Wdrażanie i konfigurowanie certyfikatów urzędu certyfikacji przedsiębiorstwa dla usługi Azure Firewall
Usługa Azure Firewall Premium obejmuje funkcję inspekcji protokołu TLS, która wymaga łańcucha uwierzytelniania certyfikatów. W przypadku wdrożeń produkcyjnych należy użyć infrastruktury kluczy publicznych przedsiębiorstwa do wygenerowania certyfikatów używanych z usługą Azure Firewall Premium. Użyj tego artykułu, aby utworzyć certyfikat pośredniego urzędu certyfikacji dla usługi Azure Firewall Premium i zarządzać nim.
Aby uzyskać więcej informacji na temat certyfikatów używanych przez usługę Azure Firewall — wersja Premium, zobacz Certyfikaty usługi Azure Firewall Premium.
Wymagania wstępne
Jeśli nie masz subskrypcji platformy Azure, przed rozpoczęciem utwórz bezpłatne konto.
Aby użyć urzędu certyfikacji przedsiębiorstwa do wygenerowania certyfikatu do użycia z usługą Azure Firewall Premium, musisz mieć następujące zasoby:
- las usługi Active Directory
- główny urząd certyfikacji usług certyfikacji Active Directory z włączoną rejestracją internetową
- usługa Azure Firewall Premium z zasadami zapory w warstwie Premium
- usługa Azure Key Vault
- tożsamość zarządzana z uprawnieniami do odczytu certyfikatów i wpisów tajnych zdefiniowanych w zasadach dostępu usługi Key Vault
Żądanie i wyeksportowanie certyfikatu
- Uzyskaj dostęp do witryny rejestracji internetowej w głównym urzędzie certyfikacji, zazwyczaj
https://<servername>/certsrv
i wybierz pozycję Zażądaj certyfikatu. - Wybierz pozycję Zaawansowane żądanie certyfikatu.
- Wybierz pozycję Utwórz i prześlij żądanie do tego urzędu certyfikacji.
- Wypełnij formularz przy użyciu szablonu Podrzędny urząd certyfikacji.
- Prześlij żądanie i zainstaluj certyfikat.
- Zakładając, że to żądanie jest wykonywane z systemu Windows Server przy użyciu programu Internet Explorer, otwórz pozycję Opcje internetowe.
- Przejdź do karty Zawartość i wybierz pozycję Certyfikaty.
- Wybierz właśnie wystawiony certyfikat, a następnie wybierz pozycję Eksportuj.
- Wybierz przycisk Dalej , aby rozpocząć pracę kreatora. Wybierz pozycję Tak, wyeksportuj klucz prywatny, a następnie wybierz pozycję Dalej.
- Format pliku PFX jest domyślnie wybierany. Usuń zaznaczenie pola wyboru Uwzględnij wszystkie certyfikaty w ścieżce certyfikacji, jeśli to możliwe. W przypadku wyeksportowania całego łańcucha certyfikatów proces importowania do usługi Azure Firewall zakończy się niepowodzeniem.
- Przypisz i potwierdź hasło, aby chronić klucz, a następnie wybierz pozycję Dalej.
- Wybierz nazwę pliku i lokalizację eksportu, a następnie wybierz pozycję Dalej.
- Wybierz pozycję Zakończ i przenieś wyeksportowany certyfikat do bezpiecznej lokalizacji.
Dodawanie certyfikatu do zasad zapory
- W witrynie Azure Portal przejdź do strony Certyfikaty usługi Key Vault i wybierz pozycję Generuj/Importuj.
- Wybierz pozycję Importuj jako metodę tworzenia, nadaj certyfikatowi nazwę, wybierz wyeksportowany plik pfx, wprowadź hasło, a następnie wybierz pozycję Utwórz.
- Przejdź do strony Inspekcja protokołu TLS zasad zapory i wybierz tożsamość zarządzaną, usługę Key Vault i certyfikat.
- Wybierz pozycję Zapisz.
Weryfikowanie inspekcji protokołu TLS
- Utwórz regułę aplikacji przy użyciu inspekcji protokołu TLS do wybranego docelowego adresu URL lub nazwy FQDN. Na przykład:
*bing.com
. - Z maszyny przyłączonej do domeny w zakresie źródłowym reguły przejdź do miejsca docelowego i wybierz symbol blokady obok paska adresu w przeglądarce. Certyfikat powinien wskazywać, że został wystawiony przez urząd certyfikacji przedsiębiorstwa, a nie publiczny urząd certyfikacji.
- Pokaż certyfikat, aby wyświetlić więcej szczegółów, w tym ścieżkę certyfikatu.
- W usłudze Log Analytics uruchom następujące zapytanie KQL, aby zwrócić wszystkie żądania, które podlegają inspekcji protokołu TLS:
Wynik przedstawia pełny adres URL kontrolowanego ruchu:AzureDiagnostics | where ResourceType == "AZUREFIREWALLS" | where Category == "AzureFirewallApplicationRule" | where msg_s contains "Url:" | sort by TimeGenerated desc