Partilhar via

Implantar e configurar certificados de CA Corporativa para o Firewall do Azure

  • Artigo

O Firewall Premium do Azure inclui um recurso de inspeção TLS, que requer uma cadeia de autenticação de certificado. Para implantações de produção, você deve usar uma PKI Corporativa para gerar os certificados que você usa com o Firewall Premium do Azure. Use este artigo para criar e gerenciar um certificado de CA intermediário para o Azure Firewall Premium.

Para obter mais informações sobre certificados usados pelo Firewall Premium do Azure, consulte Certificados Premium do Firewall do Azure.

Pré-requisitos

Se não tiver uma subscrição do Azure, crie uma conta gratuita antes de começar.

Para usar uma autoridade de certificação corporativa para gerar um certificado para usar com o Firewall Premium do Azure, você deve ter os seguintes recursos:

  • uma floresta do Ative Directory
  • uma CA raiz dos Serviços de Certificação do Ative Directory com o Registro na Web habilitado
  • uma Política de Firewall do Azure Premium com Firewall de camada Premium
  • um Cofre da Chave do Azure
  • uma Identidade Gerenciada com permissões de Leitura para Certificados e Segredos definidos na Política de Acesso ao Cofre da Chave

Criar um novo modelo de certificado subordinado

  1. Execute certtmpl.msc para abrir o Console de Modelo de Certificado.

  2. Encontre o modelo de Autoridade de Certificação Subordinada no console.

  3. Clique com o botão direito do mouse no modelo de Autoridade de Certificação Subordinada e selecione Modelo Duplicado.

  4. Na janela Propriedades do Novo Modelo, vá para a guia Compatibilidade e defina as configurações de compatibilidade apropriadas ou deixe-as como padrão.

  5. Vá para a guia Geral, defina o Nome para Exibição do Modelo (por exemplo: My Subordinate CA) e ajuste o período de validade, se necessário. Opcionalmente, marque a caixa de seleção Publicar certificado no Ative Directory .

  6. Na guia Configurações, verifique se os usuários e grupos necessários têm leitura e enroll permissões.

  7. Navegue até a guia Extensões, selecione Uso da chave e selecione Editar.

    • Verifique se as caixas de seleção Assinatura digital, Assinatura de certificado e Assinatura de CRL estão marcadas.
    • Marque a caixa de seleção Tornar esta extensão crítica e selecione OK.

    Captura de ecrã das extensões de utilização da chave do modelo de certificado.

  8. Selecione OK para salvar o novo modelo de certificado.

  9. Verifique se o novo modelo está habilitado para que possa ser usado para emitir certificados.

Solicitar e exportar um certificado

  1. Acesse o site de inscrição na Web na CA raiz, geralmente https://<servername>/certsrv e selecione Solicitar um certificado.
  2. Selecione Solicitação de certificado avançada.
  3. Selecione Criar e enviar uma solicitação para esta autoridade de certificação.
  4. Preencha o formulário usando o modelo de Autoridade de Certificação Subordinada criado na seção anterior. Captura de ecrã do pedido de certificado avançado
  5. Envie a solicitação e instale o certificado.
  6. Supondo que essa solicitação seja feita a partir de um Windows Server usando o Internet Explorer, abra Opções da Internet.
  7. Navegue até a guia Conteúdo e selecione Certificados. Captura de ecrã das propriedades da Internet
  8. Selecione o certificado que acabou de ser emitido e, em seguida, selecione Exportar. Captura de ecrã do certificado de exportação
  9. Selecione Avançar para iniciar o assistente. Selecione Sim, exportar a chave privada e, em seguida, selecione Seguinte. Captura de ecrã a mostrar a chave privada de exportação
  10. O formato de arquivo .pfx é selecionado por padrão. Desmarque Incluir todos os certificados no caminho de certificação, se possível. Se você exportar toda a cadeia de certificados, o processo de importação para o Firewall do Azure falhará. Captura de ecrã a mostrar o formato de ficheiro de exportação
  11. Atribua e confirme uma palavra-passe para proteger a chave e, em seguida, selecione Seguinte. Captura de ecrã a mostrar a segurança do certificado
  12. Escolha um nome de arquivo e um local de exportação e, em seguida, selecione Avançar.
  13. Selecione Concluir e mova o certificado exportado para um local seguro.

Adicionar o certificado a uma Política de Firewall

  1. No portal do Azure, navegue até a página Certificados do seu Cofre da Chave e selecione Gerar/Importar.
  2. Selecione Importar como método de criação, nomeie o certificado, selecione o arquivo .pfx exportado, digite a senha e selecione Criar. Captura de ecrã a mostrar o Key Vault a criar um certificado
  3. Navegue até a página Inspeção TLS da sua política de Firewall e selecione sua identidade gerenciada, Cofre de chaves e certificado. Captura de ecrã a mostrar a configuração da Inspeção TLS da Política de Firewall
  4. Selecione Guardar.

Validar inspeção TLS

  1. Crie uma Regra de Aplicativo usando a inspeção TLS para a URL de destino ou FQDN de sua escolha. Por exemplo: *bing.com. Captura de ecrã a mostrar a coleção de regras de edição
  2. Em uma máquina associada a um domínio dentro do intervalo Origem da regra, navegue até Destino e selecione o símbolo de cadeado ao lado da barra de endereço no navegador. O certificado deve mostrar que foi emitido pela sua autoridade de certificação corporativa em vez de uma autoridade de certificação pública. Captura de ecrã a mostrar o certificado do browser
  3. Mostrar o certificado para exibir mais detalhes, incluindo o caminho do certificado. detalhes do certificado
  4. No Log Analytics, execute a seguinte consulta KQL para retornar todas as solicitações que foram sujeitas à inspeção TLS: 
    AzureDiagnostics 
| where ResourceType == "AZUREFIREWALLS" 
| where Category == "AzureFirewallApplicationRule" 
| where msg_s contains "Url:" 
| sort by TimeGenerated desc
    O resultado mostra o URL completo do tráfego inspecionado: Consulta KQL

Próximos passos