Distribuire e configurare i certificati ca aziendali per Firewall di Azure
Firewall di Azure Premium include una funzionalità di ispezione TLS, che richiede una catena di autenticazione del certificato. Per le distribuzioni di produzione, è consigliabile usare un'infrastruttura PKI enterprise per generare i certificati usati con Firewall di Azure Premium. Usare questo articolo per creare e gestire un certificato CA intermedio per Firewall di Azure Premium.
Per altre informazioni sui certificati usati da Firewall di Azure Premium, vedere Firewall di Azure certificati Premium.
Prerequisiti
Se non si ha una sottoscrizione di Azure, creare un account gratuito prima di iniziare.
Per usare una CA Enterprise per generare un certificato da usare con Firewall di Azure Premium, è necessario disporre delle risorse seguenti:
- una foresta di Active Directory
- ca radice di Servizi di certificazione Active Directory con registrazione Web abilitata
- un Firewall di Azure Premium con criteri firewall di livello Premium
- un Key Vault di Azure
- Identità gestita con autorizzazioni di lettura per certificati e segreti definiti nei criteri di accesso Key Vault
Richiedere ed esportare un certificato
- Accedere al sito di registrazione Web nella CA radice, in genere
https://<servername>/certsrve selezionare Richiedi un certificato. - Selezionare Richiesta di certificato avanzata.
- Selezionare Crea e Invia una richiesta a questa CA.
- Compilare il modulo usando il modello autorità di certificazione subordinato.
- Inviare la richiesta e installare il certificato.
- Supponendo che questa richiesta venga effettuata da un Windows Server usando Internet Explorer, aprire Opzioni Internet.
- Passare alla scheda Contenuto e selezionare Certificati.
- Selezionare il certificato appena rilasciato e quindi selezionare Esporta.
- Selezionare Avanti per avviare la procedura guidata. Selezionare Sì, esportare la chiave privata e quindi selezionare Avanti.
- Il formato di file pfx è selezionato per impostazione predefinita. Deselezionare Includi tutti i certificati nel percorso di certificazione, se possibile. Se si esporta l'intera catena di certificati, il processo di importazione in Firewall di Azure avrà esito negativo.
- Assegnare e confermare una password per proteggere la chiave e quindi selezionare Avanti.
- Scegliere un nome file e un percorso di esportazione e quindi selezionare Avanti.
- Selezionare Fine e spostare il certificato esportato in una posizione sicura.
Aggiungere il certificato a un criterio firewall
- Nella portale di Azure passare alla pagina Certificati del Key Vault e selezionare Genera/Importa.
- Selezionare Importa come metodo di creazione, assegnare al certificato il nome, selezionare il file pfx esportato, immettere la password e quindi selezionare Crea.
- Passare alla pagina Ispezione TLS dei criteri firewall e selezionare l'identità gestita, Key Vault e il certificato.
- Selezionare Salva.
Convalidare l'ispezione TLS
- Creare una regola applicazione usando l'ispezione TLS per l'URL di destinazione o il nome di dominio completo desiderato. Ad esempio:
*bing.com.
- Da un computer aggiunto a un dominio all'interno dell'intervallo di origine della regola passare alla destinazione e selezionare il simbolo di blocco accanto alla barra degli indirizzi nel browser. Il certificato deve mostrare che è stato rilasciato dalla CA Enterprise anziché da una CA pubblica.
- Mostra il certificato per visualizzare altri dettagli, incluso il percorso del certificato.
- In Log Analytics eseguire la query KQL seguente per restituire tutte le richieste che sono state soggette all'ispezione TLS:
Il risultato mostra l'URL completo del traffico controllato:AzureDiagnostics | where ResourceType == "AZUREFIREWALLS" | where Category == "AzureFirewallApplicationRule" | where msg_s contains "Url:" | sort by TimeGenerated desc