Azure 防火牆進階版包含 TLS 檢查功能 (需要憑證驗證鏈結)。 若為實際執行環境部署,則應使用企業 PKI 來產生 Azure 防火牆進階版所用的憑證。 使用本文來建立和管理 Azure 防火牆進階版的中繼 CA 憑證。
如需 Azure 防火牆進階版所用憑證的詳細資訊,請參閱 Azure 防火牆進階版憑證。
必要條件
如果您沒有 Azure 訂用帳戶,請在開始前建立免費帳戶。
若要使用企業 CA 來產生 Azure 防火牆進階版所用的憑證,則須具有下列資源:
- Active Directory 樹系
- 已啟用網頁註冊的 Active Directory 認證服務根 CA
- 具有進階層防火牆原則的 Azure 防火牆進階版
- Azure Key Vault
- 具備金鑰保存庫存取原則所定義憑證和秘密讀取權限的受控識別
建立新的從屬證書範本
執行
certtmpl.msc以開啟證書範本主控台。在控制台中尋找從屬證書頒發機構單位範本。
以滑鼠右鍵按兩下 [次級證書頒發機構單位 ] 範本,然後選取 [ 複製範本]。
在 [ 新增範本 的屬性] 視窗中,移至 [兼容性] 索引 標籤,並設定適當的相容性設定,或將其保留為預設值。
移至 [ 一般] 索引標籤,設定 [範本顯示名稱 ](例如:
My Subordinate CA),並視需要調整有效期間。 或者,選取 [ Active Directory 中的發佈憑證] 複選框。在 [設定] 索引標籤中,確定必要的使用者和群組具有讀取和
enroll許可權。流覽至 [ 擴充功能] 索引標籤,選取 [金鑰使用方式],然後選取 [ 編輯]。
- 確定 已選取 [數字簽名]、 [憑證簽署] 和 [CRL 簽署 ] 複選框。
- 選取 [ 將此擴充功能設為重大 ] 複選框,然後選取 [ 確定]。
選取 [ 確定 ] 以儲存新的證書範本。
請確定已啟用新的範本,以便用來發行憑證。
要求和匯出憑證
存取根 CA 上的網頁註冊站台,通常為
https://<servername>/certsrv,並選取 [要求憑證]。選取 [進階憑證要求]。
選取 [建立要求並提交至此 CA]。
使用上一節中建立的次級證書頒發機構單位範本填寫表單。
提交要求並安裝憑證。
假設此要求是使用 Internet Explorer 從 Windows Server 提出,請開啟 [網際網路選項]。
瀏覽至 [內容] 索引標籤,並選取 [憑證]。
選取剛簽發的憑證,並選取 [匯出]。
選取 [下一步] 啟動精靈。 選取 [是,匯出私密金鑰],並選取 [下一步]。
依預設,系統會選取 .pfx 檔案格式。 取消選取 [如果可能的話,包含憑證路徑中的所有憑證]。 若匯出整個憑證鏈結,Azure 防火牆匯入程式將會失敗。
指派並確認密碼以保護金鑰,接著選取 [下一步]。
選擇檔案名稱和匯出位置,並選取 [下一步]。
選取 [完成],並將匯出的憑證移至安全位置。
將憑證新增至防火牆原則
在 Azure 入口網站中,瀏覽至金鑰保存庫的 [憑證] 頁面,並選取 [產生/匯入]。
選取 [匯入] 作為建立方法、命名憑證、選取匯出的 .pfx 檔案、輸入密碼,接著選取 [建立]。
瀏覽至防火牆原則的 [TLS 檢查] 頁面,並選取您的受控識別、金鑰保存庫和憑證。
選取 [儲存]。
驗證 TLS 檢查
使用 TLS 檢查建立應用程式規則,以檢查所選的目的地 URL 或 FQDN。 例如:
*bing.com。從規則「來源」範圍內已加入網域的電腦,瀏覽至您的目的地,並在瀏覽器中選取網址列旁的鎖定符號。 憑證應顯示由您的企業 CA 簽發,而不是公用 CA。
顯示憑證,以顯示更多詳細資料 (含憑證路徑)。
在 Log Analytics 中,執行下列 KQL 查詢以傳回所有受到 TLS 檢查的要求:
AzureDiagnostics | where ResourceType == "AZUREFIREWALLS" | where Category == "AzureFirewallApplicationRule" | where msg_s contains "Url:" | sort by TimeGenerated desc結果顯示已檢查流量的完整 URL:
