Vous êtes sur la page 1sur 21

Configurar uma conexão Ponto a Site a uma

autenticação de certificado usando VNet


(clássico): Portal do Azure

Este artigo foi escrito para o modelo de implantação clássico. Se você for novo no
Azure, recomendamos o uso do modelo de implantação do Resource Manager. O
modelo de implantação do Resource Manager é o modelo de implantação mais recente
e oferece mais opções e compatibilidade de recursos do que o modelo de implantação
clássico. Para saber mais sobre os modelos de implantação, consulte Noções básicas
sobre os modelos de implantação.
Para ver a versão do Resource Manager deste artigo, selecione-o na lista suspensa ou
no sumário à esquerda.

Este artigo mostra como criar uma rede virtual com uma conexão Ponto a Site no
modelo de implantação clássico usando o portal do Azure. Essa configuração usa
certificados para autenticar o cliente de conexão, autoassinado ou emitido por uma
Autoridade de Certificação. Você também pode criar essa configuração usando uma
ferramenta de implantação ou um modelo de implantação diferente, selecionando uma
opção diferente na lista a seguir:

Um gateway VPN Ponto a Site (P2S) permite que você crie uma conexão segura para
sua rede virtual a partir de um computador cliente individual. As conexões VPN Ponto a
Site são úteis quando você deseja se conectar à rede virtual de um local remoto, como
ao trabalhar de casa ou em uma conferência. Uma VPN P2S também é uma solução útil
para usar em vez de uma VPN Site a Site, quando você tiver apenas alguns clientes que
precisam se conectar a uma rede virtual. Uma conexão VPN P2S é estabelecida
iniciando-a do computador cliente.
Importante
O modelo de implantação clássico dá suporte somente a clientes VPN do Windows e
usa o protocolo SSTP (Secure Socket Tunneling), um protocolo de VPN baseada em SSL.
Para oferecer suporte a clientes VPN não Windows, sua rede virtual deverá ser criada
usando o modelo de implantação do Resource Manager. O modelo de implantação do
Resource Manager oferece suporte à VPN IKEv2, além de SSTP. Para saber mais,
veja Sobre conexões P2S.
Conexões de autenticação de certificado de Ponto a Site exigem o seguinte:

· Um gateway de VPN dinâmico.


· A chave pública (arquivo .cer) para um certificado raiz, que é carregado no
Azure. Isso é considerado um certificado confiável e é usado para autenticação.
· O certificado de cliente é gerado a partir do certificado raiz e instalado em cada
computador cliente que irá se conectar. Esse certificado é usado para autenticação
do cliente.
· Um pacote de configuração de cliente VPN deve ser gerado e instalado em cada
computador cliente que se conecta. O pacote de configuração do cliente configura
o cliente VPN nativo que já está no sistema operacional com as informações
necessárias para se conectar à VNet.

As conexões Ponto a Site não exigem um dispositivo VPN ou um endereço IP voltado


para o público local. A conexão VPN é criada no SSTP (Secure Socket Tunneling
Protocol). No lado do servidor, há suporte para as versões 1.0, 1.1 e 1.2 do SSTP. O
cliente decide qual versão usar. Por padrão, para Windows 8.1 e posterior, o SSTP usa
1.2.

Para saber mais sobre conexões Ponto a site, consulte as Perguntas frequentes sobre
Ponto a site no final deste artigo.
Configurações de exemplo

Você pode usar os seguintes valores para criar um ambiente de teste ou fazer referência
a esses valores para entender melhor os exemplos neste artigo:

· Nome: VNet1
· Espaço de endereço: 192.168.0.0/16
Neste exemplo, usamos apenas
penas um espaço de endereço. Você pode ter mais de
um espaço de endereço para a sua rede virtual, conforme mostrado no diagrama.
· Nome da sub-rede:
rede: FrontEnd
· Intervalo de endereços da sub
sub-rede: 192.168.1.0/24
· Assinatura: verifique se você tem mais de uma ass
assinatura,
inatura, verifique se está usando
a correta.
· Grupo de Recursos: TestRG
· Local: Leste dos EUA
· Tipo de conexão: ponto a site
· Espaço de Endereço de Cliente: 172.16.201.0/24
172.16.201.0/24. Os clientes VPN que se
conectarem à rede virtual usando esta conexão Ponto a Site rece
receberão
berão um
endereço IP do pool especificado.
· GatewaySubnet: 192.168.200.0/24
192.168.200.0/24. A sub-rede
rede de Gateway deve usar o nome
"GatewaySubnet".
· Tamanho: selecione a SKU de gateway que você deseja usar.
· Tipo de Roteamento: Dinâmico

1. Criar uma rede virtual e um gatewa


gateway de VPN
Antes de começar, verifique se você tem uma assinatura do Azure. Se ainda não tiver
uma assinatura do Azure, você poderá ativar os Benefícios do assinante do MSDN
MS ou
inscrever-se para obter uma conta gratuita
gratuita.
Parte 1: criar uma rede virtual

Se você ainda não tiver uma rede virtual, crie uma. Capturas de tela são fornecidas
como exemplos.Substitua os valores pelos seus próprios. Para criar uma rede virtual
usando o portal do Azure, use as seguintes etapas:

1. Em um navegador, navegue até o portal do Azure e, se necessário, entre com sua


conta do Azure.
2. Clique em Criar um recurso > Rede > Rede Virtual.
3. Perto da parte inferior da página Rede Virtual, na lista Selecionar um modelo de
implantação, selecione Clássico e clique em Criar.

4. Na página Criar rede virtual,, defina as configurações da VNet. Nessa página, você
adiciona
diciona o primeiro espaço de endereço e um único intervalo de endereços da
sub-rede. Depois de terminar a criação da rede virtual, você poderá voltar e
adicionar espaços de endereço e sub
sub-redes adicionais.

5. Verifique se a Assinatura é a correta. Você pode alterar as assinaturas usando o


menu suspenso.
6. Clique em Grupo de recursos e selecione um grupo de recursos existente ou crie
um novo digitando um nome para seu novo grupo de recursos. Se estiver criando
um novo grupo de recursos, dê o nome do grupo de re recursos
cursos de acordo com os
valores de configuração planejados.Para saber mais sobre grupos de recursos,
visite Visão geral do Gerenciador de Recursos do Azure.
7. Em seguida, selecione as configurações do Local para sua VNet. O local determina
onde ficarão os recursos que você implanta nessa rede virtual.
8. Selecione Fixar no painel se quiser ser capaz de encontrar sua VNet facilmente no
painel,, em seguida, clique em Criar.
9. Depois que você clicar em Criar, um bloco será exibido no painel para refletir o
progresso de sua rede virtual. O bloco muda à medida que a rede virtual é criada.

10. Quando sua rede virtual tiver sido criada, você verá Criado.
11. Adicionar um servidor DNS (opcional). Depois de criar a rede virtual, você pode
adicionar o endereço IP de um servidor DNS para resolução de nomes. O endereço
IP do servidor DNS especificado deve ser um que possa resolver os nomes dos
recursos em sua VNet.
Para adicionar um servidor DNS, abra as configurações de sua rede virtual, clique
em servidores DNS e adicione o endereço IP do servidor DNS que você deseja
usar.

Parte 2: criar um gateway de roteamento dinâmico e de sub


sub-rede
rede de gateway

Nesta etapa, você cria uma sub-rede


rede de gateway e um gateway de roteamento
Dinâmico. No portal do Azure para o modelo de implantação clássico, a criação da sub
sub-
rede de gateway e do gateway pode ser feita com as mesmas páginas de
configuração. A sub-rede
rede de gateway é usada somente para os serviços de
gateway. Nunca implante algo diretamente na sub
sub-rede
rede do gateway (como VMs ou
outros serviços).

1. No portal, navegue até a rede virtual para a qual você deseja criar um gateway.
2. Na página de sua rede virtual, na página Visão geral,, na seção de conexões VPN,
clique em Gateway.
3. Na página Nova Conexão VPN
VPN, selecione Ponto a site.

4. Para Espaço de Endereço de Cliente


Cliente,, adicione o intervalo de endereços IP. É o
intervalo do qual os clientes VPN recebem um endereço IP ao se conectar. Use um
intervalo de endereço IP privado que não coincida com o local que você irá se
conectar a partir da, ou com a rede virtual que você deseja se conectar. Você pode
excluir o intervalo de preenchimento automático e adicionar o intervalo de
endereços IP privado
ivado que você deseja usar. Este exemplo mostra o preenchimento
automático à distância. Exclua
Exclua-o para adicionar o valor desejado.
5. Marque a caixa de seleção Criar gateway imediatamente
imediatamente. Clique
em Configuração do gateway opcional para abrir a página Configuração
Config do
gateway.
6. Clique em Definir configurações de subsub-rede necessárias para adicionar a sub-
rede de gateway.Embora
.Embora seja possível criar uma sub
sub-rede
rede de gateway tão
pequena quanto /29, recomendamos que você crie uma sub sub-rede
rede maior que inclua
mais endereços
eços selecionando pelo menos /28 ou /27. Isso permitirá endereços
suficientes a fim de acomodar as possíveis configurações adicionais que você
possa querer no futuro. Ao trabalhar com subsub-redes
redes de gateway, evite a
associação de um NSG (grupo de segurança d de rede) à sub-rede
rede de
gateway. Associar um grupo de segurança de rede a essa sub sub-rede
rede pode fazer com
que seu gateway de VPN para parar de funcionar conforme o esperado.

7. Selecionar o tamanho do gateway. O tamanho é o SKU de gateway do gateway de


rede virtual.No
ual.No portal, a SKU padrão é Básica. Para obter informações sobre os
SKUs de gateway, confira Sobre configurações de Gateway de VPN VPN.
8. Selecione o Tipo de Roteamento para seu gateway. Configurações de P2S
requerem um tipo de roteamento Dinâmico. Clique em OK quando terminar de
configurar esta página.
9. Na página Nova Conexão VPNVPN, clique em OK na parte inferior da página para
começar a criar o gateway de rede virtual. Um gateway de VPN pode levar até 45
minutos para ser concluído, dependendo do sku de gateway que você selecionar.

2. Criar certificados
Os certificados são usados pelo Azure para autenticar clientes de VPN para as VPNs
Ponto a Site. Você pode carregar as informações da chave públicas do certificado raiz
no Azure. A chave pública é considerada “trusted” (confiável). Os certificados de cliente
devem ser gerados a partir do certificado raiz confiável e, em seguida, em cada
computador cliente no repositório de certificados de usuário/pessoal de certificados
atual. O certificado é usado para autenticar o cliente quando ele inicia uma conexão de
rede virtual.

Se você usa certificados autoassinados, eles devem ser criados usando parâmetro
parâmetros
específicos. Você pode criar um certificado autoassinado usando as instruções
para PowerShell e Windows 10 ou MakeCert
MakeCert. É importante que você siga as etapas
nestas instruções ao trabalhar com os certificados raiz autoassinados e gerar
certificados de cliente a partir do certificado raiz a
autoassinado. Caso contrário, os
certificados criados não serão compatíveis com conexões P2S e você receberá um erro
de conexão.
Parte 1: obter a chave pública (.cer) do certificado raiz
Você pode usar um certificado raiz que foi gerado usando uma solução corporativa
(recomendado) ou você pode gerar um certificado autoassinado. Depois de criar o
certificado raiz, exporte os dados de certificado público (não a chave privada) como o
arquivo .cer X.509 codificado em Base 64 e carregue os dados do certificado público no
Azure.

· Certificado corporativo: Se você estiver usando uma solução corporativa, você


poderá usar a cadeia de certificados existente. Obtenha o arquivo .cer do
certificado raiz que você deseja usar.
· Certificado raiz autoassinado: se você não estiver usando uma solução de
certificado corporativo, será necessário criar um certificado raiz autoassinado. É
importante que você execute as etapas em um dos artigos de certificado de P2S
abaixo. Caso contrário, os certificados criados não serão compatíveis com
conexões P2S, e os clientes receberão um erro de conexão ao tentar se
conectar. Você pode usar o Azure PowerShell, MakeCert ou OpenSSL. As etapas
dos artigos fornecidos geram um certificado compatível:
o Instruções do Windows 10 PowerShell: essas instruções exigem o Windows 10 e
o PowerShell para gerar certificados. Os certificados de cliente gerados a partir
do certificado raiz podem ser instalados em qualquer cliente de P2S com
suporte.
o Instruções de MakeCert: use MakeCert se você não tiver acesso a um
computador com Windows 10 para gerar certificados. MakeCert foi preterido,
mas você ainda pode usar o MakeCert para gerar certificados. Os certificados
de cliente gerados a partir do certificado raiz podem ser instalados em qualquer
cliente de P2S com suporte.

Parte 2: gerar um certificado de cliente

Cada computador cliente que se conecta a uma rede virtual usando ponto a site deve
ter um certificado do cliente instalado. O certificado de cliente é gerado a partir do
certificado raiz e instalado em cada computador cliente. Se um certificado de cliente
válido não for instalado, e o cliente tentar se conectar à rede virtual, a autenticação
falhará.

Você pode gerar um certificado exclusivo para cada cliente ou pode usar o mesmo
certificado para vários clientes. A vantagem da geração de certificados de cliente
exclusivos é a capacidade de revogar um único certificado. Caso contrário, se vários
clientes estiverem usando o mesmo certificado de cliente e for necessário revogá-lo,
você precisará gerar e instalar novos certificados para todos os clientes que usam
aquele certificado para autenticação.

Você pode gerar certificados de cliente usando os seguintes métodos:

· Certificado corporativo:
o Se você estiver usando uma solução de certificado corporativo, gere um
certificado de cliente com o formato de valor de nome comum
'name@yourdomain.com', em vez do formato 'nome do
domínio\nomedeusuário'.
o Verifique se o certificado do cliente baseia-se no modelo de certificado
'Usuário' que tem 'Autenticação de cliente' como o primeiro item na lista de
uso, em vez de Logon de Cartão Inteligente, etc. Você pode verificar o
certificado clicando duas vezes no certificado do cliente e exibindo Detalhes >
Uso Avançado de Chave.
· Certificado raiz autoassinado: é importante que você execute as etapas em um
dos artigos de certificado de P2S abaixo. Caso contrário, os certificados de cliente
criados não serão compatíveis com conexões P2S, e os clientes receberão um erro
ao tentar se conectar. As etapas em qualquer um dos artigos a seguir geram um
certificado do cliente compatível:
o Instruções do Windows 10 PowerShell: essas instruções exigem o Windows 10 e
o PowerShell para gerar certificados. Os certificados gerados podem ser
instalados em qualquer cliente de P2S com suporte.
o Instruções de MakeCert: use MakeCert se você não tiver acesso a um
computador com Windows 10 para gerar certificados. MakeCert foi preterido,
mas você ainda pode usar o MakeCert para gerar certificados. Os certificados
gerados podem ser instalados em qualquer cliente de P2S com suporte.

Ao gerar um certificado do cliente de um certificado raiz autoassinado usando as


instruções anteriores, ele é instalado automaticamente no computador que você
usou para gerá-lo. Se você quiser instalar um certificado de cliente em outro
computador cliente, será necessário exportá-lo como .pfx e junto com toda a
cadeia de certificado. Isso cria um arquivo .pfx que contém as informações do
certificado raiz necessárias para o cliente autenticar com sucesso. Para obter as
etapas de exportação de um certificado, consulte Certificados - exportar um
certificado do cliente.
3. Carregar o arquivo .cer do certificado raiz
Após o gateway ser criado, você pode carregar o arquivo. cer (que contém as
informações de chave pública) para um certificado raiz confiável do Azure. Você não
carrega a chave privada do certificado raiz no Azure. Uma vez carregado o arquivo .cer,
o Azure pode usá-lo para autenticar clientes com um certificado de cliente instalado
gerado a partir de um certificado raiz confiável. Você pode carregar arquivos de
certificado raiz confiável adicionais - até um total de 20 - posteriormente, se necessário.

1. Na seção Conexões VPN da página de sua VNet, clique no gráfico


de clientes para abrir a página Conexão VPN de ponto a site.
2. Na página Conexão ponto a site
site, clique em Gerenciar certificados para abrir a
página Certificados.

3. Na página Certificados,, clique em Carregar para abrir a página Carregar um


certificado.

4. Clique no gráfico de pasta para procurar o arquivo .cer. Selecione o arquivo e


clique em OK.Atualize
.Atualize a página para ver o certificado carregado na
página Certificados.
4. Configurar o cliente
Para se conectar a uma rede virtual usando uma VPN Ponto a Site, cada cl
cliente deve
instalar um pacote para configurar o cliente VPN do Windows. O pacote de
configuração configura o cliente VPN do Windows nativo com as configurações
necessárias para se conectar à rede virtual.

Você pode usar o mesmo pacote de configuração de cl cliente


iente VPN em cada computador
cliente, desde que a versão corresponda à arquitetura do cliente. Para obter a lista de
sistemas operacionais clientes com suporte, consulte as Perguntas frequentes sobre
conexões Ponto a site ao final desse artigo.
Parte 1: gerar e instalar o pacote de configuração do cliente VPN

1. No portal do Azure, na página Visão geral da rede virtual, em Conexões VPN,V


clique no gráfico do cliente para abrir a página Conexão VPN de ponto a site.
site
2. Na parte superior da página Conexão VPN de ponto a site site,, clique no pacote de
download que corresponde ao sistema operacional cliente no qual ele será
instalado:
· Para clientes de 64 bits, selecione Cliente VPN (64 bits).
· Para clientes de 32 bits, selecione Cliente VPN (32 bits).

3. Depois que o pacote for gerado, baixe


baixe-o e instale-o
o no computador cliente. Se vir
um pop-up up do SmartScreen, clique em Mais informações e em Executar mesmo
assim. Você também pode salvar o pacote de instalação em outros computadores
clientes.

Parte 2: instalar o certificado do cliente

Se você quiser criar uma conexão P2S de um computador cliente diferente daquele
usada para gerar os certificados cliente
cliente,, instale um certificado de cliente. Ao instalar um
certificado do cliente, você precisará da senha criada durante a exportação do
certificado do cliente. Normalmente, isso é apenas uma questão de clicar duas vezes no
certificado e instalá-lo. Para saber m
mais informações consulte, Instalar um certificado de
cliente exportado.
5. Conecte-se ao Azure
Conectar-se à sua VNet
Observação
Você deve
e ter direitos de Administrador no computador cliente do qual você está se
conectando.

1. Para se conectar à sua rede virtual, no computador cliente, navegue até conexões
VPN e localize a conexão VPN que você criou. Ele terá o mesmo nome da sua rede
virtual. Clique em Conectar.Uma
.Uma mensagem poppop-up
up pode ser exibida sobre o uso
do certificado. Se isso acontecer, clique em Continuar para usar os privilégios
elevados.
2. Na página de status Conexão
Conexão, clique em Conectar para iniciar a conexão. Se for
exibida uma tela de Selecionar certificado , verifique se o certificado de cliente
mostrado é o que você deseja usar para se conectar. Se não for, use a seta
suspensa para selecionar o certificado correto e clique em OK.

3. A conexão é estabelecida.

Solucionar problemas de conexões P2S

Se você estiver tendo problemas para se conectar, verifique os seguintes itens:

· Se você tiver exportado um certificado do cliente, verifique se o exportou como


um arquivo .pfx usando o valor padrão 'Incluir todos os certificados no caminho de
certificação, se possível'.Quando você exporta usando esse valor, as informações
do certificado raiz também são exportadas. Quando o certificado é instalado no
computador cliente, o certificado raiz contido no arquivo .pfx também é instalado
no computador cliente. O computador cliente deve ter as informações de
certificado raiz instaladas. Para verificar, acesse Gerenciar certificados de
usuárioe navegue até Trusted Root Certification
Authorities\Certificates. Verifique se o certificado raiz está listado. O certificado
raiz deve estar presente para que a autenticação funcione.
· Se você estiver usando um certificado emitido com uma solução de AC corporativa
e estiver com problemas na autenticação, verifique a ordem de autenticação no
certificado do cliente. Você pode verificar a ordem da lista de autenticação ao
clicar duas vezes no certificado do cliente e acessar Detalhes > Uso Avançado de
Chave. Verifique se a lista mostra 'Autenticação de cliente' como o primeiro
item. Caso contrário, é necessário emitir um certificado de cliente com base no
modelo Usuário que tem a Autenticação de cliente como o primeiro item na lista.
· Para saber mais sobre solução de problemas de P2S, confira Solucionar problemas
de conexões P2S.
Verificar a conexão VPN

1. Para verificar se a conexão VPN está ativa, do seu computador cliente, abra um
prompt de comandos com privilégios elevados e execute ipconfig/all.
2. Exiba os resultados. Observe que o endereço IP que você recebeu está dentro do
intervalo de endereços de conectividade ponto a site que você especificou quando
criou a sua VNet. Os resultados devem ser semelhantes a este exemplo:

Copiar

PPP adapter VNet1:


Connection-specific DNS Suffix .:
Description.....................: VNet1
Physical Address................:
DHCP Enabled....................: No
Autoconfiguration Enabled.......: Yes
IPv4 Address....................: 192.168.130.2(Preferred)
Subnet Mask.....................: 255.255.255.255
Default Gateway.................:
NetBIOS over Tcpip..............: Enabled

Conectar-se a uma máquina virtual


Você pode se conectar a uma VM que é implantada em sua rede virtual criando uma
Conexão de Área de trabalho remota para a sua VM. É a melhor maneira de verificar
inicialmente se você pode se conectar à sua VM usando seu endereço IP privado, em
vez do nome do computador. Dessa forma, você está testando para ver se você pode se
conectar, não se a resolução de nomes está configurada corretamente.
1. Localize o endereço IP privado para sua VM. Você pode encontrar o endereço IP
privado de uma VM consultando as propriedades para a VM no portal do Azure ou
usando o PowerShell.
2. Verifique se você está conectado à sua rede virtual usando a conexão VPN ponto a
site.
3. Abra a Conexão de Área de Trabalho Remota, digitando "RDP" ou "Conexão de
Área de Trabalho Remota" na caixa de pesquisa na barra de tarefas e, em seguida,
selecione a Conexão de Área de Trabalho Remota. Você também pode abrir a
Conexão de Área de Trabalho Remota usando o comando 'mstsc' no PowerShell.
4. Na Conexão de Área de Trabalho Remota, insira o endereço IP privado da
VM. Você pode clicar em "Mostrar opções" para ajustar as configurações
adicionais, em seguida, conectar-se.

Para solucionar problemas de uma conexão de RDP para uma VM

Se você estiver tendo problemas para se conectar a uma máquina virtual em sua
conexão VPN, há algumas coisas que você pode verificar. Para obter mais informações
sobre solução de problemas, confira Solucionar problemas de conexões da Área de
Trabalho Remota a uma VM.

· Verifique se a conexão VPN é estabelecida.


· Verifique se você está se conectando ao endereço IP privado para a VM.
· Use 'ipconfig' para verificar o endereço IPv4 atribuído ao adaptador Ethernet no
computador do qual está se conectando. Se o endereço IP está dentro do intervalo
de endereços da VNet a que você está se conectando ou dentro do intervalo de
endereços de seu VPNClientAddressPool, isso é chamado de espaço de endereço
sobreposto. Quando o espaço de endereço se sobrepõe dessa forma, o tráfego de
rede não alcança o Azure; ele permanece na rede local.
· Se você puder se conectar à VM usando o endereço IP privado, mas não o nome
do computador, verifique se você configurou o DNS corretamente. Para obter mais
informações sobre como funciona a resolução de nome para VMs,
confira Resolução de nomes para VMs.
· Verifique se o pacote de configuração de cliente VPN foi gerado depois que os
endereços IP do servidor DNS foram especificados para a rede virtual. Se você
atualizou os endereços IP do servidor DNS, gere e instale um novo pacote de
configuração de cliente VPN.

Adicionar ou remover certificados raiz confiáveis


Você pode adicionar e remover um certificado raiz do Azure. Quando você remove um
certificado raiz, os clientes que possuem um certificado gerado a partir dessa raiz não
serão capazes de fazer a autenticação e, portanto, não serão capazes de se conectar. Se
você deseja que um clientes faça autenticação e se conecte, você precisa instalar um
novo certificado de cliente gerado a partir de um certificado confiável (carregado) no
Azure.
Para adicionar um certificado raiz confiável

Você pode adicionar até 20 arquivos .cer de certificado raiz ao Azure. Para obter
instruções, confira Seção 3 - Carregar o arquivo .cer do certificado raiz
raiz.
Para remover um certificado-raiz
raiz conf
confiável

1. Na seção Conexões VPN da página de sua VNet, clique no gráfico


de clientes para abrir a página Conexão VPN de ponto a site.

2. Na página Conexão ponto a site


site, clique em Gerenciar certificados para abrir a
página Certificados.

3. Na página Certificados,, clique nas reticências ao lado do certificado que você


deseja remover e clique em Excluir
Excluir.
Revogar um certificado de cliente
É possível revogar certificados de cliente. A lista de certificados revogados permite que
você negue seletivamente conectividad
conectividade e ponto a site com base em certificados de
cliente individuais. Isso é diferente da remoção de um certificado raiz confiável. Se você
remover um arquivo .cer de certificado raiz confiável do Azure, ele revogará o acesso
para todos os certificados de client
cliente
e gerados/assinados pelo certificado raiz
revogado. Revogar um certificado de cliente, em vez do certificado raiz, permite que os
outros certificados gerados a partir do certificado raiz continuem a ser usados para
autenticar a conexão ponto a site.

A prática
ica comum é usar o certificado raiz para gerenciar o acesso em níveis de equipe
ou organização, enquanto estiver usando certificados de cliente revogados para
controle de acesso refinado em usuários individuais.
Para revogar um certificado de cliente

Você pode revogar um certificado de cliente adicionando a impressão digital à lista de


revogação.

1. Recupere a impressão digital do certificado de cliente. Para saber mais,


confira Como recuperar a impressão
mpressão digital de um certificado
certificado.
2. Copie as informações para um editor de texto e remova todos os espaços para
que seja uma cadeia de caracteres contínua.
3. Navegue até a página 'nome da rede virtual clássica' > Conexão VPN de ponto
a site > Certificados e clique em Lista de revogação para abrir a página Lista de
revogação.
4. Na página Lista de revogação
revogação, clique em +Adicionar certificado para abrir a
página Adicionar certificado à lista de revogação
revogação.
5. Na página Adicionar certificado à lista de revogação
revogação, cole a impressão digital do
certificado como uma linha contínua de texto, sem espaços. Clique em OK na
parte inferior da página.
6. Após a conclusão da atualização, o certificado não poderá mais ser usado para se
conectar. Os clientes que tentam se conectar usando este certificado recebem uma
mensagem informando que o certificado não é mais válido.

Perguntas frequentes sobre Ponto a site


Estas perguntas Frequentes se aplicam a conexões P2S que usam o modelo de
implantação clássico.
Quais sistemas operacionais de cliente posso usar com ponto a site?

Há suporte para os seguintes sistemas operacionais de cliente:

· Windows 7 (32 bits e 64 bits)


· Windows Server 2008 R2 (somente 64 bits)
· Windows 8 (32 bits e 64 bits)
· Windows 8.1 (32 bits e 64 bits)
· Windows Server 2012 (somente 64 bits)
· Windows Server 2012 R2 (somente 64 bits)
· Windows 10

Posso usar qualquer cliente de VPN de software para ponto a site que dê suporte a
SSTP?

Nº O suporte é limitado somente às versões do sistema operacional Windows listadas


acima.
Quantos pontos de extremidade de cliente VPN posso ter em minha configuração
ponto a site?

Damos suporte para até 128 clientes VPN para poderem se conectar a uma rede virtual
ao mesmo tempo.
Posso usar minha própria CA de raiz de PKI interna para a conectividade ponto a site?

Sim. Anteriormente, somente os certificados raiz autoassinados podiam ser


usados. Você ainda pode carregar 20 certificados raiz.
Posso atravessar proxies e firewalls usando o recurso de ponto a site?

Sim. Usamos o protocolo SSTP (Secure Socket Tunneling Protocol) para túnel através de
firewalls. Esse túnel aparecerá como uma conexão HTTPs.
Se eu reiniciar um computador cliente configurado para ponto a site, a VPN se
reconectará automaticamente?

Por padrão, o computador cliente não restabelecerá a conexão VPN automaticamente.


A opção de ponto para site dá suporte a reconexão automática e DDNS nos clientes
de VPN?

A reconexão automática e o DDNS atualmente não têm suporte em VPNs ponto a site.
Posso ter configurações site a site e ponto a site que coexistam para a mesma rede
virtual?

Sim. Essas duas soluções funcionarão se você tiver um tipo VPN Baseada em Rota para
o gateway. Para o modelo de implantação clássica, você precisará de um gateway
dinâmico. Não damos suporte a ponto a site para o roteamento estático de gateways
VPN ou gateways usando o cmdlet -VpnType PolicyBased.
Posso configurar um cliente de ponto a site para se conectar a várias redes virtuais ao
mesmo tempo?

Sim, isso é possível. Porém, as redes virtuais não podem ter prefixos IP sobrepostos, e os
espaços de endereço de ponto para site não devem causar sobreposição entre as redes
virtuais.
Quanta taxa de transferência posso esperar por meio de conexões site a site ou ponto
a site?

É difícil manter a taxa de transferência exata dos túneis de VPN. IPsec e SSTP são
protocolos VPN de criptografia pesada. A taxa de transferência também é limitada pela
latência e pela largura de banda entre seus locais e na Internet.
Próximas etapas
Quando sua conexão for concluída, você poderá adicionar máquinas virtuais às suas
redes virtuais.Para saber mais, veja Máquinas virtuais. Para saber mais sobre redes e
máquinas virtuais, consulte Visão geral de rede do Azure e VM Linux.

Para obter informações sobre solução de problemas de P2S, consulte Solução de


problemas de conexões de ponto a site do Azure.