Freigeben über

Bereitstellen und Konfigurieren von Zertifikaten der Unternehmenszertifizierungsstelle für Azure Firewall

  • Artikel

Azure Firewall Premium enthält ein TLS-Überprüfungsfeature, das eine Zertifikatauthentifizierungskette erfordert. Für Produktionsbereitstellungen sollten Sie mithilfe einer Unternehmens-PKI die Zertifikate generieren, die Sie bei Azure Firewall Premium verwenden. Anhand dieses Artikels können Sie ein Zertifikat der Zwischenzertifizierungsstelle für Azure Firewall Premium erstellen und verwalten.

Weitere Informationen zu den von Azure Firewall Premium verwendeten Zertifikaten finden Sie unter Zertifikate der Vorschauversion von Azure Firewall Premium.

Voraussetzungen

Wenn Sie kein Azure-Abonnement besitzen, können Sie ein kostenloses Konto erstellen, bevor Sie beginnen.

Wenn Sie ein Zertifikat zum Einsatz für Azure Firewall Premium über eine Unternehmenszertifizierungsstelle generieren möchten, benötigen Sie folgende Ressourcen:

  • eine Active Directory-Gesamtstruktur
  • eine Active Directory-Stammzertifizierungsstelle für Zertifizierungsdienste mit aktivierter Webregistrierung
  • eine Firewallrichtlinie für Azure Firewall Premium mit Premium-Tarif
  • einen Azure Key Vault
  • eine verwaltete Identität mit Leseberechtigungen für Zertifikate und Geheimnisse, die in der Key Vault-Zugriffsrichtlinie definiert sind

Anfordern und Exportieren eines Zertifikats

  1. Greifen Sie auf die Webregistrierungswebsite in der Stammzertifizierungsstelle zu, normalerweise https://<servername>/certsrv, und wählen Sie Zertifikat anfordern aus.
  2. Wählen Sie Erweiterte Zertifikatanforderung aus.
  3. Wählen Sie Eine Anforderung an diese Zertifizierungsstelle erstellen und einreichen aus.
  4. Füllen Sie das Formular mithilfe der Vorlage „Untergeordnete Zertifizierungsstelle“ aus. Screenshot of advanced certificate request
  5. Reichen Sie die Anforderung ein, und installieren Sie das Zertifikat.
  6. Wenn diese Anforderung von einem Windows-Server mithilfe von Internet Explorer ausgeführt wird, öffnen Sie Internetoptionen.
  7. Navigieren Sie zur Registerkarte Inhalt, und wählen Sie Zertifikate aus. Screenshot of Internet properties
  8. Wählen Sie das gerade ausgestellte Zertifikat und dann Exportieren aus. Screenshot of export certificate
  9. Wählen Sie Weiter aus, um den Assistenten zu starten. Wählen Sie Ja, privaten Schlüssel exportieren und dann Weiter aus. Screenshot showing export private key
  10. Das PFX-Dateiformat ist standardmäßig ausgewählt. Deaktivieren Sie Wenn möglich, alle Zertifikate im Zertifizierungspfad einbeziehen. Wenn Sie die gesamte Zertifikatkette exportieren, schlägt der Importvorgang in Azure Firewall fehl. Screenshot showing export file format
  11. Weisen Sie ein Kennwort zu, um den Schlüssel zu schützen, und bestätigen Sie es. Wählen Sie dann Weiter aus. Screenshot showing certificate security
  12. Wählen Sie einen Dateinamen und einen Exportspeicherort und dann Weiter aus.
  13. Wählen Sie Fertigstellen aus, und verschieben Sie das exportierte Zertifikat an einen sicheren Speicherort.

Hinzufügen des Zertifikats zu einer Firewallrichtlinie

  1. Navigieren Sie im Azure-Portal zur Seite „Zertifikate“ Ihrer Key Vault, und wählen Sie Generieren/Importieren aus.
  2. Wählen Sie als Erstellungsmethode Importieren aus, benennen Sie das Zertifikat, wählen Sie die exportierte PFX-Datei aus, geben Sie das Kennwort ein, und wählen Sie Erstellen aus. Screenshot showing Key Vault create a certificate
  3. Navigieren Sie zur Seite TLS-Überprüfung Ihrer Firewallrichtlinie, und wählen Sie Werte für „Verwaltete Identität“, „Key Vault“ und „Zertifikat“ aus. Screenshot showing Firewall Policy TLS Inspection configuration
  4. Wählen Sie Speichern aus.

Überprüfen der TLS-Überprüfung

  1. Erstellen Sie eine Anwendungsregel mithilfe der TLS-Überprüfung für die Ziel-URL oder des vollqualifizierten Domänennamens (FQDN) Ihrer Wahl. Beispiel: *bing.com Screenshot showing edit rule collection
  2. Navigieren Sie auf einem in die Domäne eingebundenen Computer innerhalb des Quellbereichs der Regel zu Ihrem Ziel, und wählen Sie in Ihrem Browser das Sperrsymbol neben der Adressleiste aus. Das Zertifikat sollte zeigen, dass es von Ihrer Unternehmenszertifizierungsstelle statt einer öffentlichen Zertifizierungsstelle ausgestellt wurde. Screenshot showing the browser certificate
  3. Zeigen Sie das Zertifikat an, um weitere Details zu sehen, einschließlich des Zertifikatpfads. certificate details
  4. Führen Sie in Log Analytics die folgende KQL-Abfrage aus, um alle Anforderungen zurückzugeben, bei denen die TLS-Überprüfung durchgeführt wurde: 
    AzureDiagnostics 
| where ResourceType == "AZUREFIREWALLS" 
| where Category == "AzureFirewallApplicationRule" 
| where msg_s contains "Url:" 
| sort by TimeGenerated desc
    Im Ergebnis wird die vollständige URL des überprüften Datenverkehrs gezeigt: KQL query

Nächste Schritte