Déployer et configurer des certificats d’autorité de certification d’entreprise pour le Pare-feu Azure

  • Article

Le Pare-feu Azure Premium comprend une fonctionnalité d’inspection TLS qui nécessite une chaîne d’authentification par certificat. Pour les déploiements de production, vous devez utiliser une infrastructure à clé publique (PKI) d’entreprise pour générer les certificats que vous utilisez avec le Pare-feu Azure Premium. Utilisez cet article pour créer et gérer un certificat d’autorité de certification intermédiaire pour le Pare-feu Azure Premium.

Pour plus d’informations sur les certificats utilisés par le Pare-feu Azure Premium, consultez Certificats du Pare-feu Azure Premium.

Prérequis

Si vous n’avez pas d’abonnement Azure, créez un compte gratuit avant de commencer.

Pour générer un certificat à utiliser avec le Pare-feu Azure Premium à l’aide d’une autorité de certification d’entreprise, vous devez disposer des ressources suivantes :

  • Une forêt Active Directory
  • Une autorité de certification racine des services de certification Active Directory avec l’inscription par le web activée
  • Une stratégie Pare-feu Azure Premium avec niveau Premium
  • un coffre Azure Key Vault
  • Une identité managée avec autorisations de lecture sur Certificats et secrets définie dans la stratégie d’accès Key Vault

Demander et exporter un certificat

  1. Accédez au site d’inscription par le web sur l’autorité de certification racine, généralement https://<servername>/certsrv, et sélectionnez Demander un certificat.
  2. Sélectionnez Demande de certificat avancée.
  3. Sélectionnez Créer et soumettre une demande de requête auprès de cette Autorité de certification.
  4. Remplissez le formulaire à l’aide du modèle Autorité de certification secondaire. Screenshot of advanced certificate request
  5. Envoyez la demande et installez le certificat.
  6. En supposant que cette demande est effectuée à partir d’un serveur Windows à l’aide d’Internet Explorer, ouvrez Options Internet.
  7. Accédez à l’onglet Contenu, puis sélectionnez Certificats. Screenshot of Internet properties
  8. Sélectionnez le certificat qui vient d’être émis, puis Exporter. Screenshot of export certificate
  9. Sélectionnez Suivant pour démarrer l’Assistant. Sélectionnez Oui, exporter la clé privée, puis Suivant. Screenshot showing export private key
  10. Le format de fichier .pfx est sélectionné par défaut. Décochez Inclure tous les certificats dans le chemin d’accès de certification, si possible. Si vous exportez l’intégralité de la chaîne de certificats, le processus d’importation vers le Pare-feu Azure échoue. Screenshot showing export file format
  11. Attribuez et confirmez un mot de passe pour protéger la clé, puis sélectionnez Suivant. Screenshot showing certificate security
  12. Choisissez un nom de fichier et un emplacement d’exportation, puis sélectionnez Suivant.
  13. Sélectionnez Terminer et déplacez le certificat exporté vers un emplacement sécurisé.

Ajouter le certificat à une stratégie de pare-feu

  1. Dans le portail Azure, accédez à la page Certificats de votre coffre de clés et sélectionnez Générer/importer.
  2. Sélectionnez Importer comme méthode de création, nommez le certificat, sélectionnez le fichier .pfx exporté, entrez le mot de passe, puis sélectionnez Créer. Screenshot showing Key Vault create a certificate
  3. Accédez à la page Inspection TLS de votre stratégie de pare-feu, puis sélectionnez votre identité managée, coffre de clés et certificat. Screenshot showing Firewall Policy TLS Inspection configuration
  4. Cliquez sur Enregistrer.

Valider l’inspection TLS

  1. Créez une règle d’application à l’aide de l’inspection TLS sur le nom de domaine complet ou l’URL de destination de votre choix. Par exemple : *bing.com. Screenshot showing edit rule collection
  2. À partir d’un ordinateur joint à un domaine dans la plage source de la règle, accédez à votre destination et sélectionnez le symbole de verrou à côté de la barre d’adresse de votre navigateur. Le certificat doit indiquer qu’il a été émis par votre autorité de certification d’entreprise plutôt que par une autorité de certification publique. Screenshot showing the browser certificate
  3. Affichez le certificat pour voir plus de détails, notamment le chemin du certificat. certificate details
  4. Dans Log Analytics, exécutez la requête KQL suivante pour retourner toutes les requêtes qui ont été soumises à l’inspection TLS : 
    AzureDiagnostics 
| where ResourceType == "AZUREFIREWALLS" 
| where Category == "AzureFirewallApplicationRule" 
| where msg_s contains "Url:" 
| sort by TimeGenerated desc
    Le résultat montre l’URL complète du trafic inspecté : KQL query

Étapes suivantes