Udostępnij za pośrednictwem

Wdrażanie i konfigurowanie certyfikatów urzędu certyfikacji przedsiębiorstwa dla usługi Azure Firewall

Usługa Azure Firewall Premium obejmuje funkcję inspekcji protokołu TLS, która wymaga łańcucha uwierzytelniania certyfikatów. W przypadku wdrożeń produkcyjnych należy użyć infrastruktury kluczy publicznych przedsiębiorstwa do wygenerowania certyfikatów używanych z usługą Azure Firewall Premium. Użyj tego artykułu, aby utworzyć certyfikat pośredniego urzędu certyfikacji dla usługi Azure Firewall Premium i zarządzać nim.

Aby uzyskać więcej informacji na temat certyfikatów używanych przez usługę Azure Firewall — wersja Premium, zobacz Certyfikaty usługi Azure Firewall Premium.

Wymagania wstępne

Jeśli nie masz subskrypcji platformy Azure, przed rozpoczęciem utwórz bezpłatne konto.

Aby użyć urzędu certyfikacji przedsiębiorstwa do wygenerowania certyfikatu do użycia z usługą Azure Firewall Premium, musisz mieć następujące zasoby:

  • las usługi Active Directory
  • główny urząd certyfikacji (Root CA) usług certyfikacji Active Directory z włączoną rejestracją internetową
  • usługa Azure Firewall Premium z polityką zapory w poziomie Premium
  • Azure Key Vault
  • tożsamość zarządzana z uprawnieniami do odczytu certyfikatów i tajemnic zdefiniowanych w zasadach dostępu Key Vault

Tworzenie nowego szablonu certyfikatu podrzędnego

  1. Uruchom polecenie certtmpl.msc , aby otworzyć konsolę szablonu certyfikatu.

  2. Znajdź szablon podrzędny urząd certyfikacji w konsoli.

  3. Kliknij prawym przyciskiem myszy na szablonie Urząd Certyfikacji Podrzędny i wybierz Duplikuj szablon.

  4. W oknie Właściwości nowego szablonu przejdź do karty Zgodność i ustaw odpowiednie ustawienia zgodności lub pozostaw je jako domyślne.

  5. Przejdź do karty Ogólne, ustaw nazwę wyświetlaną szablonu (na przykład: My Subordinate CA), i w razie potrzeby dostosuj okres ważności. Opcjonalnie zaznacz pole wyboru Publikuj certyfikat w usłudze Active Directory .

  6. W zakładce Ustawienia upewnij się, że wymagani użytkownicy i grupy mają uprawnienia do odczytu i enroll.

  7. Przejdź do karty Rozszerzenia , wybierz pozycję Użycie klucza, a następnie wybierz pozycję Edytuj.

    • Upewnij się, że zaznaczono pola wyboru Podpis cyfrowy, Podpisywanie certyfikatu i Podpisywanie listy CRL.
    • Zaznacz pole wyboru Ustaw to rozszerzenie krytyczne i wybierz przycisk OK.

    Zrzut ekranu przedstawiający rozszerzenia użycia klucza szablonu certyfikatu.

  8. Wybierz przycisk OK , aby zapisać nowy szablon certyfikatu.

  9. Upewnij się, że nowy szablon jest włączony, aby można było go użyć do wystawiania certyfikatów.

Żądanie i wyeksportowanie certyfikatu

  1. Uzyskaj dostęp do witryny rejestracji internetowej w głównym urzędzie certyfikacji, zazwyczaj https://<servername>/certsrv i wybierz pozycję Zażądaj certyfikatu.

  2. Wybierz pozycję Zaawansowane żądanie certyfikatu.

  3. Wybierz opcję Utwórz i prześlij żądanie do tego urzędu certyfikacji.

  4. Wypełnij formularz, używając szablonu podrzędnego urzędu certyfikacji utworzonego w poprzedniej sekcji. Zrzut ekranu przedstawiający zaawansowane żądanie certyfikatu

  5. Prześlij żądanie i zainstaluj certyfikat.

  6. Zakładając, że to żądanie jest wykonywane z systemu Windows Server przy użyciu programu Internet Explorer, otwórz pozycję Opcje internetowe.

  7. Przejdź do karty Zawartość i wybierz pozycję Certyfikaty.

  8. Wybierz właśnie wystawiony certyfikat, a następnie wybierz pozycję Eksportuj.

  9. Wybierz przycisk Dalej , aby rozpocząć pracę kreatora. Wybierz pozycję Tak, wyeksportuj klucz prywatny, a następnie wybierz pozycję Dalej.

  10. Format pliku PFX jest domyślnie wybierany. Usuń zaznaczenie Uwzględnij wszystkie certyfikaty w ścieżce certyfikacji, jeśli to możliwe. W przypadku wyeksportowania całego łańcucha certyfikatów proces importowania do usługi Azure Firewall zakończy się niepowodzeniem.

  11. Przypisz i potwierdź hasło, aby chronić klucz, a następnie wybierz pozycję Dalej.

  12. Wybierz nazwę pliku i lokalizację eksportu, a następnie wybierz pozycję Dalej.

  13. Wybierz pozycję Zakończ i przenieś wyeksportowany certyfikat do bezpiecznej lokalizacji.

Dodaj certyfikat do polityki zapory

  1. W witrynie Azure Portal przejdź do strony Certyfikaty usługi Key Vault i wybierz pozycję Generuj/Importuj.

  2. Wybierz pozycję Importuj jako metodę tworzenia, nadaj certyfikatowi nazwę, wybierz wyeksportowany plik pfx, wprowadź hasło, a następnie wybierz pozycję Utwórz.

  3. Przejdź do strony Inspekcji TLS zasad zapory i wybierz swoją tożsamość zarządzaną, usługę Key Vault i certyfikat.

  4. Wybierz pozycję Zapisz.

Weryfikowanie inspekcji protokołu TLS

  1. Utwórz regułę aplikacji przy użyciu inspekcji protokołu TLS do wybranego docelowego adresu URL lub nazwy FQDN. Na przykład: *bing.com.

  2. Z maszyny przyłączonej do domeny w zakresie źródłowym reguły przejdź do miejsca docelowego i wybierz symbol blokady obok paska adresu w przeglądarce. Certyfikat powinien wskazywać, że został wystawiony przez urząd certyfikacji przedsiębiorstwa, a nie publiczny urząd certyfikacji. Zrzut ekranu przedstawiający certyfikat przeglądarki

  3. Pokaż certyfikat, aby wyświetlić więcej szczegółów, w tym ścieżkę certyfikatu. szczegóły certyfikatu

  4. W usłudze Log Analytics uruchom następujące zapytanie KQL, aby zwrócić wszystkie żądania, które podlegają inspekcji protokołu TLS:

    AzureDiagnostics 
| where ResourceType == "AZUREFIREWALLS" 
| where Category == "AzureFirewallApplicationRule" 
| where msg_s contains "Url:" 
| sort by TimeGenerated desc

    Wynik przedstawia pełny adres URL kontrolowanego ruchu: Zapytanie KQL

Następne kroki