Ca-certificaten voor ondernemingen implementeren en configureren voor Azure Firewall
Azure Firewall Premium bevat een TLS-inspectiefunctie, waarvoor een certificaatverificatieketen is vereist. Voor productie-implementaties moet u een Enterprise PKI gebruiken om de certificaten te genereren die u gebruikt met Azure Firewall Premium. Gebruik dit artikel om een tussenliggend CA-certificaat voor Azure Firewall Premium te maken en te beheren.
Zie Azure Firewall Premium-certificaten voor meer informatie over certificaten die door Azure Firewall Premium worden gebruikt.
Vereisten
Als u nog geen abonnement op Azure hebt, maak dan een gratis account aan voordat u begint.
Als u een CA voor ondernemingen wilt gebruiken om een certificaat te genereren voor gebruik met Azure Firewall Premium, moet u over de volgende resources beschikken:
- een Active Directory-forest
- een Basis-CA voor Active Directory Certification Services waarvoor webinschrijving is ingeschakeld
- een Azure Firewall Premium met firewallbeleid voor de Premium-laag
- een Azure Key Vault
- een beheerde identiteit met leesmachtigingen voor certificaten en geheimen die zijn gedefinieerd in het Key Vault-toegangsbeleid
Een certificaat aanvragen en exporteren
- Ga meestal
https://<servername>/certsrvnaar de website voor inschrijving via de basis-CA en selecteer Een certificaat aanvragen. - Selecteer Geavanceerde certificaataanvraag.
- Selecteer Een aanvraag maken en verzenden naar deze CA.
- Vul het formulier in met behulp van de sjabloon Onderliggende certificeringsinstantie.
- Dien de aanvraag in en installeer het certificaat.
- Ervan uitgaande dat deze aanvraag is gedaan vanaf een Windows-server met behulp van Internet Explorer, opent u Internetopties.
- Ga naar het tabblad Inhoud en selecteer Certificaten.
- Selecteer het certificaat dat zojuist is uitgegeven en selecteer vervolgens Exporteren.
- Selecteer Volgende om de wizard te starten. Selecteer Ja, de persoonlijke sleutel exporteren en selecteer vervolgens Volgende.
- Pfx-bestandsindeling is standaard geselecteerd. Schakel indien mogelijk Alle certificaten in het certificeringspad opnemen uit. Als u de hele certificaatketen exporteert, mislukt het importproces naar Azure Firewall.
- Wijs een wachtwoord toe en bevestig dit om de sleutel te beveiligen en selecteer vervolgens Volgende.
- Kies een bestandsnaam en exportlocatie en selecteer vervolgens Volgende.
- Selecteer Voltooien en verplaats het geëxporteerde certificaat naar een veilige locatie.
Het certificaat toevoegen aan een firewallbeleid
- Ga in de Azure Portal naar de pagina Certificaten van uw Key Vault en selecteer Genereren/importeren.
- Selecteer Importeren als de methode voor het maken, geef het certificaat een naam, selecteer het geëxporteerde PFX-bestand, voer het wachtwoord in en selecteer vervolgens Maken.
- Ga naar de pagina TLS-inspectie van uw firewallbeleid en selecteer uw beheerde identiteit, Key Vault en certificaat.
- Selecteer Opslaan.
TLS-inspectie valideren
- Maak een toepassingsregel met behulp van TLS-inspectie naar de doel-URL of FQDN van uw keuze. Bijvoorbeeld:
*bing.com.
- Ga vanaf een computer die lid is van een domein binnen het bronbereik van de regel naar uw bestemming en selecteer het vergrendelingssymbool naast de adresbalk in uw browser. Het certificaat moet laten zien dat het is uitgegeven door uw ONDERNEMINGS-CA in plaats van een openbare CA.
- Het certificaat weergeven om meer details weer te geven, waaronder het certificaatpad.
- Voer in Log Analytics de volgende KQL-query uit om alle aanvragen te retourneren die zijn onderworpen aan TLS-inspectie:
Het resultaat toont de volledige URL van geïnspecteerd verkeer:AzureDiagnostics | where ResourceType == "AZUREFIREWALLS" | where Category == "AzureFirewallApplicationRule" | where msg_s contains "Url:" | sort by TimeGenerated desc