Поделиться через

Развертывание и настройка сертификатов ЦС предприятия для Брандмауэра Azure

  • Статья

Брандмауэр Azure уровня "Премиум" включает функцию проверки TLS, для работы которой требуется цепочка аутентификации сертификата. При развертывании в рабочей среде для создания сертификатов, используемых с Брандмауэром Azure уровня "Премиум", следует использовать PKI предприятия. Эта статья поможет вам создать промежуточный сертификат ЦС для Брандмауэра Azure уровня "Премиум" и управлять им.

Дополнительные сведения о сертификатах, используемых в Брандмауэре Azure уровня "Премиум", см. в разделе Сертификат Брандмауэра Azure уровня "Премиум".

Необходимые компоненты

Если у вас нет подписки Azure, создайте бесплатную учетную запись, прежде чем приступить к работе.

Чтобы использовать ЦС предприятия для создания сертификата, который будет применяться с Брандмауэром Azure уровня "Премиум", потребуются следующие ресурсы:

  • лес Active Directory;
  • корневой ЦС служб сертификации Active Directory с поддержкой веб-регистрации;
  • Брандмауэр Azure уровня "Премиум" с политикой Брандмауэра уровня "Премиум";
  • Azure Key Vault
  • управляемое удостоверение с разрешениями на чтение сертификатов и секретов, определенных в политике доступа Key Vault.

Создание шаблона подчиненного сертификата

  1. Запустите certtmpl.msc , чтобы открыть консоль шаблона сертификата.

  2. Найдите шаблон подчиненного центра сертификации в консоли.

  3. Щелкните правой кнопкой мыши шаблон подчиненного центра сертификации и выберите "Дублировать шаблон".

  4. В окне "Свойства нового шаблона" перейдите на вкладку "Совместимость" и задайте соответствующие параметры совместимости или оставьте их по умолчанию.

  5. Перейдите на вкладку "Общие ", задайте отображаемое имя шаблона (например, My Subordinate CA) и настройте срок действия при необходимости. При необходимости установите флажок "Опубликовать сертификат" в Active Directory .

  6. На вкладке "Параметры" убедитесь, что необходимые пользователи и группы имеют разрешения на чтение и enroll разрешения.

  7. Перейдите на вкладку "Расширения" , выберите "Использование ключа" и нажмите кнопку "Изменить".

    • Убедитесь, что выбраны флажки цифровой подписи, подписи сертификатов и подписи CRL.
    • Установите флажок "Сделать это расширение критически важным" и нажмите кнопку "ОК".

    Снимок экрана: расширения использования ключа шаблона сертификата.

  8. Нажмите кнопку "ОК" , чтобы сохранить новый шаблон сертификата.

  9. Убедитесь, что новый шаблон включен, чтобы его можно было использовать для выдачи сертификатов.

Запрос и экспорт сертификата

  1. Откройте сайт веб-регистрации в корневом ЦС, как правило, https://<servername>/certsrv и выберите Запросить сертификат.
  2. Выберите Расширенный запрос сертификата.
  3. Выберите Создать и отправить запрос в этот ЦС.
  4. Заполните форму с помощью шаблона подчиненного центра сертификации, созданного в предыдущем разделе. Снимок экрана: расширенный запрос на сертификат
  5. Отправьте запрос и установите сертификат.
  6. Если запрос отправляется из Windows Server с помощью веб-браузера Internet Explorer, откройте Свойства обозревателя.
  7. Перейдите на вкладку Содержимое и выберите Сертификаты. Снимок экрана: свойства Интернета
  8. Выберите только что выданный сертификат, а затем выберите Экспорт. Снимок экрана: экспорт сертификата
  9. Нажмите кнопку Далее, чтобы запустить мастер. Выберите Да, экспортировать закрытый ключ, а затем нажмите кнопку Далее. Снимок экрана: экспорт закрытого ключа
  10. По умолчанию выбран формат файла PFX. Снимите флажок с пункта Включить по возможности все сертификаты в путь сертификации. Если вы экспортируете всю цепочку сертификатов, процесс импорта в Брандмауэр Azure завершится с ошибкой. Снимок экрана: формат файла экспорта
  11. Назначьте и подтвердите пароль для защиты ключа, а затем нажмите кнопку Далее. Снимок экрана: безопасность сертификатов
  12. Введите имя файла и выберите расположение для экспорта, а затем нажмите кнопку Далее.
  13. Нажмите кнопку Готово и переместите экспортированный сертификат в безопасное расположение.

Добавление сертификата в политику брандмауэра

  1. В портале Azure перейдите на страницу сертификатов в хранилище Key Vault и выберите Создать/импортировать.
  2. В качестве метода создания выберите Импортировать, укажите имя сертификата, выберите экспортированный файл формата PFX, введите пароль и нажмите кнопку Создать. Снимок экрана: создание сертификата в Key Vault
  3. Перейдите на страницу Проверка TLS политики Брандмауэра и выберите управляемое удостоверение, Key Vault и сертификат. Снимок экрана: настройка проверки TLS политики брандмауэра
  4. Выберите Сохранить.

Проверка TLS

  1. Создайте правило приложения с помощью проверки TLS по URL-адресу назначения или полному доменному имени на ваш выбор. Например: *bing.com. Снимок экрана: изменение коллекции правил
  2. С компьютера, присоединенного к домену, в пределах исходного диапазона правила перейдите к назначению и нажмите на символ замка рядом с адресной строкой в браузере. Сертификат должен показывать, что он был выдан ЦС предприятия, а не общедоступным ЦС. Снимок экрана: сертификат браузера
  3. Просмотрите сертификат, чтобы узнать дополнительные сведения, включая путь к сертификату. Сведения о сертификате
  4. В Log Analytics выполните следующий KQL-запрос, чтобы вернуть все запросы, которые подвергались проверке TLS: 
    AzureDiagnostics 
| where ResourceType == "AZUREFIREWALLS" 
| where Category == "AzureFirewallApplicationRule" 
| where msg_s contains "Url:" 
| sort by TimeGenerated desc
    В результате показан полный URL-адрес проверенного трафика: Запрос KQL

Следующие шаги