Развертывание и настройка сертификатов ЦС предприятия для Брандмауэра Azure

Брандмауэр Azure уровня "Премиум" включает функцию проверки TLS, для работы которой требуется цепочка аутентификации сертификата. При развертывании в рабочей среде для создания сертификатов, используемых с Брандмауэром Azure уровня "Премиум", следует использовать PKI предприятия. Эта статья поможет вам создать промежуточный сертификат ЦС для Брандмауэра Azure уровня "Премиум" и управлять им.

Дополнительные сведения о сертификатах, используемых в Брандмауэре Azure уровня "Премиум", см. в разделе Сертификат Брандмауэра Azure уровня "Премиум".

Необходимые компоненты

Если у вас нет подписки Azure, создайте бесплатную учетную запись, прежде чем приступить к работе.

Чтобы использовать ЦС предприятия для создания сертификата, который будет применяться с Брандмауэром Azure уровня "Премиум", потребуются следующие ресурсы:

• лес Active Directory;
• корневой ЦС служб сертификации Active Directory с поддержкой веб-регистрации;
• Брандмауэр Azure уровня "Премиум" с политикой Брандмауэра уровня "Премиум";
• Azure Key Vault
• управляемое удостоверение с разрешениями на чтение сертификатов и секретов, определенных в политике доступа Key Vault.

Запрос и экспорт сертификата

1. Откройте сайт веб-регистрации в корневом ЦС, как правило, https://<servername>/certsrv и выберите Запросить сертификат.
2. Выберите Расширенный запрос сертификата.
3. Выберите Создать и отправить запрос в этот ЦС.
4. Заполните форму с помощью шаблона подчиненного центра сертификации.
5. Отправьте запрос и установите сертификат.
6. Если запрос отправляется из Windows Server с помощью веб-браузера Internet Explorer, откройте Свойства обозревателя.
7. Перейдите на вкладку Содержимое и выберите Сертификаты.
8. Выберите только что выданный сертификат, а затем выберите Экспорт.
9. Нажмите кнопку Далее, чтобы запустить мастер. Выберите Да, экспортировать закрытый ключ, а затем нажмите кнопку Далее.
10. По умолчанию выбран формат файла PFX. Снимите флажок с пункта Включить по возможности все сертификаты в путь сертификации. Если вы экспортируете всю цепочку сертификатов, процесс импорта в Брандмауэр Azure завершится с ошибкой.
11. Назначьте и подтвердите пароль для защиты ключа, а затем нажмите кнопку Далее.
12. Введите имя файла и выберите расположение для экспорта, а затем нажмите кнопку Далее.
13. Нажмите кнопку Готово и переместите экспортированный сертификат в безопасное расположение.

Добавление сертификата в политику брандмауэра

1. В портале Azure перейдите на страницу сертификатов в хранилище Key Vault и выберите Создать/импортировать.
2. В качестве метода создания выберите Импортировать, укажите имя сертификата, выберите экспортированный файл формата PFX, введите пароль и нажмите кнопку Создать.
3. Перейдите на страницу Проверка TLS политики Брандмауэра и выберите управляемое удостоверение, Key Vault и сертификат.
4. Выберите Сохранить.

Проверка TLS

1. Создайте правило приложения с помощью проверки TLS по URL-адресу назначения или полному доменному имени на ваш выбор. Например: *bing.com.
2. С компьютера, присоединенного к домену, в пределах исходного диапазона правила перейдите к назначению и нажмите на символ замка рядом с адресной строкой в браузере. Сертификат должен показывать, что он был выдан ЦС предприятия, а не общедоступным ЦС.
3. Просмотрите сертификат, чтобы узнать дополнительные сведения, включая путь к сертификату.
4. В Log Analytics выполните следующий KQL-запрос, чтобы вернуть все запросы, которые подвергались проверке TLS:

   AzureDiagnostics 
   | where ResourceType == "AZUREFIREWALLS" 
   | where Category == "AzureFirewallApplicationRule" 
   | where msg_s contains "Url:" 
   | sort by TimeGenerated desc
   

   В результате показан полный URL-адрес проверенного трафика:

Следующие шаги

• Брандмауэр Azure уровня "Премиум" на портале Azure
• Создание POC для проверки TLS в Брандмауэр Azure