Dela via

Distribuera och konfigurera Enterprise CA-certifikat för Azure Firewall

  • Artikel

Azure Firewall Premium innehåller en TLS-kontrollfunktion som kräver en autentiseringskedja för certifikat. För produktionsdistributioner bör du använda en Enterprise PKI för att generera de certifikat som du använder med Azure Firewall Premium. Använd den här artikeln om du vill skapa och hantera ett mellanliggande CA-certifikat för Azure Firewall Premium.

Mer information om certifikat som används av Azure Firewall Premium finns i Azure Firewall Premium-certifikat.

Förutsättningar

Om du inte har någon Azure-prenumeration skapar du ett kostnadsfritt konto innan du börjar.

Om du vill använda en företagscertifikatutfärdare för att generera ett certifikat som ska användas med Azure Firewall Premium måste du ha följande resurser:

  • en Active Directory-skog
  • en Rotcertifikatutfärdare för Active Directory Certification Services med webbregistrering aktiverat
  • en Azure Firewall Premium med en brandväggsprincip på Premium-nivå
  • ett Azure Key Vault
  • en hanterad identitet med läsbehörighet till certifikat och hemligheter som definierats i key vault-åtkomstprincipen

Begära och exportera ett certifikat

  1. Öppna webbplatsen för webbregistrering på rotcertifikatutfärdare, vanligtvis https://<servername>/certsrv och välj Begär ett certifikat.
  2. Välj Avancerad certifikatbegäran.
  3. Välj Skapa och skicka en begäran till den här certifikatutfärdare.
  4. Fyll i formuläret med mallen Underordnad certifikatutfärdare. Screenshot of advanced certificate request
  5. Skicka begäran och installera certifikatet.
  6. Om du antar att den här begäran görs från en Windows Server med Internet Explorer öppnar du Internetalternativ.
  7. Gå till fliken Innehåll och välj Certifikat. Screenshot of Internet properties
  8. Välj det certifikat som precis utfärdades och välj sedan Exportera. Screenshot of export certificate
  9. Välj Nästa för att starta guiden. Välj Ja, exportera den privata nyckeln och välj sedan Nästa. Screenshot showing export private key
  10. .pfx-filformatet är markerat som standard. Avmarkera Inkludera alla certifikat i certifieringssökvägen om det är möjligt. Om du exporterar hela certifikatkedjan misslyckas importen till Azure Firewall. Screenshot showing export file format
  11. Tilldela och bekräfta ett lösenord för att skydda nyckeln och välj sedan Nästa. Screenshot showing certificate security
  12. Välj ett filnamn och en exportplats och välj sedan Nästa.
  13. Välj Slutför och flytta det exporterade certifikatet till en säker plats.

Lägga till certifikatet i en brandväggsprincip

  1. I Azure-portalen går du till sidan Certifikat i nyckelvalvet och väljer Generera/importera.
  2. Välj Importera som metod för att skapa, namnge certifikatet, välj den exporterade .pfx-filen, ange lösenordet och välj sedan Skapa. Screenshot showing Key Vault create a certificate
  3. Gå till sidan TLS-inspektion i brandväggsprincipen och välj din hanterade identitet, nyckelvalv och certifikat. Screenshot showing Firewall Policy TLS Inspection configuration
  4. Välj Spara.

Verifiera TLS-inspektion

  1. Skapa en programregel med hjälp av TLS-kontroll till valfri mål-URL eller FQDN. Exempel: *bing.com. Screenshot showing edit rule collection
  2. Från en domänansluten dator inom regelns källintervall navigerar du till målet och väljer låssymbolen bredvid adressfältet i webbläsaren. Certifikatet bör visa att det har utfärdats av din företagscertifikatutfärdare i stället för en offentlig certifikatutfärdare. Screenshot showing the browser certificate
  3. Visa certifikatet om du vill visa mer information, inklusive certifikatsökvägen. certificate details
  4. I Log Analytics kör du följande KQL-fråga för att returnera alla begäranden som har varit föremål för TLS-inspektion: 
    AzureDiagnostics 
| where ResourceType == "AZUREFIREWALLS" 
| where Category == "AzureFirewallApplicationRule" 
| where msg_s contains "Url:" 
| sort by TimeGenerated desc
    Resultatet visar den fullständiga URL:en för inspekterad trafik: KQL query

Nästa steg