Distribuire e configurare certificati ca aziendali per Firewall di Azure

Firewall di Azure Premium include una funzionalità di ispezione TLS, che richiede una catena di autenticazione del certificato. Per le distribuzioni di produzione, è consigliabile usare un'infrastruttura a chiave pubblica aziendale per generare i certificati usati con Firewall di Azure Premium. Usare questo articolo per creare e gestire un certificato CA intermedio per Firewall di Azure Premium.

Per altre informazioni sui certificati usati da Firewall di Azure Premium, vedere Firewall di Azure certificati Premium.

Prerequisiti

Se non si ha una sottoscrizione di Azure, creare un account gratuito prima di iniziare.

Per usare una CA aziendale per generare un certificato da usare con Firewall di Azure Premium, è necessario disporre delle risorse seguenti:

• una foresta Active Directory
• una CA radice di Servizi di certificazione Active Directory con registrazione Web abilitata
• un Firewall di Azure Premium con criteri firewall di livello Premium
• Un insieme di credenziali delle chiavi di Azure
• Un'identità gestita con autorizzazioni di lettura per certificati e segreti definiti nei criteri di accesso di Key Vault

Creare un nuovo modello di certificato subordinato

1. Eseguire certtmpl.msc per aprire la console modello di certificato.

2. Trovare il modello Autorità di certificazione subordinata nella console.

3. Fare clic con il pulsante destro del mouse sul modello Autorità di certificazione subordinata e scegliere Duplica modello.

4. Nella finestra Proprietà nuovo modello passare alla scheda Compatibilità e impostare le impostazioni di compatibilità appropriate o lasciarle predefinite.

5. Passare alla scheda Generale, impostare il nome visualizzato del modello ,ad esempio , My Subordinate CAe regolare il periodo di validità, se necessario. Facoltativamente, selezionare la casella di controllo Pubblica certificato in Active Directory .

6. Nella scheda Impostazioni verificare che gli utenti e i gruppi necessari dispongano delle autorizzazioni di lettura e enroll di lettura.

7. Passare alla scheda Estensioni , selezionare Utilizzo chiavi e selezionare Modifica.

   • Assicurarsi che le caselle di controllo Firma digitale, Firma certificato e Firma CRL siano selezionate.
   • Selezionare la casella di controllo Rendi critica questa estensione e selezionare OK.

   

8. Selezionare OK per salvare il nuovo modello di certificato.

9. Assicurarsi che il nuovo modello sia abilitato in modo che possa essere usato per rilasciare i certificati.

Richiedere ed esportare un certificato

1. Accedere al sito di registrazione Web nella CA radice, in genere https://<servername>/certsrv e selezionare Richiedi un certificato.
2. Selezionare Richiesta di certificato avanzata.
3. Selezionare Crea e invia una richiesta a questa CA.
4. Compilare il modulo usando il modello Autorità di certificazione subordinato creato nella sezione precedente.
5. Inviare la richiesta e installare il certificato.
6. Supponendo che questa richiesta venga effettuata da un Windows Server tramite Internet Explorer, aprire Opzioni Internet.
7. Passare alla scheda Contenuto e selezionare Certificati.
8. Selezionare il certificato appena rilasciato e quindi selezionare Esporta.
9. Selezionare Avanti per avviare la procedura guidata. Selezionare Sì, esportare la chiave privata e quindi selezionare Avanti.
10. Il formato di file pfx è selezionato per impostazione predefinita. Deselezionare Includi tutti i certificati nel percorso di certificazione, se possibile. Se si esporta l'intera catena di certificati, il processo di importazione in Firewall di Azure avrà esito negativo.
11. Assegnare e confermare una password per proteggere la chiave e quindi selezionare Avanti.
12. Scegliere un nome file e un percorso di esportazione e quindi selezionare Avanti.
13. Selezionare Fine e spostare il certificato esportato in un percorso sicuro.

Aggiungere il certificato a un criterio firewall

1. Nella portale di Azure passare alla pagina Certificati dell'insieme di credenziali delle chiavi e selezionare Genera/Importa.
2. Selezionare Importa come metodo di creazione, assegnare un nome al certificato, selezionare il file pfx esportato, immettere la password e quindi selezionare Crea.
3. Passare alla pagina Ispezione TLS dei criteri firewall e selezionare l'identità gestita, l'insieme di credenziali delle chiavi e il certificato.
4. Seleziona Salva.

Convalidare l'ispezione TLS

1. Creare una regola dell'applicazione usando l'ispezione TLS per l'URL di destinazione o il nome di dominio completo desiderato. Ad esempio: *bing.com.
2. Da un computer aggiunto a un dominio all'interno dell'intervallo di origine della regola passare alla destinazione e selezionare il simbolo di blocco accanto alla barra degli indirizzi nel browser. Il certificato deve indicare che è stato emesso dalla CA aziendale anziché da una CA pubblica.
3. Mostra il certificato per visualizzare altri dettagli, incluso il percorso del certificato.
4. In Log Analytics eseguire la query KQL seguente per restituire tutte le richieste soggette all'ispezione TLS:

   AzureDiagnostics 
   | where ResourceType == "AZUREFIREWALLS" 
   | where Category == "AzureFirewallApplicationRule" 
   | where msg_s contains "Url:" 
   | sort by TimeGenerated desc
   

   Il risultato mostra l'URL completo del traffico controllato:

Passaggi successivi

• Firewall di Azure Premium nel portale di Azure
• Compilazione di un modello di verifica per l'ispezione TLS in Firewall di Azure