Vállalati hitelesítésszolgáltatói tanúsítványok üzembe helyezése és konfigurálása az Azure Firewallhoz
Az Azure Firewall Premium tartalmaz egy TLS-ellenőrzési funkciót, amelyhez tanúsítvány-hitelesítési lánc szükséges. Éles üzemelő példányok esetén vállalati PKI-vel kell létrehoznia az Azure Firewall Premiumban használt tanúsítványokat. Ebből a cikkből létrehozhat és kezelhet egy köztes hitelesítésszolgáltatói tanúsítványt az Azure Firewall Premiumhoz.
Az Azure Firewall Premium által használt tanúsítványokkal kapcsolatos további információkért lásd: Azure Firewall Premium-tanúsítványok.
Előfeltételek
Ha még nincs Azure-előfizetése, kezdés előtt hozzon létre egy ingyenes fiókot.
Ha nagyvállalati hitelesítésszolgáltatót szeretne használni az Azure Firewall Premiumhoz használandó tanúsítvány létrehozásához, a következő erőforrásokkal kell rendelkeznie:
- Active Directory-erdő
- Az Active Directory certification Services legfelső szintű hitelesítésszolgáltatója, amelyen engedélyezve van a webregisztráció
- Prémium szintű Azure Firewall, prémium szintű tűzfalszabályzattal
- Azure Key Vault
- a Key Vault hozzáférési szabályzatában meghatározott tanúsítványokra és titkos kódokra vonatkozó olvasási engedélyekkel rendelkező felügyelt identitás
Tanúsítvány kérése és exportálása
- A legfelső szintű hitelesítésszolgáltató webes regisztrációs webhelyének elérése általában
https://<servername>/certsrv
, és válassza a Tanúsítvány kérése lehetőséget. - Válassza a Speciális tanúsítványkérelem lehetőséget.
- Válassza a Kérelem létrehozása és elküldése a hitelesítésszolgáltatónak lehetőséget.
- Töltse ki az űrlapot az Alárendelt hitelesítésszolgáltató sablonnal.
- Küldje el a kérelmet, és telepítse a tanúsítványt.
- Ha ezt a kérést egy Windows Serverről, az Internet Explorer használatával küldi el, nyissa meg az Internetbeállítások lehetőséget.
- Lépjen a Tartalom lapra, és válassza a Tanúsítványok lehetőséget.
- Válassza ki az imént kiadott tanúsítványt, majd válassza az Exportálás lehetőséget.
- Válassza a Tovább gombot a varázsló elindításához. Válassza az Igen lehetőséget, exportálja a titkos kulcsot, majd válassza a Tovább gombot.
- Alapértelmezés szerint a .pfx fájlformátum van kiválasztva. Ha lehetséges, törölje a jelölést az összes tanúsítvány belefoglalása a minősítési útvonalba. Ha a teljes tanúsítványláncot exportálja, az Importálási folyamat az Azure Firewallba sikertelen lesz.
- Jelszó hozzárendelése és megerősítése a kulcs védelméhez, majd válassza a Tovább gombot.
- Válasszon egy fájlnevet és exportálási helyet, majd válassza a Tovább gombot.
- Válassza a Befejezés lehetőséget, és helyezze át az exportált tanúsítványt egy biztonságos helyre.
Tanúsítvány hozzáadása tűzfalszabályzathoz
- Az Azure Portalon lépjen a Key Vault Tanúsítvány lapjára, és válassza a Létrehozás/Importálás lehetőséget.
- Válassza az Importálás lehetőséget létrehozási módszerként, nevezze el a tanúsítványt, válassza ki az exportált .pfx fájlt, írja be a jelszót, majd válassza a Létrehozás lehetőséget.
- Lépjen a tűzfalszabályzat TLS-vizsgálat lapjára, és válassza ki a felügyelt identitást, a Key Vaultot és a tanúsítványt.
- Válassza a Mentés parancsot.
TLS-ellenőrzés ellenőrzése
- Hozzon létre egy alkalmazásszabályt TLS-ellenőrzéssel a kívánt cél URL-címre vagy teljes tartománynévre. For example:
*bing.com
. - A szabály forrástartományában lévő tartományhoz csatlakoztatott gépen keresse meg a célhelyet, és válassza ki a böngésző címsora melletti zárolási szimbólumot. A tanúsítványnak azt kell mutatnia, hogy a tanúsítványt a vállalati hitelesítésszolgáltató állította ki nyilvános hitelesítésszolgáltató helyett.
- A tanúsítvány megjelenítése további részletek megjelenítéséhez, beleértve a tanúsítvány elérési útját is.
- A Log Analyticsben futtassa a következő KQL-lekérdezést a TLS-vizsgálat hatálya alá tartozó összes kérés visszaadásához:
Az eredmény a vizsgált forgalom teljes URL-címét jeleníti meg:AzureDiagnostics | where ResourceType == "AZUREFIREWALLS" | where Category == "AzureFirewallApplicationRule" | where msg_s contains "Url:" | sort by TimeGenerated desc
Következő lépések
Visszajelzés
https://aka.ms/ContentUserFeedback.
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ:Visszajelzés küldése és megtekintése a következőhöz: