Implantar e configurar certificados de CA Corporativa para o Firewall do Azure
O Firewall Premium do Azure inclui um recurso de inspeção TLS, que requer uma cadeia de autenticação de certificado. Para implantações de produção, você deve usar uma PKI Corporativa para gerar os certificados que você usa com o Firewall Premium do Azure. Use este artigo para criar e gerenciar um certificado de CA intermediário para o Azure Firewall Premium.
Para obter mais informações sobre certificados usados pelo Firewall Premium do Azure, consulte Certificados Premium do Firewall do Azure.
Pré-requisitos
Se não tiver uma subscrição do Azure, crie uma conta gratuita antes de começar.
Para usar uma autoridade de certificação corporativa para gerar um certificado para usar com o Firewall Premium do Azure, você deve ter os seguintes recursos:
- uma floresta do Ative Directory
- uma CA raiz dos Serviços de Certificação do Ative Directory com o Registro na Web habilitado
- uma Política de Firewall do Azure Premium com Firewall de camada Premium
- um Cofre da Chave do Azure
- uma Identidade Gerenciada com permissões de Leitura para Certificados e Segredos definidos na Política de Acesso ao Cofre de Chaves
Solicitar e exportar um certificado
- Acesse o site de inscrição na Web na CA raiz, geralmente
https://<servername>/certsrve selecione Solicitar um certificado. - Selecione Solicitação de certificado avançada.
- Selecione Criar e enviar uma solicitação para esta autoridade de certificação.
- Preencha o formulário usando o modelo de Autoridade de Certificação Subordinada.
- Envie a solicitação e instale o certificado.
- Supondo que essa solicitação seja feita a partir de um Windows Server usando o Internet Explorer, abra Opções da Internet.
- Navegue até a guia Conteúdo e selecione Certificados.
- Selecione o certificado que acabou de ser emitido e, em seguida, selecione Exportar.
- Selecione Avançar para iniciar o assistente. Selecione Sim, exportar a chave privada e, em seguida, selecione Avançar.
- O formato de arquivo .pfx é selecionado por padrão. Desmarque Incluir todos os certificados no caminho de certificação, se possível. Se você exportar toda a cadeia de certificados, o processo de importação para o Firewall do Azure falhará.
- Atribua e confirme uma palavra-passe para proteger a chave e, em seguida, selecione Seguinte.
- Escolha um nome de arquivo e um local de exportação e, em seguida, selecione Avançar.
- Selecione Concluir e mova o certificado exportado para um local seguro.
Adicionar o certificado a uma Política de Firewall
- No portal do Azure, navegue até a página Certificados do seu Cofre da Chave e selecione Gerar/Importar.
- Selecione Importar como método de criação, nomeie o certificado, selecione o arquivo .pfx exportado, digite a senha e selecione Criar.
- Navegue até a página Inspeção TLS da sua política de Firewall e selecione sua identidade gerenciada, Cofre de chaves e certificado.
- Selecione Guardar.
Validar inspeção TLS
- Crie uma Regra de Aplicativo usando a inspeção TLS para a URL de destino ou FQDN de sua escolha. Por exemplo:
*bing.com.
- Em uma máquina associada a um domínio dentro do intervalo Origem da regra, navegue até o Destino e selecione o símbolo de cadeado ao lado da barra de endereço no navegador. O certificado deve mostrar que foi emitido pela sua autoridade de certificação corporativa em vez de uma autoridade de certificação pública.
- Mostrar o certificado para exibir mais detalhes, incluindo o caminho do certificado.
- No Log Analytics, execute a seguinte consulta KQL para retornar todas as solicitações que foram sujeitas à inspeção TLS:
O resultado mostra o URL completo do tráfego inspecionado:AzureDiagnostics | where ResourceType == "AZUREFIREWALLS" | where Category == "AzureFirewallApplicationRule" | where msg_s contains "Url:" | sort by TimeGenerated desc