Aracılığıyla paylaş

Aktarım Katmanı Güvenliği denetim ayarlarını yapılandırma

Microsoft Entra Internet Access'te Aktarım Katmanı Güvenliği (TLS) incelemesi, trafiğin şifresini çözmek için dinamik olarak oluşturulan yaprak sertifikaları vermek için iki katmanlı ara sertifika modeli kullanır. Bu makalede, sertifikayı imzalama ve karşıya yükleme de dahil olmak üzere Genel Güvenli Erişim ara CA'sı olarak hizmet veren Sertifika Yetkilisi'nin (CA) nasıl yapılandırılması açıklanır.

Önkoşullar

Bu işlemdeki adımları tamamlamak için aşağıdaki önkoşullara sahip olmanız gerekir:

  • Sertifika İmzalama İsteği'ni (CSR) imzalamak ve TLS incelemesi için bir ara sertifika oluşturmak için bir Ortak Anahtar Altyapısı (PKI) hizmeti. Test senaryoları için OpenSSL ile oluşturulan otomatik olarak imzalanan bir kök sertifika da kullanabilirsiniz.
  • Microsoft Entra Internet Access için bir deneme lisansı.
  • Genel Güvenli Erişim önkoşulları

Genel Güvenli Erişim yöneticisi: Bir Sertifika İmza Talebi (CSR) oluşturun ve TLS sonlandırması için imzalı sertifikayı yükleyin

TLS sonlandırması için bir Sertifika İmza İsteği (CSR) oluşturmak ve imzalı sertifikayı yüklemek üzere:

  1. Microsoft Entra yönetim merkezinde Genel Güvenli Erişim Yöneticisi olarak oturum açın.

  2. Genel Güvenli Erişim>Güvenli>TLS denetim ilkelerine göz atın.

  3. TLS inceleme ayarları sekmesine geçin.

  4. + Sertifika oluştur'u seçin. Bu adım, sertifika imzalama isteği (CSR) oluşturmayla başlar.

  5. Sertifika oluştur bölmesinde aşağıdaki alanları doldurun:

    • Sertifika adı: Bu ad, tarayıcıda görüntülendiğinde sertifika hiyerarşisinde görünür. Benzersiz olmalı, boşluk içermemeli ve 12 karakterden uzun olmamalıdır. Önemli: Silme işleminden sonra bile önceki sertifika adlarını yeniden kullanamazsınız.
    • Ortak ad (CN): Orta sertifikayı tanımlayan contoso TLS ICA gibi ortak ad.
    • Kuruluş Birimi (OU): Kuruluş adı, örneğin Contoso BT.

  6. CSR Oluştur'u seçin. Bu adım bir .csr dosyası oluşturur ve dosyayı varsayılan indirme klasörünüze kaydeder. Alanları doldurulmuş ve CSR Oluştur düğmesinin vurgulandığı Sertifika oluştur bölmesinin ekran görüntüsü.

  7. PKI hizmetinizi kullanarak CSR'yi imzalayın. Sunucu Kimlik Doğrulaması'nın Genişletilmiş Anahtar Kullanımı ve certificate authority (CA)=true, keyCertSign,cRLSign, basicConstraints=critical,CA:TRUEve pathLenConstraint = 1 Temel Uzantı'da olduğundan emin olun. İmzalı sertifikayı .pem biçiminde kaydedin. Otomatik olarak imzalanan bir sertifikayla test ediyorsanız, CSR'yi imzalamak için OpenSSL'yi kullanmak için yönergeleri izleyin.

  8. + Sertifikayı karşıya yükle'yi seçin.

  9. Yükleme sertifika formunda certificate.pem ve chain.pem dosyalarını karşıya yükleyin.

  10. İmzalı sertifikayı karşıya yükle'yi seçin. Örnek sertifika ve zincir sertifika dosyalarının yükleme alanlarında bulunduğu Sertifika Yükleme formunun ekran görüntüsü.

  11. ** Sertifika yüklemeleri varsayılan olarak Devre Dışı durumda başlar. Durumu Etkin olarak ayarlayın. Etkin bir sertifikanız olabilir. Sertifika durumunun Etkin olduğunu gösteren TLS inceleme ayarları sekmesinin ekran görüntüsü.

OpenSSL kullanarak kendi kendine imzalanan kök sertifika otoritesi ile test etme

Yalnızca test amacıyla, CSR'yi imzalamak için OpenSSL ile oluşturduğunuz otomatik olarak imzalanan bir kök sertifika yetkilisi (CA) kullanın.

  1. Henüz bir dosyanız yoksa, önce şu yapılandırmaya sahip bir openssl.cnf dosyası oluşturun:
[ rootCA_ext ]
subjectKeyIdentifier = hash
authorityKeyIdentifier = keyid:always,issuer
basicConstraints = critical, CA:true
keyUsage = critical, digitalSignature, cRLSign, keyCertSign

[ interCA_ext ]
subjectKeyIdentifier = hash
authorityKeyIdentifier = keyid:always,issuer
basicConstraints = critical, CA:true, pathlen:1
keyUsage = critical, digitalSignature, cRLSign, keyCertSign

[ signedCA_ext ]
basicConstraints = critical, CA:true
keyUsage = critical, digitalSignature, cRLSign, keyCertSign
extendedKeyUsage = serverAuth

[ server_ext ]
subjectKeyIdentifier = hash
authorityKeyIdentifier = keyid:always,issuer
basicConstraints = critical, CA:false
keyUsage = critical, digitalSignature
extendedKeyUsage = serverAuth
  1. Aşağıdaki openssl.cnf yapılandırma dosyasını kullanarak yeni bir kök sertifika yetkilisi ve özel anahtar oluşturun:
    openssl req -x509 -new -nodes -newkey rsa:4096 -keyout rootCAchain.key -sha256 -days 370 -out rootCAchain.pem -subj "/C=US/ST=US/O=Self Signed/CN=Self Signed Root CA" -config openssl.cnf -extensions rootCA_ext
  2. Aşağıdaki komutu kullanarak CSR'yi imzalayın: openssl x509 -req -in <CSR file> -CA rootCAchain.pem -CAkey rootCAchain.key -CAcreateserial -out signedcertificate.pem -days 370 -sha256 -extfile openssl.cnf -extensions signedCA_ext
  3. CSR oluşturma başlığı altında verilen adımlara göre imzalı sertifikaları (signedcertificate.pemve rootCAchain.pem) karşıya yükleyin ve TLS sonlandırması için imzalı sertifikayı karşıya yükleyin.

Microsoft Entra Internet Access'te TLS incelemesini yapılandırma

Aşağıdaki örnek videoda, OpenSSL ile oluşturulan otomatik olarak imzalanan sertifikayı kullanarak Microsoft Entra Internet Access'te TLS incelemesini yapılandırmayı öğrenebilirsiniz. TLS inceleme ilkeleri oluşturmayı, güvenlik profillerini yapılandırmayı, web içeriği filtrelemeyi uygulamayı ve Koşullu Erişim ilkelerini zorunlu kılmayı öğrenin. Özel blok sayfaları oluşturun ve tehdit bilgileri ilkeleri uygulayın.

PowerShell örnekleri ile TLS incelemesi için sertifika otoritesini yapılandırma

ADCS ve OpenSSL kullanarak TLS sertifikası yapılandırma örnekleri aşağıdaki bağlantılarda bulunabilir:

İlgili içerik

  • Last updated on