de cliente VPN para autenticação de certificado RADIUS que usa o protocolo EAP-TLS. Normalmente, um certificado emitido pela empresa é usado para autenticar um usuário para VPN. Verifique se todos os usuários conectados têm um certificado instalado em seus dispositivos e se o servidor RADIUS pode validar o certificado.

Nos comandos, -AuthenticationMethod é EapTls. Durante a autenticação do certificado, o cliente valida o servidor RADIUS validando seu certificado. -RadiusRootCert é o arquivo .cer que contém o certificado raiz usado para validar o servidor RADIUS.

Cada dispositivo cliente VPN requer um certificado de cliente instalado. Às vezes, um dispositivo Windows tem vários certificados de cliente. Durante a autenticação, isso pode resultar em uma caixa de diálogo pop-up que lista todos os certificados. O usuário deve então escolher o certificado a ser usado. O certificado correto pode ser filtrado especificando o certificado raiz ao qual o certificado do cliente deve ser encadeado.

-ClientRootCert é o arquivo .cer que contém o certificado raiz. É um parâmetro opcional. Se o dispositivo do qual você deseja se conectar tiver apenas um certificado de cliente, não será necessário especificar esse parâmetro.

Gerar arquivos de configuração do cliente VPN

Você pode gerar os arquivos de configuração do cliente VPN usando o portal do Azure ou o Azure PowerShell.

Portal do Azure

  1. Navegue até o gateway de rede virtual.

  2. Clique em Configuração ponto a site.

  3. Clique em Baixar cliente VPN.

  4. Selecione o cliente e preencha todas as informações solicitadas. Dependendo da configuração, você pode ser solicitado a carregar o certificado raiz Radius no portal. Exporte o certificado no X.509 codificado em Base-64 necessário (. CER) e abri-lo usando um editor de texto, como o Bloco de Notas. Você verá um texto semelhante ao exemplo a seguir. A seção realçada em azul contém as informações que você copia e carrega no Azure.

    A captura de tela mostra o arquivo CER aberto no Bloco de Notas com os dados do certificado realçados.

    Se o seu arquivo não for semelhante ao exemplo, normalmente isso significa que você não o exportou usando o X.509(. CER). Além disso, se você usar um editor de texto diferente do Bloco de Notas, entenda que alguns editores podem introduzir formatação não intencional em segundo plano. Isso pode criar problemas ao carregar o texto desse certificado no Azure.

  5. Clique em Download para gerar o arquivo .zip.

  6. O arquivo .zip é baixado, normalmente para a pasta Downloads.

Azure PowerShell

Gere arquivos de configuração do cliente VPN para uso com autenticação de certificado. Você pode gerar os arquivos de configuração do cliente VPN usando o seguinte comando:

New-AzVpnClientConfiguration -ResourceGroupName "TestRG" -Name "VNet1GW" -AuthenticationMethod "EapTls" -RadiusRootCert <full path name of .cer file containing the RADIUS root> -ClientRootCert <full path name of .cer file containing the client root> | fl

A execução do comando retorna um link. Copie e cole o link para um navegador da Web para fazer o download VpnClientConfiguration.zip. Descompacte o arquivo para exibir as seguintes pastas:

  • WindowsAmd64 e WindowsX86: Essas pastas contêm os pacotes do instalador do Windows de 64 bits e 32 bits, respectivamente.
  • GenericDevice: Esta pasta contém informações gerais que são usadas para criar sua própria configuração de cliente VPN.

Se você já criou arquivos de configuração do cliente, poderá recuperá-los usando o Get-AzVpnClientConfiguration cmdlet. Mas se você fizer alguma alteração na configuração da VPN P2S, como o tipo de protocolo VPN ou o tipo de autenticação, a configuração não será atualizada automaticamente. Você deve executar o New-AzVpnClientConfiguration cmdlet para criar um novo download de configuração.

Para recuperar arquivos de configuração do cliente gerados anteriormente, use o seguinte comando:

Get-AzVpnClientConfiguration -ResourceGroupName "TestRG" -Name "VNet1GW" | fl

Cliente VPN nativo do Windows

Você pode usar o cliente VPN nativo se configurou IKEv2 ou SSTP.

  1. Selecione um pacote de configuração e instale-o no dispositivo cliente. Para uma arquitetura de processador de 64 bits, escolha o pacote do instalador VpnClientSetupAmd64 . Para uma arquitetura de processador de 32 bits, escolha o pacote do instalador VpnClientSetupX86 . Se vir um pop-up SmartScreen, selecione Mais informações>Executar mesmo assim. Também pode guardar o pacote para instalar noutros computadores cliente.

  2. Cada cliente requer um certificado de cliente para autenticação. Instale o certificado do cliente. Para obter informações sobre certificados de cliente, consulte Certificados de cliente para ponto a site. Para instalar um certificado que foi gerado, consulte Instalar um certificado em clientes Windows.

  3. No computador cliente, navegue até Configurações de Rede e selecione VPN. A ligação VPN mostra o nome da rede virtual à qual se liga.

Cliente VPN nativo do Mac (macOS)

Você deve criar um perfil separado para cada dispositivo Mac que se conecta à rede virtual do Azure. Isso ocorre porque esses dispositivos exigem que o certificado de usuário para autenticação seja especificado no perfil. Além disso, você só pode usar o cliente VPN nativo do macOS se tiver incluído o tipo de túnel IKEv2 em sua configuração. A pasta Genérico tem todas as informações necessárias para criar um perfil:

  • VpnSettings.xml contém configurações importantes, como endereço do servidor e tipo de túnel.
  • VpnServerRoot.cer contém o certificado raiz necessário para validar o gateway VPN durante a configuração da conexão P2S.
  • RadiusServerRoot.cer contém o certificado raiz necessário para validar o servidor RADIUS durante a autenticação.

Use as seguintes etapas para configurar o cliente VPN nativo em um Mac para autenticação de certificado:

  1. Importe os certificados raiz VpnServerRoot e RadiusServerRoot para o seu Mac. Copie cada ficheiro para o Mac, faça duplo clique no mesmo e, em seguida, selecione Adicionar.

  2. Cada cliente requer um certificado de cliente para autenticação. Instale o certificado do cliente no dispositivo cliente.

  3. Abra a caixa de diálogo Rede em Preferências de Rede. Selecione + para criar um novo perfil de conexão de cliente VPN para uma conexão P2S com a rede virtual do Azure.

    O valor da interface é VPN e o valor do tipo de VPN é IKEv2. Especifique um nome para o perfil na caixa Nome do Serviço e selecione Criar para criar o perfil de conexão do cliente VPN.

  4. Na pasta Genérico, no arquivo VpnSettings.xml, copie o valor da marca VpnServer. Cole esse valor nas caixas Endereço do Servidor e ID Remoto do perfil. Deixe a caixa ID local em branco.

  5. Selecione Configurações de autenticação e selecione Certificado.

  6. Clique em Selecionar para escolher o certificado que deseja usar para autenticação.

  7. Escolha Uma identidade exibe uma lista de certificados para você escolher. Selecione o certificado adequado e, em seguida, selecione Continuar.

  8. Na caixa ID Local, especifique o nome do certificado (da Etapa 6). Neste exemplo, é ikev2Client.com. Em seguida, selecione o botão Aplicar para salvar as alterações.

  9. Na caixa de diálogo Rede, selecione Aplicar para salvar todas as alterações. Em seguida, selecione Conectar para iniciar a conexão P2S com a rede virtual do Azure.

Próximos passos

Retorne ao artigo de configuração P2S para verificar sua conexão.

Para obter informações sobre solução de problemas do P2S, consulte Solução de problemas de conexões ponto a site do Azure.