Delen via

Ca-certificaten voor ondernemingen implementeren en configureren voor Azure Firewall

  • Artikel

Azure Firewall Premium bevat een TLS-inspectiefunctie, waarvoor een certificaatverificatieketen is vereist. Voor productie-implementaties moet u een Enterprise PKI gebruiken om de certificaten te genereren die u gebruikt met Azure Firewall Premium. Gebruik dit artikel voor het maken en beheren van een tussenliggend CA-certificaat voor Azure Firewall Premium.

Zie Azure Firewall Premium-certificaten voor meer informatie over certificaten die worden gebruikt door Azure Firewall Premium.

Vereisten

Als u geen Azure-abonnement hebt, maakt u een gratis account voordat u begint.

Als u een Enterprise-CA wilt gebruiken om een certificaat te genereren dat moet worden gebruikt met Azure Firewall Premium, moet u over de volgende resources beschikken:

  • een Active Directory-forest
  • een basis-CA van Active Directory Certification Services waarvoor webinschrijving is ingeschakeld
  • een Azure Firewall Premium met firewallbeleid voor Premium-lagen
  • een Azure Key Vault
  • een beheerde identiteit met leesmachtigingen voor certificaten en geheimen die zijn gedefinieerd in het Key Vault-toegangsbeleid

Een nieuwe sjabloon voor onderliggende certificaten maken

  1. Voer deze opdracht uit certtmpl.msc om de certificaatsjabloonconsole te openen.

  2. Zoek de sjabloon onderliggende certificeringsinstantie in de console.

  3. Klik met de rechtermuisknop op de sjabloon onderliggende certificeringsinstantie en selecteer Duplicaatsjabloon.

  4. Ga in het venster Eigenschappen van nieuwe sjabloon naar het tabblad Compatibiliteit en stel de juiste compatibiliteitsinstellingen in of laat deze standaard staan.

  5. Ga naar het tabblad Algemeen, stel de weergavenaam van de sjabloon in (bijvoorbeeld: My Subordinate CA) en pas zo nodig de geldigheidsperiode aan. Schakel desgewenst het selectievakje Publiceren van certificaat in Active Directory in.

  6. Controleer op het tabblad Instellingen of de vereiste gebruikers en groepen lees- en enroll machtigingen hebben.

  7. Ga naar het tabblad Extensies , selecteer Sleutelgebruik en selecteer Bewerken.

    • Zorg ervoor dat de selectievakjes Digitale handtekening, Certificaatondertekening en CRL-ondertekening zijn ingeschakeld.
    • Schakel het selectievakje Deze extensie kritiek maken in en selecteer OK.

    Schermopname van gebruiksextensies voor certificaatsjablonensleutels.

  8. Selecteer OK om de nieuwe certificaatsjabloon op te slaan.

  9. Zorg ervoor dat de nieuwe sjabloon is ingeschakeld, zodat deze kan worden gebruikt om certificaten uit te geven.

Een certificaat aanvragen en exporteren

  1. Open de website voor inschrijving op de basis-CA, meestal https://<servername>/certsrv en selecteer Een certificaat aanvragen.
  2. Selecteer Geavanceerde certificaataanvraag.
  3. Selecteer Een aanvraag maken en verzenden naar deze CA.
  4. Vul het formulier in met behulp van de sjabloon onderliggende certificeringsinstantie die in de vorige sectie is gemaakt. Schermopname van geavanceerde certificaataanvraag
  5. Dien de aanvraag in en installeer het certificaat.
  6. Ervan uitgaande dat deze aanvraag wordt gedaan vanaf een Windows Server met behulp van Internet Explorer, opent u Internetopties.
  7. Navigeer naar het tabblad Inhoud en selecteer Certificaten. Schermopname van interneteigenschappen
  8. Selecteer het certificaat dat zojuist is uitgegeven en selecteer vervolgens Exporteren. Schermopname van het exportcertificaat
  9. Selecteer Volgende om de wizard te starten. Selecteer Ja, exporteer de persoonlijke sleutel en selecteer vervolgens Volgende. Schermopname van het exporteren van een persoonlijke sleutel
  10. .pfx-bestandsindeling is standaard geselecteerd. Schakel indien mogelijk alle certificaten in het certificeringspad opnemen uit. Als u de hele certificaatketen exporteert, mislukt het importproces naar Azure Firewall. Schermopname van de exportbestandsindeling
  11. Wijs een wachtwoord toe en bevestig dit om de sleutel te beveiligen en selecteer vervolgens Volgende. Schermopname van certificaatbeveiliging
  12. Kies een bestandsnaam en exportlocatie en selecteer vervolgens Volgende.
  13. Selecteer Voltooien en verplaats het geëxporteerde certificaat naar een veilige locatie.

Het certificaat toevoegen aan een firewallbeleid

  1. Navigeer in Azure Portal naar de pagina Certificaten van uw Sleutelkluis en selecteer Genereren/importeren.
  2. Selecteer Importeren als de methode voor het maken, geef het certificaat een naam, selecteer het geëxporteerde PFX-bestand, voer het wachtwoord in en selecteer Vervolgens Maken. Schermopname van Het maken van een certificaat in Key Vault
  3. Navigeer naar de TLS-inspectiepagina van uw firewallbeleid en selecteer uw beheerde identiteit, Key Vault en certificaat. Schermopname van tls-inspectieconfiguratie voor firewallbeleid
  4. Selecteer Opslaan.

TLS-inspectie valideren

  1. Maak een toepassingsregel met behulp van TLS-inspectie naar de doel-URL of FQDN van uw keuze. Voorbeeld: *bing.com. Schermopname van regelverzameling bewerken
  2. Navigeer vanaf een computer die lid is van een domein binnen het bronbereik van de regel naar uw bestemming en selecteer het vergrendelingssymbool naast de adresbalk in uw browser. Het certificaat moet aangeven dat het is uitgegeven door uw ondernemings-CA in plaats van een openbare CA. Schermopname van het browsercertificaat
  3. Geef het certificaat weer om meer details weer te geven, inclusief het certificaatpad. certificaatdetails
  4. Voer in Log Analytics de volgende KQL-query uit om alle aanvragen te retourneren die zijn onderworpen aan TLS-inspectie: 
    AzureDiagnostics 
| where ResourceType == "AZUREFIREWALLS" 
| where Category == "AzureFirewallApplicationRule" 
| where msg_s contains "Url:" 
| sort by TimeGenerated desc
    Het resultaat toont de volledige URL van geïnspecteerd verkeer: KQL-query

Volgende stappen