Dela via

Distribuera och konfigurera Enterprise CA-certifikat för Azure Firewall

  • Artikel

Azure Firewall Premium innehåller en TLS-kontrollfunktion som kräver en autentiseringskedja för certifikat. För produktionsdistributioner bör du använda en Enterprise PKI för att generera de certifikat som du använder med Azure Firewall Premium. Använd den här artikeln om du vill skapa och hantera ett mellanliggande CA-certifikat för Azure Firewall Premium.

Mer information om certifikat som används av Azure Firewall Premium finns i Azure Firewall Premium-certifikat.

Förutsättningar

Om du inte har någon Azure-prenumeration skapar du ett kostnadsfritt konto innan du börjar.

Om du vill använda en företagscertifikatutfärdare för att generera ett certifikat som ska användas med Azure Firewall Premium måste du ha följande resurser:

  • en Active Directory-skog
  • en Rotcertifikatutfärdare för Active Directory Certification Services med webbregistrering aktiverat
  • en Azure Firewall Premium med en brandväggsprincip på Premium-nivå
  • ett Azure Key Vault
  • en hanterad identitet med läsbehörighet till certifikat och hemligheter som definierats i key vault-åtkomstprincipen

Skapa en ny underordnad certifikatmall

  1. Kör certtmpl.msc för att öppna certifikatmallkonsolen.

  2. Hitta mallen För underordnad certifikatutfärdare i konsolen.

  3. Högerklicka på mallen Underordnad certifikatutfärdare och välj Duplicera mall.

  4. I fönstret Egenskaper för ny mall går du till fliken Kompatibilitet och anger lämpliga kompatibilitetsinställningar eller lämnar dem som standard.

  5. Gå till fliken Allmänt , ange mallens visningsnamn (till exempel: My Subordinate CA) och justera giltighetsperioden om det behövs. Du kan också markera kryssrutan Publicera certifikat i Active Directory .

  6. På fliken Inställningar kontrollerar du att de användare och grupper som krävs har läs- och enroll behörigheter.

  7. Gå till fliken Tillägg , välj Nyckelanvändning och välj Redigera.

    • Kontrollera att kryssrutorna Digital signatur, Certifikatsignering och CRL-signering är markerade.
    • Markera kryssrutan Gör det här tillägget kritiskt och välj OK.

    Skärmbild av tillägg för nyckelanvändning för certifikatmallar.

  8. Spara den nya certifikatmallen genom att välja OK .

  9. Kontrollera att den nya mallen är aktiverad så att den kan användas för att utfärda certifikat.

Begära och exportera ett certifikat

  1. Öppna webbplatsen för webbregistrering på rotcertifikatutfärdare, vanligtvis https://<servername>/certsrv och välj Begär ett certifikat.
  2. Välj Avancerad certifikatbegäran.
  3. Välj Skapa och skicka en begäran till den här certifikatutfärdare.
  4. Fyll i formuläret med mallen Underordnad certifikatutfärdare som skapades i föregående avsnitt. Skärmbild av avancerad certifikatbegäran
  5. Skicka begäran och installera certifikatet.
  6. Om du antar att den här begäran görs från en Windows Server med Internet Explorer öppnar du Internetalternativ.
  7. Gå till fliken Innehåll och välj Certifikat. Skärmbild av Internetegenskaper
  8. Välj det certifikat som precis utfärdades och välj sedan Exportera. Skärmbild av exportcertifikat
  9. Välj Nästa för att starta guiden. Välj Ja, exportera den privata nyckeln och välj sedan Nästa. Skärmbild som visar exportera privat nyckel
  10. .pfx-filformatet är markerat som standard. Avmarkera Inkludera alla certifikat i certifieringssökvägen om det är möjligt. Om du exporterar hela certifikatkedjan misslyckas importen till Azure Firewall. Skärmbild som visar exportfilformat
  11. Tilldela och bekräfta ett lösenord för att skydda nyckeln och välj sedan Nästa. Skärmbild som visar certifikatsäkerhet
  12. Välj ett filnamn och en exportplats och välj sedan Nästa.
  13. Välj Slutför och flytta det exporterade certifikatet till en säker plats.

Lägga till certifikatet i en brandväggsprincip

  1. I Azure Portal går du till sidan Certifikat i nyckelvalvet och väljer Generera/importera.
  2. Välj Importera som metod för att skapa, namnge certifikatet, välj den exporterade .pfx-filen, ange lösenordet och välj sedan Skapa. Skärmbild som visar hur Key Vault skapar ett certifikat
  3. Gå till sidan TLS-inspektion i brandväggsprincipen och välj din hanterade identitet, nyckelvalv och certifikat. Skärmbild som visar konfiguration av TLS-inspektion för brandväggsprincip
  4. Välj Spara.

Verifiera TLS-inspektion

  1. Skapa en programregel med hjälp av TLS-kontroll till valfri mål-URL eller FQDN. Exempel: *bing.com. Skärmbild som visar redigeringsregelsamling
  2. Från en domänansluten dator inom regelns källintervall navigerar du till målet och väljer låssymbolen bredvid adressfältet i webbläsaren. Certifikatet bör visa att det har utfärdats av din företagscertifikatutfärdare i stället för en offentlig certifikatutfärdare. Skärmbild som visar webbläsarcertifikatet
  3. Visa certifikatet om du vill visa mer information, inklusive certifikatsökvägen. certifikatinformation
  4. I Log Analytics kör du följande KQL-fråga för att returnera alla begäranden som har varit föremål för TLS-inspektion: 
    AzureDiagnostics 
| where ResourceType == "AZUREFIREWALLS" 
| where Category == "AzureFirewallApplicationRule" 
| where msg_s contains "Url:" 
| sort by TimeGenerated desc
    Resultatet visar den fullständiga URL:en för inspekterad trafik: KQL-fråga

Nästa steg