Share via

توزيع وتكوين شهادات CA ل Azure Firewall

  • مقالة

يتضمن Azure Firewall Premium ميزة فحص TLS، والتي تتطلب سلسلة مصادقة شهادة. بالنسبة إلى عمليات توزيع الإنتاج، يجب استخدام مؤسسة PKI لإنشاء الشهادات التي تستخدمها مع Azure Firewall Premium. استخدم هذه المقالة لإنشاء وإدارة شهادة CA متوسطة Premium جدار حماية Azure.

لمزيد من المعلومات حول متطلبات شهادة Azure Firewall Premium، راجع شهادات Azure Firewall Premium.

المتطلبات الأساسية

في حال لم يكن لديك اشتراك Azure، فأنشئ حساباً مجانيّاً قبل البدء.

لاستخدام مرجع مصدق للمؤسسات لإنشاء شهادة لاستخدامها مع Azure Firewall Premium، يجب أن تكون لديك الموارد التالية:

  • غابة Active Directory
  • مرجع مصدق لخدمات شهادة Active Directory Root مع تمكين تسجيل ويب
  • Azure Firewall Premium مع نهج جدار حماية الطبقة Premium
  • Azure Key Vault
  • هوية مدارة مع أذونات القراءة للشهادات والأسرار المعرفة في نهج الوصول إلى Key Vault

طلب شهادة وتصديرها

  1. الوصول إلى موقع التسجيل على شبكة الإنترنت على المرجع المصدق الجذر، وعادة https://<servername>/certsrv وحدد طلب شهادة.
  2. حدد طلب الشهادة المتقدم.
  3. حدد إنشاء طلب وإرساله إلى CA هذا.
  4. قم بتعبئة النموذج باستخدام قالب المرجع المصدق التابع. Screenshot of advanced certificate request
  5. إرسال الطلب وتثبيت الشهادة.
  6. على افتراض أن هذا الطلب يتم من خادم Windows باستخدام Internet Explorer، افتح خيارات إنترنت.
  7. انتقل إلى علامة التبويب محتوى وحدد شهادات. Screenshot of Internet properties
  8. حدد الشهادة التي تم إصدارها للتو ثم حدد تصدير. Screenshot of export certificate
  9. حدد التالي لبدء المعالج. حدد نعم، ثم قم بتصدير المفتاح الخاص،ثم حدد التالي. Screenshot showing export private key
  10. يتم تحديد تنسيق ملف .pfx بشكل افتراضي. إلغاء تضمين جميع الشهادات في مسار الشهادة إن أمكن. إذا قمت بتصدير سلسلة الشهادات بأكملها، ستفشل عملية الاستيراد إلى جدار حماية Azure. Screenshot showing export file format
  11. تعيين كلمة مرور وتأكيدها لحماية المفتاح، ثم حدد التالي. Screenshot showing certificate security
  12. اختر اسم ملف وموقع تصدير ثم حدد التالي.
  13. حدد إنهاء ونقل الشهادة المصدرة إلى موقع آمن.

إضافة الشهادة إلى نهج جدار الحماية

  1. في مدخل Azure، انتقل إلى صفحة الشهادات في Key Vault، وحدد إنشاء/استيراد.
  2. حدد استيراد كطريقة إنشاء، واسم الشهادة، وحدد الملف .pfx المصدر، وأدخل كلمة المرور، ثم حدد إنشاء. Screenshot showing Key Vault create a certificate
  3. انتقل إلى صفحة فحص TLS في سياسة جدار الحماية وحدد هويتك المدارة وKey Vault والشهادة. Screenshot showing Firewall Policy TLS Inspection configuration
  4. حدد حفظ.

تحقق من بروتوكول أمان طبقة النقل

  1. إنشاء قاعدة تطبيق باستخدام فحص TLS إلى عنوان URL الوجهة أو FQDN من اختيارك. على سبيل المثال: *bing.com. Screenshot showing edit rule collection
  2. من جهاز منضم إلى مجال ضمن نطاق المصدر للقاعدة، انتقل إلى الوجهة وحدد رمز القفل بجوار شريط العناوين في المستعرض. يجب أن تظهر الشهادة أنه تم إصدارها من قبل CA في المؤسسة بدلا من CA عام. Screenshot showing the browser certificate
  3. إظهار الشهادة لعرض مزيد من التفاصيل، بما في ذلك مسار الشهادة. certificate details
  4. في Log Analytics، قم بتشغيل استعلام KQL التالي لإرجاع جميع الطلبات التي كانت تخضع لفحص TLS: 
    AzureDiagnostics 
| where ResourceType == "AZUREFIREWALLS" 
| where Category == "AzureFirewallApplicationRule" 
| where msg_s contains "Url:" 
| sort by TimeGenerated desc
    تظهر النتيجة عنوان URL الكامل لنسبة استخدام الشبكة التي تم فحصها: KQL query

الخطوات التالية