Megosztás a következőn keresztül:

Vállalati hitelesítésszolgáltatói tanúsítványok üzembe helyezése és konfigurálása az Azure Firewallhoz

  • Cikk

Az Azure Firewall Premium tartalmaz egy TLS-ellenőrzési funkciót, amelyhez tanúsítvány-hitelesítési lánc szükséges. Éles üzemelő példányok esetén vállalati PKI-vel kell létrehoznia az Azure Firewall Premiumban használt tanúsítványokat. Ebből a cikkből létrehozhat és kezelhet egy köztes hitelesítésszolgáltatói tanúsítványt az Azure Firewall Premiumhoz.

Az Azure Firewall Premium által használt tanúsítványokkal kapcsolatos további információkért lásd: Azure Firewall Premium-tanúsítványok.

Előfeltételek

Ha még nincs Azure-előfizetése, kezdés előtt hozzon létre egy ingyenes fiókot.

Ha nagyvállalati hitelesítésszolgáltatót szeretne használni az Azure Firewall Premiumhoz használandó tanúsítvány létrehozásához, a következő erőforrásokkal kell rendelkeznie:

  • Active Directory-erdő
  • Az Active Directory certification Services legfelső szintű hitelesítésszolgáltatója, amelyen engedélyezve van a webregisztráció
  • Prémium szintű Azure Firewall, prémium szintű tűzfalszabályzattal
  • Azure Key Vault
  • a Key Vault hozzáférési szabályzatában meghatározott tanúsítványokra és titkos kódokra vonatkozó olvasási engedélyekkel rendelkező felügyelt identitás

Tanúsítvány kérése és exportálása

  1. A legfelső szintű hitelesítésszolgáltató webes regisztrációs webhelyének elérése általában https://<servername>/certsrv , és válassza a Tanúsítvány kérése lehetőséget.
  2. Válassza a Speciális tanúsítványkérelem lehetőséget.
  3. Válassza a Kérelem létrehozása és elküldése a hitelesítésszolgáltatónak lehetőséget.
  4. Töltse ki az űrlapot az Alárendelt hitelesítésszolgáltató sablonnal. Screenshot of advanced certificate request
  5. Küldje el a kérelmet, és telepítse a tanúsítványt.
  6. Ha ezt a kérést egy Windows Serverről, az Internet Explorer használatával küldi el, nyissa meg az Internetbeállítások lehetőséget.
  7. Lépjen a Tartalom lapra, és válassza a Tanúsítványok lehetőséget. Screenshot of Internet properties
  8. Válassza ki az imént kiadott tanúsítványt, majd válassza az Exportálás lehetőséget. Screenshot of export certificate
  9. Válassza a Tovább gombot a varázsló elindításához. Válassza az Igen lehetőséget, exportálja a titkos kulcsot, majd válassza a Tovább gombot. Screenshot showing export private key
  10. Alapértelmezés szerint a .pfx fájlformátum van kiválasztva. Ha lehetséges, törölje a jelölést az összes tanúsítvány belefoglalása a minősítési útvonalba. Ha a teljes tanúsítványláncot exportálja, az Importálási folyamat az Azure Firewallba sikertelen lesz. Screenshot showing export file format
  11. Jelszó hozzárendelése és megerősítése a kulcs védelméhez, majd válassza a Tovább gombot. Screenshot showing certificate security
  12. Válasszon egy fájlnevet és exportálási helyet, majd válassza a Tovább gombot.
  13. Válassza a Befejezés lehetőséget, és helyezze át az exportált tanúsítványt egy biztonságos helyre.

Tanúsítvány hozzáadása tűzfalszabályzathoz

  1. Az Azure Portalon lépjen a Key Vault Tanúsítvány lapjára, és válassza a Létrehozás/Importálás lehetőséget.
  2. Válassza az Importálás lehetőséget létrehozási módszerként, nevezze el a tanúsítványt, válassza ki az exportált .pfx fájlt, írja be a jelszót, majd válassza a Létrehozás lehetőséget. Screenshot showing Key Vault create a certificate
  3. Lépjen a tűzfalszabályzat TLS-vizsgálat lapjára, és válassza ki a felügyelt identitást, a Key Vaultot és a tanúsítványt. Screenshot showing Firewall Policy TLS Inspection configuration
  4. Válassza a Mentés parancsot.

TLS-ellenőrzés ellenőrzése

  1. Hozzon létre egy alkalmazásszabályt TLS-ellenőrzéssel a kívánt cél URL-címre vagy teljes tartománynévre. For example: *bing.com. Screenshot showing edit rule collection
  2. A szabály forrástartományában lévő tartományhoz csatlakoztatott gépen keresse meg a célhelyet, és válassza ki a böngésző címsora melletti zárolási szimbólumot. A tanúsítványnak azt kell mutatnia, hogy a tanúsítványt a vállalati hitelesítésszolgáltató állította ki nyilvános hitelesítésszolgáltató helyett. Screenshot showing the browser certificate
  3. A tanúsítvány megjelenítése további részletek megjelenítéséhez, beleértve a tanúsítvány elérési útját is. certificate details
  4. A Log Analyticsben futtassa a következő KQL-lekérdezést a TLS-vizsgálat hatálya alá tartozó összes kérés visszaadásához: 
    AzureDiagnostics 
| where ResourceType == "AZUREFIREWALLS" 
| where Category == "AzureFirewallApplicationRule" 
| where msg_s contains "Url:" 
| sort by TimeGenerated desc
    Az eredmény a vizsgált forgalom teljes URL-címét jeleníti meg: KQL query

Következő lépések